8.1
Der IT-Betrieb hat die Anforderungen, die sich aus der Umsetzung der Geschäftsstrategie
sowie aus den IT-unterstützten Geschäftsprozessen ergeben, zu erfüllen (vgl. AT 7.2
Tz. 1 und Tz. 2 MaRisk).
|
|
|
- |
8.2
Die Komponenten der IT-Systeme und deren Beziehungen zueinander sind in geeigneter
Weise zu verwalten, und die hierzu erfassten Bestandsangaben regelmäßig sowie anlassbezogen
zu aktualisieren. Zu den Bestandsangaben zählen insbesondere:
|
|
|
- |
Bestand und Verwendungszweck der Komponenten der IT-Systeme mit den relevanten
Konfigurationsangaben (z.B. Versions- und Patchlevel)
|
Vollautomatisierte Inventarisierung auf allen Ebenen der IT: Infrastruktur, Systemkomponenten,
Anwendungen und Endbenutzergeräte (Full-Stack Approach).
|
|
100%
|
Im Rahmen der Erfassung werden die zum Zeitpunkt der Erfassung eingesetzten Versionen
für Betriebssysteme, Programmiersprachen, Frameworks und Anwendungen vollautomatisiert
ermittelt
|
|
100%
|
Daten von Drittsystemen, wie bspw. IT- und Netzwerkmonitoring, IT Service Management,
Cloud Anbietern und Geschäftsanwendungen, können einfach integriert und mittels der
Versio.io Topologie in Beziehung gebracht werden
|
|
100%
|
Eigentümer der IT-Systeme und deren Komponenten
|
Kundenspezifische Informationen, wie bspw. Eigentümer oder Anwendung, können mittels
Umgebungsvariablen definiert und somit in Versio.io erfasst werden. Die topologischen
Beziehungen zwischen den Assets und Configuration Items der erfassten IT-Landschaft
ermöglicht dann auch komplexe inhaltliche Zuordnungen abzufragen. Somit lassen sich
bspw. alle zu einer Anwendung zugehörigen Komponenten (top-down) oder alle auf einem
Rechner ausgeführten Anwendungen (bottom-up) ermitteln.
|
|
100%
|
Standort der Komponenten der IT-Systeme
|
Geolokationen bzw. Standortdaten können von Drittsystemen übernommen, durch Umgebungsvariablen
definiert oder durch Ableitung von der IP ermittelt werden.
|
|
100%
|
Aufstellung der relevanten Angaben zu Gewährleistungen und sonstigen Supportverträgen
(ggf. Verlinkung)
|
Verträge in digitaler Form (bspw. Microsoft 365) oder Schlüsselparameter von Papierverträgen
können von Versio.io importiert bzw. erfasst werden. Versio.io bietet hier eine revisionssichere
Datenablage an, welche jeden Zustand eines und Änderung an einem Vertrag über deren
gesamten Lebenszyklus nachvollziehbar macht.
Die importierten Vertragsdaten können auf Basis deren Inhalten (Datenattribute,
Filter) und Beziehungen (Topologie) analysiert werden.
Jegliche Vertragsdaten können hinsichtlich ihrer Plausibilität, Integrität und
Compliance verifiziert werden. Entsprechende Verstöße werden revisionssicher festgehalten
und es können entsprechende Benachrichtigung versendet werden.
|
|
100%
|
Angaben zum Ablaufdatum des Supportzeitraums der Komponenten der IT-Systeme
|
Versio.io stellt mit seiner 'Produkt Release & End-of-Life Datenbank' alle Release
relevanten Informationen über Hardware- und Softwareprodukte zur Verfügung. Auf Basis
dieser Informationen können Regelsätze generiert werden, welche eine vollautomatisierte
Verifikation der Kundenspezifischen Produkt Release Strategie bereitstellt. So können
bspw. Release Strategien wie 'letztes Release', 'letzter Patch', 'in Wartung', 'Support
gegeben' oder 'Langzeitsupport' überprüft werden.
|
|
100%
|
Schutzbedarfe von IT-Systemen und deren Komponenten
|
Die Bestimmung des Schutzbedarfs erfolgt im ersten Schritt auf konzeptioneller
Ebene. Versio.io bietet die Möglichkeit den Schutzbedarf im IT-Betrieb über die gesamte
IT-Landschaft zu operationalisieren.
