Zuverlässige Risikomanagement-Prozesse gewährleisten die Einhaltung von Rechtskonformität, Sicherheit und die Vermeidung von Service-Ausfällen. Nicht zuletzt deswegen gehören sie zu den wichtigsten Prozessen einer Bank. Angesichts der Tatsache, dass Finanzdienstleistungen heute überwiegend digital angeboten werden, fällt ein erklecklicher Anteil des Risikomanagements auf die IT-Organisation zurück. Dennoch ist es sinnvoll, beim Risikomanagement einen ganzheitlichen Ansatz zu wählen, der sowohl IT- als auch nicht-IT-bezogene Risiken im Blickfeld behält.

Genau diesen Ansatz wählte DNB, die größte Bank Norwegens, die jährliche IT-Ausgaben von mehr als 500 Millionen Euro hat und rund 50 Serviceverantwortliche beschäftigt, um etwa 1.000 IT-bezogene Anwendungen, Rechenzentren und Cloud-Infrastrukturen verwalten. In der stark regulierten Welt der Finanzdienstleistungen muss die DNB auch ihre 11 Bank- und Finanzproduktlizenzen schützen, indem sie die Compliance mit Aufsichtsbehörden nach mehreren Standards wie Schrems II, Basel III und NIST nachweist.

"Wenn es zu einer Sicherheitsverletzung und einer Offenlegung von Daten käme, wäre das verheerend für unser Image. Wir könnten unsere Betriebslizenzen verlieren und unglaublich hohe Geldstrafen erhalten. Kunden könnten abwandern", sagt Anne Kristine Næss, Enterprise Architect für die Now Platform von ServiceNow bei DNB.

Das Risikomanagement steht bei der DNB ganz oben auf der Agenda, doch für die Bank war es unmöglich, diese komplexe Aufgabe manuell mit Excel-Tabellen zu erledigen. Der Zeitaufwand war zu groß, und wenn die Daten endlich zur Verfügung standen, waren sie oft nicht mehr aktuell.

Die Basel-III-Vereinbarung und die Kapitalanforderungen im Zusammenhang mit der Risikolage der DNB bedeuten, dass die Bank jedes Jahr große Summen für den Fall zurücklegen muss, dass etwas schiefgeht. Die Bank wollte mehr Kontrolle über ihre Risiken erlangen und in der Lage sein, ihre Risikoposition zu verbessern. Sie wollte die Kapitalanforderungen reduzieren und dieses Geld in profitablere Aktivitäten wie die Entwicklung neuer digitaler Produkte und Funktionen investieren, um den ständig wachsenden Erwartungen der Kunden gerecht zu werden.

Aktuelle Daten als Grundlage für die ganzheitliche Sicht

"Wir brauchten ein Tool, das uns eine Hierarchie bietet, in der wir Knotenpunkte miteinander verknüpfen und Ergebnisse liefern können, die für verschiedene Frameworks von Interesse sind", so Næss. "Darüber hinaus müssen wir nachweisen, dass die Richtlinien eingehalten werden. Dazu ist ein Aufgabenmanagement erforderlich, bei dem wir anhand von Echtzeitdaten ermitteln können, was gerade geschieht, um etwas dagegen zu unternehmen."

"Wir konnten Excel nicht ganz abschaffen, aber unsere Mitarbeiter sehen jetzt, dass sie den Daten in ServiceNow mehr Vertrauen schenken können als ihren Tabellenkalkulationen."

Als Nutzer zahlreicher anderer ServiceNow-Lösungen implementierte die DNB Integrated Risk Management von ServiceNow, um Risiken sowohl für interne Services als auch für Drittparteien zu verwalten.

