Teilen

Informationssicherheit & Datenschutz

Unternehmenspolitik in Bezug auf Informationssicherheit und Datenschutz

Informations- und Kommunikationstechnik (IKT) stellt ein für die Bank wesentliches Sicherheitsrisiko dar. IKT-Sicherheitsrisiken können sich beispielsweise durch einen unbefugten Zugang zu IKT-Systemen und Datenzugriff von innerhalb oder außerhalb des Instituts, wie zum Beispiel Cyber-Attacken, ergeben 

Die Aareal Bank betreibt zum Zweck der Aufrechterhaltung und Überwachung der Informationssicherheit ein eigenes Managementsystem, das sog. Informationssicherheitsmanagementsystem (ISMS). Die damit verbundene schriftlich fixierte Ordnung, die für die Aareal Bank AG inkl. der Aareal Bank Capital Corporation und Aareal Bank Asia Limited gilt, enthält Prinzipien für die Informationssicherheit, Verhaltensgrundsätze und die Struktur der Informationssicherheitsorganisation, die u.a. der Vermeidung von IKT-Sicherheitsrisiken dienen. Der Chief Information Security Officer (CISO) ist für Etablierung und Aufrechterhaltung des bankinternen ISMS verantwortlich. Zudem betreibt die die Aareal Bank ein Datenschutzmanagementsystem (DSMS) zur Aufrechterhaltung und Überwachung des Datenschutzes, in welchem die Anforderungen aus der Datenschutz-Grundverordnung (DSGVO) implementiert sind.

Die Aareal Bank wird durch die Europäische Zentralbank (EZB) überwacht. Daher nutzt die Aareal Bank für die Definition ihrer IKT-Sicherheitsrisiken die Nomenklatur der Europäischen Bankenaufsichtsbehörde (EBA). Diese ist in der EBA/GL/2017/05 Leitlinien für die ICT-Risikobewertung sowie in der EBA/GL/2019/04 Leitlinie für das Management von IKT- und Sicherheitsrisiken im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (SREP) definiert.

Die DORA (Digital Operational Resilience Act)-Verordnung ist am 17.1.2025 in Kraft getreten und findet für die Aareal Bank ab dem 17.1.2025 Anwendung. DORA ersetzt die durch die Bankaufsichtlichen Anforderungen an die IT (BAIT) bestehenden Anforderungen an die Aareal Bank.

Auf internationaler Ebene hat sich für die ISMS-Implementierung der Standard ISO/IEC 27001 etabliert. Dieser spezifiziert die Anforderungen für die Einrichtung, Umsetzung, Aufrechterhaltung und fortlaufende Verbesserung eines ISMS. Ergänzend zu den Anforderungen aus DORA lehnt sich die Aareal Bank daher an ISO/IEC 27001 als Standard für das ISMS an.

Konzepte zur Informationssicherheit

Die Gesamtverantwortung über die Informationssicherheit liegt beim Vorstand der Aareal Bank AG, welcher die Aufgabe zur Etablierung und Aufrechterhaltung eines DORA-konformen Informationssicherheitsmanagementsystems (ISMS) an den Chief Information Security Officer (CISO) delegiert. 

Die Informationssicherheitsorganisation (IS-Org.) unterstützt die Einhaltung und Verbesserung sämtlicher Maßnahmen zur Informationssicherheit. Die IS- Org. ist dem Chief Risk Officer unterstellt und besteht aus dem CISO sowie seinem Vertreter und den Mitarbeitern. 

Der CISO verantwortet das ISMS und damit u.a. den angemessenen Umgang mit Cyberrisiken. Cyberrisiken sind als Teil der Informationsrisiken eine Unterrisikoart von Operationellen Risiken. Die Informationssicherheitsorganisation behandelt Informationsrisiken entsprechend der für die Gesamtbank geltenden Risikorahmenvorgaben.

