Deutsche Bank

Unternehmerische Verantwortung
Bericht 2016

Sicherheit von Informationen

  • Eröffnung von dezidierten Cyber Incident and Response Centers
  • Weiterentwicklung des Programms und Rahmenwerks für Informationssicherheit
  • Aktualisierung der Richtlinien zur Informationssicherheit

Die Digitalisierung eröffnet Finanzinstitutionen eine Vielzahl von Chancen. Sie ermöglicht zum Beispiel die Personalisierung von Leistungen und damit einhergehend die Verbesserung von Geschäftsprozessen. Zugleich nehmen jedoch auch Angriffe auf Informationen und Technologien in Umfang, Geschwindigkeit und Raffinesse zu. Diesen mit der Digitalisierung einhergehenden Risiken ist auch die Deutsche Bank ausgesetzt.

Unser Ziel ist es, die Bank und ihre Kunden vor Informationsrisiken zu schützen. Bereits im Jahr 2013 haben wir deshalb ein sogenanntes Chief Information Security Office (CISO) eingerichtet. Es sorgt für angemessene Strukturen, Richtlinien, Prozesse und technische Funktionen für den Umgang mit Informationsrisiken. Das CISO ist Teil unseres Chief Operating Office, das für die internen Abläufe in der Bank verantwortlich ist.

Zusammenarbeit mit Stakeholdern

Aufsichtsbehörden haben erkannt, dass die Gefährdung der Informationssicherheit ein hohes Risiko für Finanzinstitutionen darstellt. Wir arbeiten eng mit den Behörden zusammen, um globale und lokale Anforderungen an die Bank zu verstehen und frühzeitig darauf reagieren zu können. Darüber hinaus stimmen wir uns intensiv mit nationalen und internationalen Sicherheitsorganisationen, staatlichen Behörden und Branchenverbänden ab. Über den proaktiven Austausch relevanter und anonymisierter Informationen wollen wir zur Verringerung von Risiken bei allen Beteiligten beitragen.

Die Zusammenarbeit mit Interessengruppen trägt auch dazu bei, unsere Ansätze und Methoden zur Gewährleistung der Informationssicherheit auf dem neusten Stand zu halten. Wir haben daher ein eigenes Team für die Koordination des Informationsaustauschs und den Ausbau unseres Netzwerks eingerichtet.

Erkennung und Vermeidung von Cyber-Bedrohungen

Wir verfolgen einen mehrstufigen Ansatz zum Schutz der Informationen der Bank, indem wir Mechanismen zur Sicherheitskontrolle auf allen Technologieebenen etablieren. Dazu gehören zum Beispiel Daten, unsere Infrastruktur und Anwendungen. Auf diese Weise stellen wir einen ganzheitlichen, widerstandsfähigen Schutz sicher, der es uns ermöglicht, Cyber-Attacken zu verhindern oder aber Bedrohungen frühestmöglich zu erkennen, darauf zu reagieren und – falls nötig – Wiederherstellungsmaßnahmen zu ergreifen. Dies ist ein wesentlicher Aspekt unserer Informationssicherheitsstrategie, die Ende des Jahres 2016 vom Vorstand der Bank verabschiedet wurde.

Neben hoch entwickelten Präventionsmethoden räumen wir auch der Erkennung von Bedrohungen einen hohen Stellenwert ein und konzentrieren uns auf eine schnelle und angemessene Reaktion mit klar definierten Verantwortlichkeiten. 2016 eröffneten wir drei dedizierte Cyber Incident and Response Centers, die dazu beitragen werden, Bedrohungen besser zu erkennen und zu jedem Zeitpunkt mit wirksamen Maßnahmen auf Sicherheitsvorfälle reagieren zu können.

Steuerung von Informationssicherheit

Als zentral verantwortliche Stelle für Informationssicherheit legt das CISO die Informationssicherheitsstrategie der Bank fest und setzt angemessene Maßnahmen zum Schutz der Informationssicherheit sowie der Vertraulichkeit, Zuverlässigkeit und Verfügbarkeit von Geschäfts- und Kundeninformationen im gesamten Konzern um.

Wir erweitern kontinuierlich unser Rahmenwerk für Informationssicherheit und unser IT-Sicherheitsprogramm, um die Richtlinien und Standards der Bank an die sich verändernden Geschäftsanforderungen, regulatorischen Vorgaben und neu aufkommenden IT-Bedrohungen anzupassen. Mit den verabschiedeten Richtlinien und Standards verpflichtet sich der Vorstand der Bank klar zum Schutz von Informationen der Bank. Um diese Verpflichtung zu unterstreichen, ist die Deutsche Bank nach dem internationalen ISO-Standard 27001 für Informationssicherheit zertifiziert.

Das Rahmenwerk zur Informationssicherheit umfasst die Informationssicherheitsprinzipien der Bank sowie detaillierte Richtlinien und Verfahren zu deren Umsetzung. Es steht allen Mitarbeitern zur Verfügung. Im Berichtsjahr aktualisierten wir unter anderem unsere Richtlinien zur elektronischen Kommunikation und zum Zugriff von Kunden auf die Infrastruktur der Bank. Chief Business Information Security Officer sind für die Umsetzung unserer Informationssicherheitsprinzipien auf Geschäftsbereichsebene verantwortlich und stellen sicher, dass in Übereinstimmung mit den geltenden Richtlinien gehandelt wird.

Bewusstsein und Verantwortlichkeit der Mitarbeiter

Jeder einzelne Mitarbeiter ist für die Einhaltung unserer Richtlinien und Verfahren zur Informationssicherheit verantwortlich. Wir verpflichten unsere Mitarbeiter, regelmäßig an Schulungen teilzunehmen, und kontrollieren den erfolgreichen Abschluss. Darüber hinaus tragen weitere umfangreiche Maßnahmen wie zum Beispiel eine spezielle Website, Schulungsvideos, Phishing-Kampagnen und Informationsveranstaltungen zur IT-Sicherheit dazu bei, das Bewusstsein für die Thematik zu steigern. Des Weiteren hierzu können unsere Mitarbeiter und Dienstleister konzernweit über eine täglich 24 Stunden erreichbare Hotline jederzeit Informationssicherheitsvorfälle melden.