Sicherheitsmanagement und Compliance im Banking
Compliance-Anforderungen im Banking wirken auf den ersten Blick wie ein undurchdringlicher Dschungel aus Paragraphen und Richtlinien. Tatsächlich gibt es aber logische Strukturen und Zusammenhänge, die das Ganze handhabbar machen.
Die BaFin hat klare Vorstellungen davon, wie Banken und Finanzdienstleister ihre IT-Sicherheit organisieren müssen. Die BAIT und ZAG sind dabei zentrale Regelwerke. Dieser Kurs erklärt nicht nur, was drinsteht, sondern wie Sie die Anforderungen praktisch umsetzen.
Standards und Frameworks
ISO 27001 ist der internationale Standard für Informationssicherheits-Managementsysteme. Viele Banken streben eine Zertifizierung an – aber was bedeutet das konkret für Ihre tägliche Arbeit? Sie lernen, wie ein ISMS aufgebaut wird und welche Kontrollen wirklich relevant sind.
DSGVO-Compliance beim Umgang mit Kundendaten ist ein eigenes Kapitel. Wann dürfen welche Daten verarbeitet werden? Wie lange müssen Transaktionsdaten aufbewahrt werden? Was passiert bei einem Data Breach? Die rechtlichen Grundlagen werden mit praktischen Beispielen verknüpft.
Risikomanagement-Methoden, Audit-Vorbereitung und die Kommunikation mit Aufsichtsbehörden runden das Programm ab. Sie erhalten Vorlagen für Policies, Risikoanalysen und Incident-Reports, die Sie direkt anpassen können.
Programmstruktur
Phase 1: Regulatorisches Umfeld
- BaFin-Anforderungen: BAIT, MaRisk, ZAG im Detail
- PSD2 und Zahlungsdienstleister-Pflichten
- DSGVO-Anforderungen für Finanzdaten
- Meldepflichten bei Security-Incidents
Phase 2: Information Security Management
- ISO 27001 Zertifizierung
- Aufbau eines ISMS, Kontrollen, Dokumentation
- Risikoanalyse und -bewertung
- Methoden, Tools, praktische Durchführung
- Business Continuity Planning
- Notfallpläne, Recovery-Strategien
Phase 3: Praktische Implementation
- Security Policies schreiben und durchsetzen
- Awareness-Programme für Mitarbeiter entwickeln
- Vendor-Management und Third-Party-Risiken
- Audit-Vorbereitung und -Durchführung
Phase 4: Incident Management
Breach-Response: Von der Erkennung über die Eindämmung bis zur Nachbereitung und Behördenkommunikation