Management der Auswirkungen, Risiken und Chancen der Informationssicherheit

Die Zielsetzung des Informationsrisikomanagements basiert auf dem Umgang mit Operationellen Risiken der Aareal Bank, der zusammengefasst feststellt, dass im Hinblick auf die ökonomische Sinnhaftigkeit wie auch den Risikoappetit angemessene Entscheidungen bzgl. der Vermeidung, der Akzeptanz des Eingehens oder der Abwälzung von Risikopositionen gefällt werden.

Zum Schutz von vertraulichen Daten, ihrer Integrität, ihrer Authentizität und Verfügbarkeit wird ein Informationssicherheitsmanagementsystem (ISMS) betrieben. 

Das beschriebene Informationssicherheitsmanagementsystem (ISMS) dient dem Schutz von vertraulichen Daten, ihrer Integrität, ihrer Authentizität und Verfügbarkeit. Innerhalb der schriftlich fixierten Ordnung zum ISMS der Aareal Bank sind verschiedene Maßnahmen zur Wahrung der Informationssicherheit festgeschrieben. Die folgenden Eckpunkte werden zum Schutz der Informationssicherheit und zur Erreichung des angestrebten Sicherheitsniveaus herangezogen und gelten für Aareal Bank AG inkl. der Aareal Bank Capital Corporation und Aareal Bank Asia Limited:

  • Die Informationen, Daten und Systemen werden stetig überprüft um deren Integrität, Authentizität, Verfügbarkeit und Vertraulichkeit sicherzustellen.
  • Die Anwendbarkeit und Wirksamkeit von Sicherheitsmaßnahmen werden im Rahmen des internen Kontrollsystems und des „Three Lines of Defense“-Modells stetig überprüft.
  • Alle Mitarbeiter werden für das Thema Informationssicherheit sensibilisiert und adäquat geschult. Die Schulung wird jährlich mit unterschiedlichen Schwerpunktthemen durchgeführt.
  • Das vom Dienstleister in der Aareal Bank eingesetzte Personal wird adäquat gemäß des jeweiligen Einsatzgebiets geschult und eingewiesen. 
  • Der Austausch von Informationen zu Cyber-Bedrohungen wird von der Aareal unterstützt und im Rahmen ihrer Kommunikationskanäle zur Europäischen Zentralbank, Bundesanstalt für Finanzdienstleistungsaufsicht und dem Bundesamt für Sicherheit in der Informationstechnik genutzt und gefördert.

Die Aufrechterhaltung und stetige Verbesserung des Sicherheitsniveaus durch konsequente Maßnahmenplanung, -umsetzung, -steuerung und -überprüfung ist ein in sich geschlossener Prozess. Die dazu notwendigen Kontrollen werden erstellt, vom zuständigen Vorstand jährlich verabschiedet und entsprechend durchgeführt. Auf dieser Grundlage wird über die Angemessenheit der Ergreifung von Sicherheitsmaßnahmen zur kontinuierlichen Verbesserung der Informationssicherheit bzw. deren nachhaltiger Zielerreichung entschieden.

Die Aareal Bank hat für die Gesamtbank einen angemessen Überwachungs- und Steuerungsprozess eingeführt. Die Überwachung der Informationssicherheit erfolgt durch Regelkontrollen, Audits, sowie anlassbezogene Analysen und Untersuchungen. Der Geltungsbereich für das Kontrolluniversum ist der Informationsverbund, der alle schützenswerten Informationen verarbeitenden Information-Assets abbildet. Der Kontrollplan der IS-Org. stellt sicher, dass die Vorgaben aus den Richtlinien angemessen und wirksam erfüllt werden. Gleichzeitig wird die Effektivität und Vollständigkeit der Sollmaßnahmenerfüllung der 1st-LoD überprüft.

 

Berichterstattung
Rahmenwerke
Kennzahlen


Archiv

Sitemap Download Center PSD2 XS2A
Aareal PortalAareal Account Kautionen
Jubiläumsseite besuchen
Instagram YouTube LinkedIn