Schutzbedarfe können in Form von Umgebungsvariablen oder Tags an IT-Systemen und
deren Komponenten gespeichert werden. Damit kann der Schutzbedarf in allen darauffolgenden
Umsetzungsszenarien genutzt werden (bspw. Reporting, Compliance Prüfung, Kostenverrechnung
etc.).
|
|
75%
|
Akzeptierter Zeitraum der Nichtverfügbarkeit der IT-Systeme sowie der maximal tolerierbare
Datenverlust.
|
Definierte Wartungsfenster aus verschiedensten Drittsystemen (ITSM, Monitoring)
können importiert und historisiert gespeichert werden.
Die Wartungsfenster inklusive deren topologischen Beziehungen zu IT-Komponenten
können analysiert, ausgewertet und verifiziert werden. Somit können bspw. Wartungsfenster
in einer kritischen Geschäftszeit oder ohne einen Endzeitpunkt identifiziert werden.
|
|
50%
|
8.3
Das Portfolio aus IT-Systemen bedarf der Steuerung. IT-Systeme sollten regelmäßig
aktualisiert werden. Risiken aus veralteten bzw. nicht mehr vom Hersteller unterstützten
IT-Systemen sind zu steuern (Lebenszyklus-Management.
|
Die Erfassung der IT-Systeme erfolgt vollautomatisiert und kontinuierlich. Kleinster
Aktualisierungszyklus ist derzeit 1 Minute. Damit stehen in Versio.io die Daten der
IT-Landschaft in nahezu Echtzeit zur Verfügung.
Versionen von Betriebssystemen, Systemkomponenten, Programmiersprachen, Technologien
und Anwendungen bei erfassen. Jede Änderung der Version wird gegen die Versio.io interne
'Produkt Release und End-of-Life Datenbank' nach kundenspezifischen Strategien, wie
bspw. letztes Release, letzter Patch, Unterstützung Langzeitsupport, Produkt unter
Wartung und Support, verifiziert.
|
|
100%
|
8.4
Die Prozesse zur Änderung von IT-Systemen sind abhängig von Art, Umfang, Komplexität
und Risikogehalt auszugestalten und umzusetzen. Dies gilt auch für Neu- bzw. Ersatzbeschaffungen
von IT-Systemen sowie für sicherheitsrelevante Nachbesserungen (Sicherheitspatches).
Änderungen von IT-Systemen umfassen auch die Wartung von IT-Systemen. Beispiele
für Änderungen sind:
|
|
|
- |
Funktionserweiterungen oder Fehlerbehebungen von Softwarekomponenten
|
Funktionale Erweiterungen eines IT-Systems bestehen neben dem Softwarecode aus
Änderungen in Konfigurationen. Dazu gehören Datenbank-Schemas, Dateikonfigurationen
(App-,Web-,Messaging- oder Datenbank-Server), DevOps Artefakten (Docker oder Kubernetes
Konfigurationen), Netzwerkkonfigurationen (Freischaltung von Netzwerksegementen und
Ports). Diese Konfigurationen können vollautomatisiert erfasst und dokumentiert werden.
Jede dieser Änderungen kann wiederum vollautomatisiert hinsichtlich einer SOLL-Konfiguration,
Sicherheitsvorgaben und internen Vorgaben verifiziert werden.
Für die Analyse der Ursache von auftretenden Fehlern werden meist IT-Monitoring-
und Log Management Systeme
eingesetzt. Versio.io bietet hier über die Änderungserkennung eine weitere existentielle
Datenquelle für die Ursachenidentifikation von Fehlern im IT-Betrieb an.
|
|
75%
|
Datenmigrationen
|
Mit dem Versio.io Batch-Job Monitoring können Unternehmen die zyklische Ausführung
von täglichen Backup-Prozessen zur Datenmigration revisionssicher aufzeichnen, qualitätssichern
und optimieren.
