Die Behandlung von ISAE 3402-Berichten und ISO/IEC 27001-Zertifizierungen in der Dienstleistersteuerung
Gernot BurgsteinerDer Themenbereich Auslagerung hat bei Kreditinstituten in der Vergangenheit an Bedeutung gewonnen. Vor allem im Bereich der Informations- und Kommunikationstechnik (IKT)-Systeme und ‑Prozesse ist die weitgehende Auslagerung an spezialisierte Dienstleister eher die Regel als eine Ausnahme. Seit einigen Jahren stehen in diesem Bereich auch detaillierte Regulierungsinstrumente zur Verfügung.
Im Jahr 2018 wurde im § 25 Bankwesengesetz (BWG) festgeschrieben, dass eine Auslagerung wesentlicher bankbetrieblicher Aufgaben weder die Qualität der internen Kontrolle des Kreditinstituts noch die Beaufsichtigung des Kreditinstituts beeinträchtigen darf. Weitere Details finden sich in der Anlage zu § 25 BWG, nach welcher das Kreditinstitut die ausgelagerten Aufgaben wirkungsvoll überwachen und die mit der Auslagerung verbundenen Risiken steuern muss.
Generell gilt der Grundsatz, dass eine Auslagerung nicht von der Verantwortung für die ordnungsgemäße Funktionsweise der ausgelagerten Prozesse und Systeme entbindet. Somit müssen Handlungen gesetzt werden, um die Verlässlichkeit der ausgelagerten Systeme und Prozesse sicherzustellen und die Auslagerung entsprechend zu steuern und zu überwachen. Dienstleister sind somit mit dem entsprechenden Informationsbedarf ihrer Kunden konfrontiert, der mit steigender Anzahl von Klienten auch entsprechende Ressourcen bindet. Um das Ausmaß der benötigten Ressourcen und den Prüfaufwand bzw. Mehrfachprüfungen zu beschränken, haben sich in der Praxis Überprüfungen und Zertifizierungen durch möglichst unabhängige Instanzen etabliert, die in der Dienstleistersteuerung als eine der Informationsquellen herangezogen werden können. Die Unabhängigkeit findet hier allerdings ihre Grenze insoweit, als die Überprüfungen durch den Dienstleister selbst beauftragt werden.
Die EBA-Leitlinien zu Auslagerungen1 berücksichtigen dies, indem Selbstzertifizierungen und unabhängige Überprüfungen als Maßnahmen zur Bewertung der Leistung und Qualität des Dienstleisters angeführt werden. Der Fokus der Leitlinien liegt in diesem Punkt bei kritischen oder wesentlichen ausgelagerten Funktionen.
Unbeschadet ihrer letztendlichen Verantwortung für Auslagerungsvereinbarungen können Institute somit Zertifizierungen durch Dritte und externe oder interne Revisionsberichte, die vom Dienstleister zur Verfügung gestellt werden, nutzen.2 Gleichzeitig wird in den EBA Leitlinien aber auch ausgeführt, dass im Fall kritischer oder wesentlicher Funktionen ein dauerhaftes, ausschließliches Abstellen auf Zertifikate nicht angemessen ist.
Für kritische und wesentliche Funktionen sollten Institute jedenfalls bewerten, ob Zertifizierungen durch Dritte und die genannten Berichte angemessen und hinreichend sind.3 Randziffer 93 der EBA-Leitlinien beschreibt konkrete Prüferfordernisse, die Voraussetzung für die Verwendung von Zertifizierungen und Prüfberichten sind. Die reine Existenz einer Zertifizierung/eines Testats ist somit nicht ausreichend, u. a. da es (in unterschiedlichem Ausmaß) Möglichkeiten gibt, den Umfang der überprüften Kontrollen zu beeinflussen.
Im Bereich ausgelagerter IKT-Systeme und -Prozesse sind Prüfberichte nach dem Standard ISAE 3402 und Zertifizierungen nach ISO 27001 am häufigsten anzutreffen.
ISAE 3402
Der International Standard on Assurance Engagements (ISAE) 3402 ist ein von der International Federation of Accountants (IFAC) publizierter Standard zur Überprüfung des Internen Kontrollsystems von an externe Dienstleister ausgelagerten Prozessen (dienstleistungsbezogenes internes Kontrollsystem). Der Prüfungsstandard zielt primär auf rechnungslegungsrelevante Geschäftsprozesse oder IT-Services-Prozesse und Systeme ab. Hauptadressat der ISAE 3402- Prüfberichte sind somit die Wirtschaftsprüfer der Kunden des jeweiligen Dienstleisters. Der Umfang (d.h. zu überprüfende Prozesse und Kontrollen) einer ISAE 3402-Überprüfung kann vom Auftraggeber bestimmt werden und ist nicht standardisiert.
