VAIT-Konformität von Mainframe-Systemen
Die Frage, ob ein Mainframe-System VAIT-konform ist, kann nicht abstrakt beantwortet werden. Es bedarf vielmehr einer Gesamtschau des Einzelfalls unter Berücksichtigung sämtlicher Anforderungen der VAIT, die den Einsatz eines Mainframe-Systems betreffen. Gleichwohl ist es möglich, einzelne Anforderungen der VAIT zu benennen, denen im Zusammenhang mit dem Betrieb von Mainframe-System besondere Bedeutung zukommt:
Nach Randnummer 9 des Abschnitts II. der VAIT hat das Versicherungsunternehmen insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten. Dies dürfte zukünftig mit Blick auf den Betrieb eines originären Mainframe-Systems zunehmend schwieriger werden, da - wie unter 1. ausgeführt - aufgrund der veralteten Programmiersprachen die fachversierten Administratoren und Bediener solcher Systeme immer weniger werden dürften. Beim Betrieb von originären Mainframe-System besteht daher das Risiko von so genannten Kopfmonopolen.
Ferner wird in mehreren Anforderungen deutlich, dass die IT-Systeme dem Stand der Technik entsprechen müssen, vgl. Randnummer 15, 60 f. des Abschnitts II. der VAIT. Was davon allerdings konkret gemeint ist, bleibt unklar. Von besonderer praktischer Relevanz ist, ob damit die neuesten technischen Entwicklungen und Fortschritte umfasst sind oder aber, ob sich das Versicherungsunternehmen mit der Berücksichtigung des fach- und branchenüblichen Standards zufriedengeben darf.
Ratsam ist es jedenfalls, Informationen und Empfehlungen staatlicher Stellen zu berücksichtigen, wie etwa die IT-Grundschutz-Kataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
In diesen Katalogen werden Standard-Sicherheitsmaßnahmen für typische Geschäftsprozesse, Anwendungen und IT-Systeme empfohlen. Die Empfehlungen basieren auf dem folgenden Prinzip: Von zentraler Bedeutung der IT-Grundschutz-Kataloge sind die Bausteine, deren Aufbau grundsätzlich gleich ist. Jeder Baustein leitet mit einer kurzen Beschreibung der betrachteten Komponente, der Vorgehensweise beziehungsweise des IT-Systems ein. Darauf folgt die Darstellung der Gefährdungslage.
Die Gefährdungen sind nach den Bereichen
Höhere Gewalt,
Organisatorische Mängel,
Menschliche Fehlhandlungen,
Technisches Versagen und
Vorsätzliche Handlungen
unterteilt.
- Dr. Michael von der Horst, Managing Director CyberSecurity, Cisco Systems GmbH
"Die IDG-Studie zu Cloud Security hat viele interessante Erkenntnisse geliefert. Die Bedeutung von Security scheint mittlerweile bei den Unternehmen angekommen zu sein. Hier hat die Einführung der DSGVO viel geholfen. Der Fokus auf Datenschutz greift jedoch viel zu kurz - Cloud Security ist viel mehr. <br /><br />Methoden wie CASB, virtuelle Firewalls oder auch DNS-Schutz müssen eingeführt werden. Im besten Fall sind derzeit über 60 Prozent der Unternehmen noch ungeschützt. Zudem ist eine 360 Grad - Integration in eine On-Premise Security-Architektur wesentlich - die meisten Unternehmen haben hybride Strukturen und sind nicht Cloud-Only." - Thomas Snor, A1 Digital, Director Security
"Security als Business Enabler zu sehen und nicht als Blocker: das ist unser Mindset bei A1 Digital. Digitalisierung ja, aber sicher – ist unser Credo für Ihr Unternehmen." - Alexander Neff, Vice President DACH, MicroFocus GmbH
"Die Flexibilität und Agilität, die Cloud-Lösungen mit sich bringen, sind für Business-Entscheider ein wichtiges Argument. Dieser Schritt in Richtung Digitalisierung zieht eine generelle und kulturelle Veränderung im Umgang mit der IT Infrastruktur nach sich. Wir helfen Unternehmen auf dieser Reise in Bezug auf Datenschutz und Datensicherheit." - Elmar Witte, Product Marketing Manager Security, Akamai