Die erfassten Prozessdaten können inhaltlich verifiziert werden, um die Governance
& Compliance abzusichern. Damit kann man sich bspw. Benachrichtigen lassen, wenn ein
Backup fehlgeschlagen ist oder deren Ausführungszeit sich zu den vorhergehenden Prozessdurchläufen
stark verändert hat.
Für die Qualitätssicherung der Datenmigration kann mit den generischen Datenimportern
von Versio.io die Vollständigkeit der Migration anhand der Anzahl an Datensätze und
die inhaltliche Korrektheit anhand von Prüfziffern (Hash-Werten) pro Datensatz bzw.
-objekt ermittelt und sichergestellt werden. Mittels des Delta Topology Analysers
kann ein Unterschied zwischen den migrierten Datenquellen automatisiert ermittelt
werden und ggf. Alarmierungen erfolgen.
|
|
50%
|
Änderungen an Konfigurationseinstellungen von IT-Systemen
|
Die Kernkompetenz von Versio.io ist die Erkennung von Änderungen und deren Nachverarbeitung
(Verifikation, Kostenverrechnung, Prozessmonitoring etc.).
Versio.io speichert revisionssicher jede sich veränderte Konfigurationsänderung.
Dadurch stehen dem Benutzer alle Konfigurationen über den gesamten Lebenszyklus zur
Verfügung. Dies ist vergleichbar mit einem Backup oder einer Versionierung von Konfigurationen.
Jegliche Konfigurationsänderung kann vollautomatisiert und regelbasiert hinsichtlich
bestehender Governance & Compliance Anforderungen verifiziert werden (Sicherheit,
Produktaktualität, interne Vorgaben, Konfigurationsprobleme etc.)
|
|
100%
|
Austausch von Hardwarekomponenten (Server, Router etc.)
|
Die Konfiguration von ausgetauschten Hardwarekomponenten in Form von physikalischen
Servern, Speichersystemen, Routern, mobilen Geräten etc. können vollautomatisiert
erhoben und dokumentiert werden.
Auf Basis der Delta Topology Analyse können die Konfigurationen zwischen der letzten
Konfiguration und der neuen ausgetauschten Hardwarekomponente verglichen werden, um
bspw. Konfigurationsunterschiede zu identifizieren.
Die erfassten Konfigurationen der ausgetauschten Hardwarekomponenten können im
Rahmen der initialen Erfassung und jeder folgenden Konfigurationsänderungen vollautomatisiert
hinsichtlich der Governance und Compliance verifiziert werden. Damit wird die Einhaltung
von Compliance und Sicherheitsaspekten (bekannte Sicherheitsschwachstellen, Produkt
ohne Wartung/Support, aktuellere Produktversionen, interne Vorgaben, gültige SSL-Zertifikate,
offene Port etc.) sichergestellt.
|
|
75%
|
Einsatz neuer Hardwarekomponenten
|
Die Konfiguration von neue Hardwarekomponenten in Form von physikalischen Servern,
Speichersystemen, Routern, mobilen Geräten etc. können vollautomatisiert erhoben und
dokumentiert werden.
Die neu erfassten Konfigurationen der Hardwarekomponenten können im Rahmen der
initialen Erfassung und jeder folgenden Konfigurationsänderungen vollautomatisiert
hinsichtlich der Governance und Compliance verifiziert werden. Damit wird die Einhaltung
von Compliance und Sicherheitsaspekten (bekannte Sicherheitsschwachstellen, Produkt
ohne Wartung/Support, aktuellere Produktversionen, interne Vorgaben, gültige SSL-Zertifikate,
offene Port etc.) sichergestellt.
|
|
75%
|
Umzug der IT-Systeme zu einem anderen Standort
|
Für den Standortumzug von IT-Systemen ist die Dokumentation des IST-Zustands und
der Abgleich mit dem migrierten IT-System die Basis für eine stabile und fehlerfreie
Migration.
Versio.io bietet mit seinem Asset & Configuration Inventory alle aktuellen Konfigurationen
jeder einzelnen Komponente des gesamten IT-Systems (VM, Host, Prozesse, Service, Konfigurationen,
Datenbankschema, Anwendung etc.) als Informationsbasis an. Zusätzlich werden die Beziehung
aller Komponenten des IT-Systems in Form einer Topologie bereitgestellt.
Auf Basis der Topologie ist ein Vergleich des bestehenden IT-Systems (IST) und
des migrierten IT-Systems bis auf Attributebene einer Teilkomponente möglich. Somit
kann der Nachweis erbracht werden, dass das IT-System 1:1 am neuen Standort wieder
hergestellt wurde. Kundenspezifische Filteranpassungen für die Topologie Delta Analyse
sind konfigurierbar.
|
|
50%
|
8.5.
Änderungen von IT-Systemen sind in geordneter Art und Weise aufzunehmen, zu dokumentieren,
unter Berücksichtigung möglicher Umsetzungsrisiken zu bewerten, zu priorisieren, zu
genehmigen sowie koordiniert und sicher umzusetzen. Auch für zeitkritische Änderungen
von IT-Systemen sind geeignete Prozesse einzurichten.
Der sicheren Umsetzung der Änderungen in den produktiven Betrieb dienen beispielsweise:
|
|
|
- |
Risikoanalyse in Bezug auf die bestehenden IT-Systeme (insbesondere auch das Netzwerk
und die vor- und nachgelagerten IT-Systeme), auch im Hinblick auf mögliche Sicherheits-
oder Kompatibilitätsprobleme, als Bestandteil der Änderungsanforderung
|
Die durch Versio.io erkannten Änderungen, bspw. an Betriebssystemen, Prozesstechnologien,
App-,Web- oder Datenbank-Server, Router-Konfigurationen etc., können hinsichtlich
bekannter IT-Sicherheitsschwachstellen, nicht aktueller Release oder Patch Versionen,
nicht verfügbarer Wartungs- und Supportunterstützung der eingesetzten Produkte sowie
internen Vorgaben zur Sicherstellung des operativen Betriebes verifiziert werden.
|
|
100%
|
Tests von Änderungen vor Produktivsetzung auf mögliche Inkompatibilitäten der Änderungen
sowie mögliche sicherheitskritische Aspekte bei bestehenden IT-Systemen
|
Die Kernkompetenz von Versio.io ist die Erkennung von Änderungen und deren Nachverarbeitung.
Somit lassen sich im Rahmen von Tests vor Produktivgang nicht nur geplante, sondern
auch ungeplante Änderungen, erkennen.
Des Weiteren kann mittels Delta-Abgleich zwischen Test- und Produktivumgebung
der Umfang der Änderungen objektiv operativ gesteuert werden.
Die durch Versio.io erkannten Änderungen an Betriebssystemen und Prozesstechnologien
können hinsichtlich bekannter IT-Sicherheitsschwachstellen, nicht aktueller Release
oder Patch Versionen sowie nicht verfügbarer Wartung und Support der Produkte verifiziert
werden.
|
|
50%
|
Tests von Patches vor Produktivsetzung unter Berücksichtigung ihrer Kritikalität
|
Die Kernkompetenz von Versio.io ist die Erkennung von Änderungen und deren Nachverarbeitung.
Somit lassen sich im Rahmen von Test vor Produktivgang nicht nur geplante, sondern
auch ungeplante Änderungen, erkennen.