Software Asset Management (SAM) und Vulnerability Response werden verwendet, um Schwachstellen bei Software-Assets nachzuverfolgen, die das Ende ihrer Lebensdauer erreichen oder Patches und Upgrades benötigen. Auf diese Weise wird sichergestellt, dass die Informationen in der Configuration Management Database (CMDB) der DNB korrekt sind und die Serviceverantwortlichen immer über verlässliche Daten verfügen. So können sie die Finanzierung von Patches und anderen Aktivitäten rechtfertigen, die die Sicherheit der Services erhöhen.

ServiceNow Security Incident Response vereinfacht die Identifizierung kritischer Vorfälle und bietet Workflow- und Automatisierungstools, die deren Behebung beschleunigen. Auf diese Weise kann die Bank aus den Ursachen von Problemen in der Vergangenheit lernen und ihre Risikoposition verbessern.

Service-Verantwortliche werden risikobewusster

"Ich möchte auch das DevOps-Modul und die kommende DevOps-Konfiguration erwähnen, mit der wir Codeänderungen überprüfen können, bevor sie bereitgestellt und in die Produktion übernommen werden", betont Næss. "Dadurch können wir Risikorichtlinien wie NIST einhalten und sicherstellen, dass mehr Teams gemäß den Best Practices von DevOps arbeiten und uns einen Audit-Pfad zur Verfügung stellen."

Die DNB verfügt jetzt über ein zentralisiertes Risikoteam, das die Prozesse koordiniert, das sich aus den Risiko- und Sicherheitsexperten aus der zentralen IT-Abteilung und den Risikomanagern aus den Geschäftsbereichen zusammensetzt.

Unterstützt durch die ServiceNow-Technologie hat die DNB einen Prozess zur Risikominderung mit vielen neuen Richtlinien und Kontrollen implementiert, der die Sicherheit der Bank besser gewährleisten soll. Es soll außerdem dazu beitragen, die Serviceverantwortlichen risikobewusster zu machen und mehr Verantwortung übernehmen zu lassen.

Der Schwerpunkt liegt auf der rechtzeitigen Erfassung von Echtzeitdaten, mit denen Mitarbeiter in der Lage sind, aktuelle Risiken richtig einzuschätzen und dann Prioritäten zu setzen, um die Risiken zu mindern. Es werden automatische Risikobewertungen durchgeführt, bei denen den Serviceverantwortlichen Fragen zu den aktuellen Risiken, den geplanten Maßnahmen zur Risikominderung und den Endergebnissen gestellt werden. Wenn die Fragen zu einem Risiko zufriedenstellend beantwortet werden, kann es geschlossen werden.

Eine bessere operative Verfassung erreicht

"Unsere Arbeit hat das Risiko für die Bank definitiv verringert. Beweis dafür ist die Vielzahl an Maßnahmen, die wir ergriffen haben, um die Wahrscheinlichkeit zu verringern, dass etwas Schlimmes passiert", fügt Næss hinzu. "Derzeit sind wir in einer viel besseren betrieblichen Situation als vorher. Das liegt daran, dass wir sehr sorgfältig darauf achten, was wir in die Produktion einbringen. Wir erkennen an, dass Risikobewusstsein eine veränderte Denkweise bedeutet und nicht nur die Erstellung von Berichten. Dass wir auf ein gutes Risikomanagement verweisen können, hat bereits zu einer spürbaren Reduzierung der Kapitalbindung für das laufende Geschäftsjahr geführt."

"Wir haben nur noch sehr wenige Ausfallzeiten bei kritischen Services und generell sehr wenige Probleme", freut sich Anne Kristine Næss. "Dafür, dass sich das nicht ändert, sorgt Integrated Risk Management von ServiceNow. Die Lösung hilft uns, nicht von unseren Standards abzuweichen. Wir wollen die Kundenzufriedenheit steigern sowie Serviceausfälle, Servicebeeinträchtigungen und Sicherheitsvorfälle vermeiden. ServiceNow hilft uns, das zu erreichen."

Wie Unternehmen mit einem ganzheitlichen Ansatz in Bezug auf das Risikomanagement resilienter werden können, erfahren Sie hier.