"Die jüngste IDG-Studie zur Cloud Security zeigt, dass fast die Hälfte aller befragten Unternehmen schon einmal Cyber-Angriffen ausgesetzt waren - weit verbreitet sind besonders DDoS-Attacken, mit denen Internetdienste überlastet werden sollen. Abgesehen von diesen Angriffen gegen die Verfügbarkeit von Diensten, befürchten Unternehmen vor allem, dass Hacker sensible Unternehmens- oder Kundendaten entwenden.<br /><br /> Interessant in Bezug auf diese Ängste ist, dass Datenschutz zwar theoretisch von allen Unternehmen als wichtig erachtet wird, bei der Frage nach den größten Security-Risiken aber nur acht Prozent mangelhaften Datenschutz als große Gefahr sehen. Er steht erst an fünfter Stelle in der Liste der Top 10 Sicherheitsrisiken." - Stephan Ilaender, CTO PlusServer GmbH
"Als Managed Cloud Service Provider gehört es auch zu unseren Aufgaben, unsere Kunden bei der Planung und Umsetzung einer Cloud-Security-Strategie zu unterstützen. Dazu setzen wir unter anderem entsprechende Redundanz- sowie Disaster-Recovery-Konzepte gemeinsam mit den Kunden um.<br /><br /> In der Studie berichten 47 Prozent der Unternehmen von Cyberangriffen wie zum Beispiel DDoS. In diesem Bereich haben wir eine Partnerschaft mit Akamai geschlossen, um unseren Kunden ein Portfolio an DDoS-Mitigation-Lösungen für verschiedene Anforderungen zu bieten. So auch speziell für kleinere Unternehmen, die nach unserer Erfahrung immer häufiger Opfer solcher Angriffe werden." - Frank Braunstedter, Senior Manager Cyber Defense & Cloud Security, NTT Security
"Unternehmen sollten auf dem Weg in die Cloud die Modernisierung ihrer Standardarchitekturen und -prozesse überdenken, da sich viele Angriffe durch eine innovative Servicearchitektur bereits im Vorfeld vermeiden lassen. Allerdings werden mit dem zunehmenden Einsatz von Cloud-Diensten altgediente Security-Konzepte in Frage gestellt.<br /><br /> Der alte Sicherheitsperimeter schwindet und klassische Schutzmaßnahmen reichen oft nicht mehr aus. Unternehmen müssen ihre Sicherheitskonzepte deshalb anpassen und sich stärker mit der Kontrolle von Identitäten und den Prozessen befassen." - Matthias Ochs, Geschäftsführer genua GmbH
"Die Cloud mit allen ihren Vorteilen setzt sich durch und die Security genießt dabei hohe Priorität - dies ist aus Sicht eines IT-Sicherheitsherstellers ein gutes Ergebnis. Denn wer nachhaltig von den Vorteilen profitieren möchte, muss die Risiken in den Griff kriegen.<br /><br />Anbieter sollten ihre Produkte regelmäßig und umfassend von externen Experten prüfen und zertifizieren lassen. Denn nur der ständige kritische Review von mehreren Seiten führt zu einem hohen Sicherheitsniveau, das angesichts der rasch zunehmenden Komplexität bei der IT dringend erforderlich ist." - Fabian Guter, Sales Director Europe, SecurEnvoy GmbH
"Erfreulicherweise haben die befragten Firmen den gesicherten Zurgriff als das wichtigste Auswahlkriterium identifiziert. Das bestätigt unsere Aktivitäten, das Bewusstsein für die Notwendigkeit starker Authentifizierung gerade bei Cloud-Anwendungen zu stärken.<br /><br /> Bei den technischen Vorkehrungen ist Zugangs- und Rechtekontrolle ebenfalls als eine der meist umgesetzten Maßnahmen. Dennoch sehen wir hier auch noch Nachholbedarf: Immerhin findet Datendiebstahl, der von den Teilnehmern als eines der größten Risiken empfunden wird, sehr häufig durch den Missbrauch von Zugangsdaten statt. Und eine starke Authentifizierung gehört zu den kostengünstig umsetzbaren Maßnahmen mit hohem Sicherheitsgewinn. Das für alle Cloud-Services zum Standard-Sicherheitspaket gehören sollte."
Den wesentlichen Teil eines jeden Bausteins bilden schließlich die Maßnahmenempfehlungen. Nach einer Darstellung kurzer Hinweise zum jeweiligen Maßnahmenbündel, beispielsweise zur folgerichtigen Reihenfolge bei der Realisierung der notwendigen Maßnahmen, wird in jedem Baustein für das betrachtete Themengebiet vor der konkreten Maßnahmen-Liste eine Übersicht in Form eines "Lebenszyklus" gegeben, welche Maßnahmen in welcher Phase der Bearbeitung zu welchem Zweck umgesetzt werden sollten.
In der Regel werden die folgenden Phasen identifiziert, wobei für jede dieser Phasen typische Arbeiten angegeben sind, die im Rahmen einzelner Maßnahmen durchgeführt werden:
Planung und Konzeption,
Beschaffung (sofern erforderlich),
Umsetzung,
Betrieb,
Aussonderung (sofern erforderlich) und
die Notfallvorsorge.
Analog zu den Gefährdungen sind die Maßnahmen in die Kataloge Infrastruktur, Organisation, Personal, Hard- und Software, Kommunikation und Notfallvorsorge gruppiert.
Bei den in den IT-Grundschutz-Katalogen aufgeführten Maßnahmen handelt es sich laut eigener Angabe des BSI um Standard-Sicherheitsmaßnahmen, also um diejenigen Maßnahmen, die für die jeweiligen Bausteine nach dem Stand der Technik umzusetzen sind, um eine angemessene Basis-Sicherheit zu erreichen. Dabei stellen die Maßnahmen, die für die Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz gefordert werden, die Mindestanforderung dessen dar, was in jedem Fall vernünftigerweise an Sicherheitsvorkehrungen umzusetzen ist.
Lesetipp: IT-Sicherheit - Kennzahlen in der IT-Sicherheit
Mit Blick auf Mainframe-Systeme ergibt sich für die VAIT-Anforderung "Stand der Technik" bei Berücksichtigung der Empfehlungen der IT-Grundschutz-Kataloge des BSI Folgendes: Im Rahmen der Bausteine werden lediglich Mainframes eines bestimmten Typs betrachtet. Für diesen Typ wird jedoch konstatiert, dass dieser heute das obere Ende der Palette der angebotenen Server-Systeme bildet. Insofern dürfte jedenfalls für diesen Typ eines Mainframes festgehalten werden können, dass das System an sich grundsätzlich als Stand der Technik angesehen werden kann.
Allerdings ist zu beachten, dass in der Gefährdungslage darauf hingewiesen wird, dass auch diese Mainframe-Systeme heute ähnlichen Gefährdungen ausgesetzt sind wie Unix- oder Windows-Systeme. Daher enthalten die IT-Grundschutzkataloge des BSI ein umfassendes Maßnahmenbündel für den Einsatz von Mainframe-Systemen.
Bereits bei partieller Anwendung der VAIT-Anforderungen ist somit für originäre Mainframe-Systeme Folgendes grundsätzlich festzuhalten: Die steigende Gefährdungslage aufgrund der Abnahme des angemessenen Personals zur Administration und Bedienung von Mainframe-Systemen verschärft für Versicherungsunternehmen die Herausforderung, die Einhaltung der regulatorischen Anforderungen sowie spezialgesetzlichen IT-Sicherheitspflichten zu gewährleisten.