Des Weiteren kann mittels Delta-Abgleich zwischen Test- und Produktivumgebung
der Umfang der Änderungen objektiv operativ gesteuert werden.
|
|
25%
|
Datensicherungen der betroffenen IT-Systeme
|
Mit dem Versio.io Batch-Job Monitoring können Unternehmen die zyklische Ausführung
von täglichen Datensicherungsläufen revisionssicher aufzeichnen, qualitätssichern
und optimieren. Die erfassten Prozessdaten können inhaltlich verifiziert werden, um
die Governance & Compliance abzusichern. Damit kann man sich bspw. Benachrichtigen
lassen, wenn ein Backup fehlgeschlagen ist oder deren Ausführungszeit sich zu den
vorhergehenden Prozessdurchläufen stark verändert hat.
|
|
25%
|
Rückabwicklungspläne, um eine frühere Version des IT-Systems wiederherstellen zu
können, wenn während oder nach der Produktivsetzung ein Problem auftritt
|
Versio.io dokumentiert vollautomatisiert jegliche Veränderung von IT-Systemen.
Im Falle einer Rückabwicklung bietet Versio.io detaillierte Informationen zum Zustand
des IT-Systems vor der durchgeführten Veränderung an (bspw. Anwendungskonfiguration,
Datenbank Schema etc.).
Auf Basis des Delta Topology Analysers kann nach der Rückabwicklung eine automatisierte
Verifikation erfolgen, ob die Konfiguration wieder dem letzten stabilen Zustand des
IT-Systems entspricht.
|
|
50%
|
Alternative Wiederherstellungsoptionen, um dem Fehlschlagen primärer Rückabwicklungspläne
begegnen zu können
|
Ist eine Wiederherstellung auf Basis von Standardverfahren, wie bspw. Backup oder
Snapshot, nicht möglich, so bietet Versio.io eine vollständige Dokumentation eines
IT-Systems als Dokumentationsvoraussetzung für eine teilweise oder vollständige Neuinstallation
eines IT-Systems an.
Auf Basis des Delta Topology Analysers kann nach der Neuinstallation eine automatisierte
Verifikation erfolgen, ob die Konfiguration wieder dem letzten stabilen Zustand des
IT-Systems entspricht.
|
|
50%
|
Für risikoarme Konfigurationsänderungen und Parametereinstellungen (z. B. Änderungen
am Layout von Anwendungen, Austausch von defekten Hardwarekomponenten, Zuschaltung
von Prozessoren) können abweichende prozessuale Vorgaben/Kontrollen definiert werden
(z. B. Vier-Augen-Prinzip, Dokumentation der Änderungen oder der nachgelagerten Kontrolle).
|
Jegliche Änderungen in der IT-Landschaft, ob in der Bewertung wichtig oder nicht,
werden automatisiert dokumentiert und historisiert. Damit schafft Versio.io ein Gesamtbild
und ermöglicht auch Problemursachen auf Basis von vermeintlich unwichtigen Konfigurationen.
|
|
100%
|
8.6
Die Meldungen über ungeplante Abweichungen vom Regelbetrieb (Störungen) und deren
Ursachen sind in geeigneter Weise zu erfassen, zu bewerten, insbesondere hinsichtlich
möglicherweise resultierender Risiken zu priorisieren und entsprechend festgelegten
Kriterien zu eskalieren.
Hierzu sind Standardvorgehensweisen z. B. für Maßnahmen und Kommunikation sowie
Zuständigkeiten (z. B. für Schadcode auf Endgeräten, Fehlfunktionen) zu definieren.
Bearbeitung, Ursachenanalyse und Lösungsfindung inkl. Nachverfolgung sind zu dokumentieren.
Ein geordneter Prozess zur Analyse möglicher Korrelationen von Störungen und deren
Ursachen muss vorhanden sein. Der Bearbeitungsstand offener Meldungen über Störungen,
wie auch die Angemessenheit der Bewertung und Priorisierung, ist zu überwachen und
zu steuern.
Das Institut hat geeignete Kriterien für die Information der Beteiligten (z. B.
Geschäftsleitung, zuständige Aufsichtsbehörde) über Störungen festzulegen.
Die Identifikation der Risiken kann beispielsweise anhand des Aufzeigens der Verletzung
der Schutzziele erfolgen. Die Ursachenanalyse erfolgt auch dann, wenn mehrere IT-Systeme
zur Störungs- und Ursachenerfassung sowie –bearbeitung eingesetzt werden. Hier können
standardisierte Incident– und Problemmanagement-Lösungen eingesetzt werden.
|
Das klassische Meldungsmanagement (Incident & Problem) wird von spezialisierten
ITSM Systemen erbracht.
