Österreich
Secure Your Business
 

Fallbeispiel Bankensektor:
Kommunalkredit „spart“ mit ISO 27001 

 

Download PDF

 

 

  • Osteuropa-Expansion beschleunigt 

  • Vorteile bei Prüfungen durch Rating-Agenturen
  • Synergien bei Risikobewertung nach Basel II

 


Mit der Zertifizierung nach ISO 27001 für Informationssicherheit nimmt die Kommunalkredit

Austria AG eine Vorreiterrolle in der österreichischen Bankenlandschaft ein. Das siebtgrößte heimische Kreditinstitut mit dem Schwerpunkt Public Finance profitiert auf diese Weise sowohl bei der Osteuropa-Expansion, als auch bei Bewertungen durch Rating-Agenturen und Wirtschafts-prüfungen nach Basel II. Intern sieht man den größten Vorteil in der ständigen Verbesserung und Anpassung der Informationssicherheit an ein sich ständig änderndes Anforderungsprofil – nach dem in ISO 27001 integrierten Modell für Prozessoptimierung Plan-Do-Check-Act.

 

bank
 

„Das Zertifikat nach ISO 27001 bescheinigt uns ein weltweit konkurrenzfähiges Niveau unserer IT-Security und der gesamten Informationssicherheit“, erklärt Dipl.-Ing. Norbert Schlechl, Head

of IT bei der Kommunalkredit Austria AG. Die Motive für die Implementierung eines

Managementsystems für Informationssicherheit nach ISO 27001 waren vielfältig. Zertifiziert

wurde im April 2005 der gesamte EDV-Bereich der Kommunalkredit Austria AG, der sämtliche IT-relevanten Geschäftsprozesse in Wien und Osteuropa administriert. Insgesamt rund 250 Benutzer an sieben Standorten.

 

Die Kommunalkredit Austria fährt mit der Gründung ihrer Banken-Tochter „Dexia Kommunalkredit Bank“ einen ausgeprägten Expansionskurs in Mittel- und Osteuropa. Da der gesamte IT-Support zentral von Wien aus durchgeführt wird, verlangen die Bankenaufsichtsbehörden in den CEE-Staaten anspruchsvolle Nachweise für die Güte der Informationssicherheit der Wiener Muttergesellschaft. Norbert Schlechl: „Diese zeit- und kostenaufwendigen Nachweise ersparen

wir uns, seit unser ISM-System von der CIS als unabhängige Prüfstelle nach einem weltweit anerkannten Standard zertifiziert ist. Das ISO-27001-Zertifikat wird von den CEE-Behörden anstandslos akzeptiert. Das beschleunigt die Eröffnung eines neuen Standortes um mehrere Wochen.“ 

  •  CEE-Richtlinien werden immer strenger

Nicht nur im Rahmen einer Eröffnung, auch im laufenden Betrieb prüfen die Aufsichtsbehörden durchschnittlich einmal pro Jahr die Rahmenbedingungen, wobei IT-Sicherheit als zunehmend wichtiger Faktor für die Gesamtsicherheit des Unternehmens gilt. Auch bei diesen sich regelmäßig wiederholenden Prüfungen hilft das Zertifikat nach ISO 27001, den Prozess zu unterstützen und zu beschleunigen. „Die Richtlinien für solche Prüfungen werden von Jahr zu Jahr strenger“, berichtet Dipl.-Ing. Norbert Schlechl aus der Praxis. „Immer wenn Katastrophen oder Problemfälle mit IT-Bezug in die Medien kommen, reagieren die Behörden mit noch strengeren Anforderungen.“


Ein anderer für Banken wesentlicher Bereich sind die jährlichen Bewertungen durch Rating- Agenturen wie Moody’s. Hier wird die Gesamtsicherheit einer Bank evaluiert, wobei der Wert ein wichtiger Indikator für internationale Investoren ist. Auch in diesem Bereich spielt der Faktor IT-Sicherheit zunehmend eine zentrale Rolle: denn festgestellte Security-Mängel können eine Herabsetzung der Gesamtbewertung zur Folge haben. „Bei den jährlich stattfindenden Rating-Gesprächen hat sich gezeigt, dass das CIS-Zertifikat nach ISO 27001 diesen Prozess positiv unterstützt“, resümiert Schlechl. 

  • Weniger operatives Risiko nach Basel II

Einen weiteren Vorteil sieht die Kommunalkredit Austria AG auch für die Einhaltung des Bankenabkommens Basel II, das seit 01.01.2007 in Österreich umgesetzt wird. Eine Säule

des Abkommens betrifft das „operative Risiko“, das unmittelbar von der Verfügbarkeit der IT-Infrastruktur abhängt. „Die im Rahmen der ISO 27001 regelmäßig durchgeführten Risiko-analysen liefern ein gutes Fundament für die Anforderungen von Basel II und haben sogar

einen positiven Einfluss auf die potenzielle Geschäftstätigkeit“, argumentiert der IT-Leiter.

Dennbei genauer Quantifizierung der Risiken reduziert sich gemäß Basel II die notwendige Eigenkapital-Hinterlegung, wodurch mehr Finanzmittel für das operative Geschäft zur Verfügung stehen. „Wenn ein geringeres Risiko nachgewiesen werden kann, als im Basel-II-Standard definiert, dürfen Eigenkapitalreserven reduziert werden.“


Ein Vorteil, der vor allem für Retail-Banken mit zahlreichen Mitarbeitern, Standorten und IT-Ressourcen interessant ist. Eine Bewertung von IT-Risiken ist im Rahmen eines Informations- SicherheitsManagementSystems nach ISO 27001 ohnehin regelmäßig durch

zu führen, so dass sich Synergien zu Basel-II-Anforderungen ergeben. 

  • Effiziente Strukturen ermöglichen Wachstum

Intern profitiert die dynamisch wachsende Bank von den effizienten Strukturen zur nachhaltigen Prozessverbesserung, die anhand der ISO 27001 implementiert wurden. Die Bilanzsumme der Kommunalkredit-Gruppe stieg von 2005 auf 2006 um knapp 32 Prozent auf rund 26,86 Mrd. Euro, die Anzahl der Mitarbeiter beträgt mittlerweile rund 300 Personen. „Bei raschem Wachstum sind solide Strukturen in der Informationssicherheit erfolgsentscheidend. Mit ihrem Modell zur Prozessoptimierung nach dem Muster Plan-Do-Check-Act ermöglicht die ISO 27001 eine aktive Anpassung unserer Informationssicherheit an die sich laufend ändernden Bedingungen. So wird unser hohes Sicherheitsniveau ständig weiter verbessert“, zieht Kommunalkredit-IT-Leiter Norbert Schlechl Bilanz.

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB