DNB setzt auf proaktives Risikomanagement

Notwendiger Schutz von Finanzdienstleistungen
Banken erbringen so grundlegende Dienstleistungen, dass sie alles in ihrer Macht Stehende tun müssen, um Risiken zu vermeiden oder zu verringern. Wenn Bankensysteme ausfallen, kann das verheerende Auswirkungen auf einzelne Kunden, Unternehmen oder ganze Länder haben.

Ob es um die Sicherstellung des IT-Betriebs, die Überprüfung von Handelspartnern oder den Schutz vor externen Cyberangriffen geht – die Notwendigkeit, Schwachstellen zu erkennen und zu beseitigen, ist eine gewaltige Aufgabe. So auch bei der DNB, die jährliche IT-Ausgaben von mehr als 500 Millionen Euro hat und rund 50 Serviceverantwortliche beschäftigt, die etwa 1.000 IT-bezogene Anwendungen, Rechenzentren und Cloud-Infrastrukturen verwalten.

In der stark regulierten Welt der Finanzdienstleistungen muss die DNB auch ihre 11 Bank- und Finanzproduktlizenzen schützen, indem sie die Compliance mit Aufsichtsbehörden wie Schrems II, Basel III und NIST nachweist.

„Wenn es zu einer Sicherheitsverletzung und einer Offenlegung von Daten käme, wäre das verheerend für unser Image. Wir könnten unsere Betriebslizenzen verlieren und unglaublich hohe Geldstrafen erhalten. Kunden könnten abwandern“, sagt Anne Kristine Næss, Enterprise Architect für die Now Platform bei DNB.

Das Risikomanagement steht bei der DNB ganz oben auf der Agenda, doch für die Bank war es unmöglich, diese komplexe Aufgabe manuell mit Excel-Tabellen zu erledigen. Der Zeitaufwand war zu groß, und wenn die Daten endlich zur Verfügung standen, waren sie oft nicht mehr aktuell.

Die Basel-III-Vereinbarung und die Kapitalanforderungen im Zusammenhang mit der Risikolage der DNB bedeuten, dass die Bank jedes Jahr große Summen für den Fall zurücklegen muss, dass etwas schiefgeht. Die Bank wollte mehr Kontrolle über ihre Risiken erlangen und in der Lage sein, ihre Risikoposition zu verbessern. Sie wollte die Kapitalanforderungen reduzieren und dieses Geld in profitablere Aktivitäten wie die Entwicklung neuer digitaler Produkte und Funktionen investieren, um den ständig wachsenden Erwartungen der Kunden gerecht zu werden.

Risikominderung auf Grundlage aktueller Daten
„Wir brauchten ein Tool, das uns eine Hierarchie bietet, in der wir Knotenpunkte miteinander verknüpfen und Ergebnisse liefern können, die für verschiedene Frameworks von Interesse sind“, so Næss. „Darüber hinaus müssen wir nachweisen, dass die Richtlinien eingehalten werden. Dazu ist ein Aufgabenmanagement erforderlich, bei dem wir anhand von Echtzeitdaten ermitteln können, was gerade geschieht, um etwas dagegen zu unternehmen.“

„Wir konnten Excel nicht ganz abschaffen, aber unsere Mitarbeiter sehen jetzt, dass sie den Daten in ServiceNow mehr Vertrauen schenken können als ihren Tabellenkalkulationen.“

Als Nutzer zahlreicher anderer ServiceNow-Lösungen implementierte die DNB Integrated Risk Management von ServiceNow, um Risiken sowohl für interne Services als auch für Drittparteien zu verwalten.

Software Asset Management (SAM) und Vulnerability Response werden verwendet, um Schwachstellen bei Software-Assets nachzuverfolgen, die das Ende ihrer Lebensdauer erreichen oder Patches und Upgrades benötigen. Auf diese Weise wird sichergestellt, dass die Informationen in der Configuration Management Database (CMDB) der DNB korrekt sind und die Serviceverantwortlichen immer über unumstößliche Daten verfügen. So können sie die Finanzierung von Patches und anderen Aktivitäten rechtfertigen, die die Sicherheit der Services erhöhen.

ServiceNow Security Incident Response vereinfacht die Identifizierung kritischer Incidents und bietet Workflow- und Automatisierungstools, die deren Behebung beschleunigen. Auf diese Weise kann die Bank aus den Ursachen von Problemen in der Vergangenheit lernen und ihre Risikoposition verbessern.

„Ich möchte auch das DevOps-Modul und die kommende DevOps-Konfiguration erwähnen, mit der wir Codeänderungen überprüfen können, bevor sie bereitgestellt und in die Produktion übernommen werden“, betont Næss. „Dadurch können wir Risikorichtlinien wie NIST einhalten und sicherstellen, dass mehr Teams gemäß den Best Practices von DevOps arbeiten und uns einen Audit-Pfad zur Verfügung stellen.“

Stärkeres Bewusstsein für Risikoanfälligkeit
Die DNB verfügt jetzt über ein zentralisiertes Risikoteam, das die Prozesse koordiniert. Die Mitglieder sind Risiko- und Sicherheitsexperten aus der zentralen IT-Abteilung und Risikomanager aus den Geschäftsbereichen.

Unterstützt durch die ServiceNow-Technologie hat die DNB einen Prozess zur Risikominderung mit vielen neuen Richtlinien und Kontrollen implementiert, der die Sicherheit der Bank gewährleisten soll. Die Serviceverantwortlichen sollen risikobewusster werden und mehr Verantwortung übernehmen. Der Schwerpunkt liegt auf der rechtzeitigen Erfassung von Echtzeitdaten, mit denen Mitarbeiter in der Lage sind, aktuelle Risiken richtig einzuschätzen und dann Prioritäten zu setzen, um die Risiken zu mindern. Es werden automatische Risikobewertungen durchgeführt, bei denen den Serviceverantwortlichen Fragen zu den aktuellen Risiken, den geplanten Risikominderungsmaßnahmen und den Endergebnissen gestellt werden. Wenn die Fragen zu einem Risiko zufriedenstellend beantwortet werden, kann es geschlossen werden.

„Unsere Arbeit hat das Risiko für die Bank definitiv verringert. Beweis dafür ist die Vielzahl an Maßnahmen, die wir ergriffen haben, um die Wahrscheinlichkeit zu verringern, dass etwas Schlimmes passiert“, fügt Næss hinzu. „Derzeit sind wir in einer viel besseren betrieblichen Situation als vorher. Das liegt daran, dass wir sehr sorgfältig darauf achten, was wir in die Produktion einbringen. Wir erkennen an, dass Risikobewusstsein eine veränderte Denkweise bedeutet und nicht nur die Erstellung von Berichten. Dass wir auf ein gutes Risikomanagement verweisen können, hat bereits zu einer spürbaren Reduzierung der Kapitalbindung für das laufende Geschäftsjahr geführt.“

„Wir haben nur noch sehr wenige Ausfallzeiten bei kritischen Services und generell sehr wenige Probleme. Dafür, dass sich das nicht ändert, sorgt Integrated Risk Management von ServiceNow. Die Lösung hilft uns, nicht von unseren Standards abzuweichen. Wir wollen die Kundenzufriedenheit steigern sowie Serviceausfälle, Servicebeeinträchtigungen und Sicherheitsvorfälle vermeiden. ServiceNow hilft uns, das zu erreichen.“