Dynamisches Audit bei 3 Banken EDV Gesellschaft m.b.H.

Beta 96 ermöglicht dem Servicecenter der österreichischen 3 Banken Gruppe heute eine exakte Umsetzung der Anforderungen aus den BSI IT Maßnahmenkatalogen, der ISO 27001 und CobiT 4.0. Mittels fertiger ausbaubarer Control Procedures werden Schwachstellen in der IT-Sicherheit automatisch erkannt und die 3 Banken Gruppe ist entsprechend der BSI, ISO und CobiT-Vorgaben compliant.

Die drei Regionalbanken OBERBANK, BKS und BTV intensivierten 1991 ihre langjährige Zusammenarbeit im Bereich Organisation und EDV. Die Rechenzentren wurden ausgegliedert und in der neuen 3 Banken EDV Gesellschaft m.b.H, kurz: 3BEG, zusammengelegt. Mit Beta Systems verbindet die österreichische 3 Banken Gruppe eine langjährige und erfolgreiche Partner­schaft. 2003 unterstützte Beta Systems die 3BEG bei der Zusammenlegung dreier RACF-Datenbanken der OBER­BANK, BKS und BTV. Zudem wurden Beta 92 und Beta 93 erfolgreich im Zuge der Konsolidierung eingeführt und von da an weiter erfolgreich genutzt.

Ausgangssituation: Druck auf die EDV-Abteilungen

In den letzten Jahren nun erhöhte sich durch schärfere Gesetze und Richtlinien der Druck auf die EDV-Abteilung der 3 Banken Gruppe, ihre IT-Sicherheit und das Berichtswesen weiter zu opti­mieren. Ausgangspunkt sind dabei die 8. EU-Richtlinie (EuroSox) und Basel II als gesetzesnahe Komponenten sowie in Österreich speziell das Aktiengesetz. „Diese enthalten jedoch keine in die IT übernehmbaren Formulierungen“, erklärt Dipl.-Ing. Robert Fleischer, Abteilungsleiter Systemtechnik und Produktion bei der 3BEG. Hier greifen vielmehr Best Practice Ansätze aus den BSI IT Maßnahmenkatalogen, der ISO 27001 sowie CobiT 4.0, an denen wir uns im Wesentlichen orientieren.“

Vor allem CobiT (Control Objectives for Information and Related Technology), ein internationales Modell zur Überwachung der gesamten IT-Prozesse, ist in der österreichischen Bankenlandschaft stark verankert. Das Rahmenwerk wurde von der Information Systems Audit and Control Foundation (ISACF) entwickelt, dem Forschungsinstitut der Information Systems Audit and Control Association (ISACA). Es besteht aus gängigen Praktiken, welche sicherstellen, dass die IT-Prozesse die Geschäftsziele abdecken und Risiken angemessen überwacht werden – kurz als „IT Governance“ bezeichnet. CobiT enthält konkrete Ziele, nach denen sowohl interne als auch externe Prüfer in Österreich und in zahl­reichen weiteren Ländern vorgehen.

Die dort enthaltenen Maßnahmen gilt es, in konkrete Auswertungsvorschriften oder Control Procedures umzuwandeln. Zum Beispiel müssen die maximale Anzahl ungültiger Anmeldeversuche, die Anzahl der Tage bis zur Sperrung inaktiver Benutzer oder die Anzahl der Notuser mit den Ist-Werten abgeglichen werden. Neben den konfigurativen Einstellungen können auch RACF-Ereignisse abgeglichen werden. Hierzu zählen etwa Änderungen an den globalen RACF-Optionen (SETROPTS), mehr­fach zurückgesetzte Kennwörter oder ungültige Anmeldeversuche.

Diesen Implementierungsaufwand wollte die 3BEG aus eigener Kraft nicht leisten. „Wir starteten deshalb eine Marktbeobachtung: Welcher Anbieter kann für RACF-Audits und Compliance-Themen eine unterstützende Lösung an­bieten“, erklärt Dipl.-Ing. Anton Scheiber, verantwortlich für Systemtechnik und Produktion bei der 3BEG. "Drei Produkte haben wir dabei getestet. Von diesen bot der Beta 96 Compliance Auditor mit Abstand die überzeugendste Leistung."

Audits aus Beta 96 auch für Nicht-Techniker sehr einfach auswertbar

Die Maßnahmen aus BSI, ISO und CobiT kombinierte das IT-Team der 3 Banken Gruppe mit eigenen Vorstellungen zur IT-Sicherheit. Daraus wurde ein Anforderungskatalog zusam­mengestellt, mit der internen Revision abgestimmt und dem künftigen Software-Lieferanten vorgelegt. „Wir wollten mit der Audit-Software klare z/OS-Control Procedures an die Hand bekommen, um die geltenden Compliance-Vorschriften zu erfüllen. In dieser ausgeprägten, gut dokumentierten und zugleich ausbau­baren Form haben wir diese nur bei Beta Systems vorgefunden“, so Dipl.-Ing. Scheiber.

35 konkrete Daten-Auswertungsvorschriften hatte die Beta Systems Software AG zu­nächst aus den vorgegebenen BSI-, ISO- und CobiT-Maßnahmen abgeleitet und innerhalb von Beta 96 in konkrete Control Procedures umgewandelt. Wichtig war dem IT-Team der 3 Banken Gruppe vor allem die Auswertbarkeit. Während andere Produkte in erster Linie für RACF-Systemprogrammierer interessant und hinsichtlich Output und Bedienung nicht revisionstauglich sind, bietet Beta 96 hier die erforderliche Bedienungsfreundlichkeit auch für Nicht-Techniker.