Versio.io kann die Meldungen übernehmen, historisieren und vorhanden Beziehungen
zu den betroffenen Systemkomponenten (Anwendung, Service, Prozess, Host etc.) abbilden.
Versio.io unterstützt die Meldungsbearbeitung in Form der Bereitstellung von Informationen
über sämtliche Konfigurationen in der IT-Landschaft sowie deren Änderung. Die Änderungsinformationen
sind eine Basis für die Ursachenanalyse, da Änderungen häufig der Ausgangspunkt einer
Störung sind.
Neben der zentralen Informationsbereitstellung und Ursachenanalyse können Reports
zu problemverursachenden Konfigurationen oder auch den Meldungen selbst bereitgestellt
werden.
Alle im Rahmen der Problembehebung durchgeführten Maßnahmen an Systemkomponenten
werden von Versio.io automatisch dokumentiert (bspw. Speichererweiterung, Versionsupdate,
Konfigurationsänderung etc.). Jede dieser Änderungen kann hinsichtlich deren Governance
& Compliance Einhaltung verifiziert werden.
|
|
50%
|
8.7
Die Vorgaben für die Verfahren zur Datensicherung (ohne Datenarchivierung) sind
schriftlich in einem Datensicherungskonzept zu regeln. Die im Datensicherungskonzept
dargestellten Anforderungen an die Verfügbarkeit, Lesbarkeit und Aktualität der Kunden-
und Geschäftsdaten sowie an die für deren Verarbeitung notwendigen IT-Systeme sind
aus den Anforderungen der Geschäftsprozesse und den Geschäftsfortführungsplänen abzuleiten.
Die Verfahren zur Wiederherstellung und zur Gewährleistung der Lesbarkeit der Daten
sind regelmäßig, mindestens jährlich, im Rahmen einer Stichprobe sowie anlassbezogen
zu testen.
Die Anforderungen an die Maßnahmen zur Sicherstellung von Verfügbarkeit, Lesbarkeit
und Aktualität der Daten sowie an die durchzuführenden Tests ergeben sich aus diesbezüglichen
Risikoanalysen. Hinsichtlich der Standorte für die Lagerung der Datensicherungen können
eine oder mehrere weitere Lokationen erforderlich sein.
|
Mit dem Versio.io Batch-Job Monitoring können Unternehmen die zyklische Ausführung
von täglichen Backup-Prozessen und jährlichen Wiederherstellungstest revisionssicher
aufzeichnen, qualitätssichern und optimieren. Die erfassten Prozessdaten können inhaltlich
verifiziert werden, um die Governance & Compliance abzusichern. Damit kann man sich
bspw. Benachrichtigen lassen, wenn Backup oder Wiederherstellungstest fehlgeschlagen
sind oder deren Ausführungszeit sich zu den vorhergehenden Prozessdurchläufen stark
verändert hat.
|
|
25%
|
8.8
Der aktuelle Leistungs- und Kapazitätsbedarf der IT-Systeme ist zu erheben. Der
zukünftige Leistungs- und Kapazitätsbedarf ist abzuschätzen. Die Leistungserbringung
ist zu planen und zu überwachen um insbesondere Engpässe zeitnah zu erkennen und angemessen
zu reagieren. Bei der Planung sind Leistungs- und Kapazitätsbedarf von Informationssicherheitsmaßnahmen
zu berücksichtigen.
|
Das zentrale Asset & Configuration Inventory in Versio.io stellt Konfigurationsdaten
aus verschiedensten Datenquellen, bspw. Rechenzentren und Clouds, über das Reporting
und die Open-API zur Verfügung. Damit können die konfigurierten Ressourcenzuordnungen
(Anzahl CPUs, Umfang des Arbeits- oder Plattenspeichers etc.) ermittelt werden. Versio.io
erfasst keine Daten über die Höhe der tatsächlich genutzten Ressourcen!
|
|
25%
|