Insgesamt lagen bei Kreditinstituten und Finanzdienstleistern zum Beispiel folgende im Rahmen von Jahresabschlussprüfungen getroffene Feststellungen vor:
Grundlegende Beanstandungen
- Keine (adäquate) Bestellung eines Informationssicherheitsbeauftragten
- Es lag noch keine dokumentierte IDV-Richtlinie vor
- Risiko- bzw. Wesentlichkeitseinstufung in der IDV-Richtlinie sind nicht ausreichend nachvollziehbar
- Es lag noch keine adäquate und/oder vollständige (eigenständige) IT-Strategie vor, z.B. ist die IT-Strategie nicht konsistent zur Geschäfts- und Risikostrategie
- Keine oder keine vollständige Informationssicherheitsleitlinie und –richtlinie bzw. diese Dokumente stehen nicht im Einklang mit der IT-Strategie
- Die Auslagerungsunternehmen nehmen keine eigenen Notfalltests vor und/oder werden nicht ausreichend in die Notfalltests eingebunden
- Keine oder eine nicht ausreichende Anbindung an Notfallrechenzentren der Dienstleister
- Berichte über Prüfungen bei Dienstleistern (z.B. IDW PS 951) lagen nicht oder nicht in allen Fällen vor
- Es lag kein datenschutzrechtliches Verfahrensverzeichnis vor
- Unklare oder fehlende Zuordnung von Verantwortlichkeiten zu wesentlichen Auf-gaben und Kompetenzen bezüglich der Gebiete Informationssicherheit und Informationsrisikomanagement
- Keine oder nicht ausreichende Schutzbedarfs- und Risikoanalysen für die Elemente des IT-Betriebs und ggf. fehlende oder nicht ausreichende Definition von Sollmaßnahmen
- Schutzbedarfs- und Risikoanalysen im Hinblick auf ISMS und IRMS wurden nicht umgesetzt.
- Das Informationssicherheits- und -risikomanagement ist sowohl organisatorisch als auch prozessual noch nicht vollumfänglich implementiert.
- Das Informationsrisikomanagement wurde organisatorisch noch nicht implemen-tiert.
- Die Zuordnung von Verantwortlichkeiten zu wesentlichen Aufgaben und Kompetenzen bezüglich des Informationsrisikomanagements war noch nicht gegeben.
- Kein ausreichender Schutz der physischen Sicherheit der IT-Infrastruktur
- Die Abgrenzung zwischen Auslagerungen und sonstigem Fremdbezug ist nicht nachvollziehbar, zum Beispiel wurden noch keine Risikoanalysen zur Würdigung des sonstigen IT-Fremdbezugs durchgeführt.
- (Potenzielle) Interessenkonflikte bei der Vergabe von Benutzerberechtigungen
- Keine oder keine ausreichende Überwachung von Benutzern mit umfassenden Berechtigungen
- Es sind keine (oder keine adäquaten) quantitativen Kriterien (z.B. KPIs) definiert, wodurch eine Steuerung und Überwachung des IT-Betriebs und der Weiterent-wicklung der IT-Systeme ermöglicht wird.
- Neue Arbeits- und Organisationsanweisungen wurden zu allen Bereichen der BAIT implementiert; diese entsprechen jedoch nicht oder nur teilweise den tatsächlichen Prozessen
- Es existiert kein Löschkonzept, welches die Aufbewahrungsfristen der relevanten Unterlagen definiert.
- Die systemischen Passworteinstellungen sind konsistent zu denen der Passwortrichtlinie zu gestalten
- Teilweise oder in Gänze lagen keine Softwarezertifizierungen vor