ISAE 3402 Typ 1-Prüfberichte befassen sich ausschließlich mit der Ausgestaltung der Kontrollen. Es wird in diesem Rahmen daher die Effektivität der Kontrollen nicht überprüft. Nur ein Typ 2-Prüfbericht umfasst eine derartige Effektivitätsüberprüfung und bietet somit belastbare Aussagen zur Funktionsweise des Kontrollsystems beim Dienstleister. Ein ISAE 3402-Prüfbericht erfordert jedenfalls eine entsprechende Detailwürdigung durch den Empfänger, um sicherzustellen, dass relevante Systeme, Prozesse und Kontrollen von der Prüfung umfasst sind.
ISO/IEC 27001
Beim ISO/IEC 27001 handelt es sich um einen internationalen Standard zum Management von Informationssicherheit. Er behandelt die Begründung, die Implementierung, den Betrieb und die laufende Verbesserung eines Informationsmanagementsystems (ISMS). Damit sollen die Informationswerte von Organisationen besser geschützt werden. Bei diesem Standard handelt es sich um einen Management Standard, der auf Prozesse ausgerichtet und technologieneutral ist.
Die Konformität zu den im ISO/IEC 27001 beschriebenen Vorgaben kann durch einen unabhängigen externen Prüfer (akkreditierte Zertifizierungsstelle) bestätigt und ein entsprechendes Zertifikat ausgestellt werden.
ISO/IEC 27001 konzentriert sich im Wesentlichen auf Personen und Prozesse. Der Standard enthält jedoch kaum Vorgaben zu konkreten technischen Sachverhalten, wie z.B. innerhalb welchen Zeitraums kritische Sicherheitsupdates eingespielt werden müssen,4 welche Verschlüsselungsalgorithmen als Stand der Technik anzusehen sind oder in welchen Intervallen kritische Systeme Sicherheitstests unterzogen werden müssen. Die reine Konformität zu ISO/IEC 27001 gewährleistet auch noch keine sichere Basis für Systemkonfigurationen. Stattdessen wäre die Etablierung eines Prozesses zum Einspielen der Sicherheitsupdates oder zur Verwaltung der Verschlüsselung bzw. zur Durchführung von Sicherheitstests Teil einer Zertifizierung. Die Implementierung eines ISMS führt zwar meist zu einem beobachtbar höheren Reifegrad der Prozesse im Bereich der Informationssicherheit, bedeutet jedoch nicht zwingend, dass das Niveau der IKT-Sicherheitsrisiken niedrig ist. Es bedeutet nur, dass IKT-Sicherheitsrisiken im Rahmen eines definierten Risikoappetits gesteuert werden.5 Weiters besteht auch die Möglichkeit, einzelne Geschäftsprozesse aus der Zertifizierung auszuklammern, z.B. um Implementierungs- und Zertifizierungskosten zu sparen. Zur Interpretation einer Zertifizierung nach ISO/IEC sind somit jedenfalls entsprechende weitere Analysen erforderlich.
Fazit
Berichte zur Überprüfung von Kontrollsystemen nach ISAE 3402 und ISO/IEC 27001 Zertifizierung liefern grundsätzlich wertvolle Informationen im Rahmen der Dienstleistersteuerung, erfordern jedoch zur korrekten Interpretation ein Basiswissen über die Aussagekraft des Testats bzw. Zertifikats sowie eine Detailwürdigung von Umfang und Inhalt der jeweiligen Überprüfung. Um zu illustrieren, wie dies beispielhaft erfolgen könnte, haben wir für Sie in unseren Checklisten wesentliche Fragen zusammengetragen, die beim Review eines ISAE 3402 Berichts bzw. einer ISO 27001 Zertifizierung beantwortet werden sollten.
1 Vgl. EBA, Leitlinien zu Auslagerungen, 2019, RZ 104.
2 Vgl. EBA, Leitlinien zu Auslagerungen, 2019, RZ 91 b.
3 Vgl. EBA, Leitlinien zu Auslagerungen, 2019, RZ 92.
4 Vgl. Horn in Feiler (Hrsg), Umsetzung der DSGVO in der Praxis (2018) 88. Ist eine Zertifizierung nach ISO 27001 erforderlich? Was sagt sie aus?
5 https://www.bcs.org/content-hub/why-iso-27001-is-not-enough/; abgerufen am 30.06.2021