Deutsche Bank

Nichtfinanzieller Bericht 2017

Sicherheit von Informationen

Unsere Kunden erwarten Zugang zu den Dienstleistungen ihrer Bank – zu jeder Zeit, ortsunabhängig und mittels einer Vielzahl von Zugangswegen. Bei der Weiterentwicklung unserer Technologien, unseres Serviceangebots und unserer Prozesse setzen wir auf die Zusammenarbeit mit Kooperationspartnern und die Integration von FinTech-Entwicklungen. Zugleich nehmen Angriffe auf Informationen und Technologien in Umfang, Geschwindigkeit und Raffinesse zu. Informationssicherheit ist daher eines der wesentlichen nichtfinanziellen Themen für die Deutsche Bank. Der Schutz von Vertraulichkeit, Integrität und Verfügbarkeit der Daten unserer Kunden und der Informationsgüter der Bank ist unerlässlich für das Vertrauen, das die Deutsche Bank von ihren Kunden, Aktionären, Mitarbeitern und gesellschaftlichen Interessengruppen erhält.

Steuerung

Wir arbeiten laufend an unserem Rahmenwerk für Informationssicherheit und unserem IT-Sicherheitsprogramm, um die Richtlinien und Standards der Bank an die sich verändernden Geschäftsanforderungen, regulatorischen Vorgaben und neuen Cyber-Bedrohungsszenarien anzupassen. Unsere Richtlinien für Informationssicherheit unterstützen die Deutsche Bank bei der Einhaltung dieser Anforderungen und bilden die Grundlage für die aktive Steuerung von Maßnahmen zu deren Umsetzung. Dabei setzen wir auf internationale Standards und bewährte Methoden für den Aufbau unserer umfassenden Informationssicherheitsrichtlinien. Unser Informationssicherheits-Managementsystem ist seit 2012 nach dem internationalen Standard ISO 27001 zertifiziert und wurde 2015 rezertifiziert. Mit unseren Richtlinien für Informationssicherheit verpflichtet sich unser Vorstand klar zum Schutz der Informationen der Bank. Als Entscheidungsgremium mit durch den COO-Vorstandsbereich übertragener Kompetenz für die Steuerung aller Maßnahmen einschließlich potenzieller Eskalationen haben wir ein IT Security Committee etabliert.

Chief Information Security Office

Im Jahr 2017 wurde die Verantwortung für die Unternehmenssicherheit (vorher Teil der Betriebsorganisation des Bereichs Corporate Services) und die Informationssicherheit im Chief Security Office (CSO) zusammengeführt, um den umfassenden Schutz von Informationen sowie die physische Sicherheit von Menschen, Werten und Gebäuden sicherzustellen. Das CSO ist Teil unserer Betriebsorganisation (COO), die für die internen Abläufe in der Bank verantwortlich ist. Innerhalb des CSO bleibt das Chief Information Security Office (CISO) der zentrale und unabhängige Ansprechpartner für die Informationssicherheit der Deutschen Bank. Unser CISO sorgt für angemessene Strukturen, Richtlinien, Prozesse und technische Funktionen für den Umgang mit Informationsrisiken innerhalb der Deutschen Bank und ist verantwortlich für die Entwicklung und Umsetzung der globalen Informationssicherheitsstrategie, die 2017 überprüft und bestätigt wurde.

Dieses Mandat für das CISO innerhalb der Deutschen Bank wird durch eine CISO Governance & Operations-Einheit der Postbank ergänzt.

Das CISO arbeitet mit allen Geschäftsbereichen der Deutschen Bank und allen Mitarbeitern zusammen, um sicherzustellen, dass die Systeme der Bank geschützt sind und sicher eingesetzt werden können, um die Geschäftsziele der Bank zu erreichen. Unser Anspruch ist es, mit unserer Kompetenz im Bereich Informationssicherheit einen Wettbewerbsvorteil für die Deutsche Bank zu schaffen, die Marke und Reputation der Deutschen Bank zu schützen und hierdurch das Vertrauen der Kunden und der Märkte zu stärken.

Cyberbedrohungen

Wir verfolgen einen mehrstufigen Ansatz zum Schutz der Informationen der Bank, indem wir Mechanismen zur Sicherheitskontrolle auf allen Technologieebenen etablieren. Dazu gehören zum Beispiel Daten, unsere Infrastruktur und Anwendungen. Auf diese Weise stellen wir einen ganzheitlichen Schutz sicher, der es uns ermöglicht, Cyberangriffe zu verhindern oder aber Bedrohungen frühestmöglich zu erkennen, darauf zu reagieren und – falls nötig – Wiederherstellungsmaßnahmen zu ergreifen. Dies ist ein wesentlicher Aspekt unserer Informationssicherheitsstrategie.

Neben Prävention durch Threat Operations, Data Leakage Prevention, Vulnerability Management und der kontinuierlichen Sensibilisierung unserer Mitarbeiter räumen wir auch der Erkennung von Bedrohungen einen hohen Stellenwert ein und konzentrieren uns auf eine schnelle und angemessene Reaktion mit klar definierten Verantwortlichkeiten. Unsere eigens eingerichteten Cyber Intelligence and Response Center in Deutschland, Singapur und den USA bieten eine Rund-um-die-Uhr-Abdeckung, die dazu beiträgt, Bedrohungen besser zu erkennen und zu jedem Zeitpunkt mit wirksamen Maßnahmen auf Sicherheitsvorfälle reagieren zu können.

Der Mensch als „Firewall“

Ein wesentlicher Baustein unserer Informationssicherheitsstrategie ist die Sensibilisierung unserer Mitarbeiter für die Cyberbedrohungen und die Verantwortung jedes Einzelnen für den Schutz unserer Informationsgüter. Im Jahr 2017 haben wir daher eine globale Mitarbeiterkampagne gestartet, die auf verschiedenen Kanälen – beispielsweise im Intranet, auf Veranstaltungen und durch Informationsmaterial – alle Felder der Informations- und Unternehmenssicherheit abdeckt. Auch unsere Kunden sensibilisieren wir stärker für dieses Themengebiet, zum Beispiel durch Kundenunterlagen und gezielte Veranstaltungen.

Training und Ausbildung sind im höchst dynamischen Umfeld der Informationssicherheit unerlässlich. Im Jahr 2017 haben wir daher unser Information Security Profession Framework für alle CISO-Mitarbeiter überprüft und die dazugehörigen Ausbildungsanforderungen für die einzelnen Arbeitsplatzprofile definiert.

Zusätzlich zu unseren Sensibilisierungsmaßnahmen durchlaufen alle Mitarbeiter regelmäßig verpflichtende Schulungen. Diese werden durch aufgabenbezogene Trainings für verschiedene Zielgruppen und Spezialistenrollen ergänzt.

Zusammenarbeit mit Interessengruppen

Aufsichtsbehörden haben erkannt, dass die Gefährdung der Informationssicherheit ein hohes Risiko für Finanzinstitutionen darstellt. Wir arbeiten eng mit den Behörden zusammen, um globale und lokale Anforderungen an die Bank zu verstehen und frühzeitig darauf reagieren zu können. Darüber hinaus stimmen wir uns intensiv mit nationalen und internationalen Sicherheitsorganisationen, staatlichen Behörden und Branchenverbänden ab. Über den aktiven Austausch relevanter und anonymisierter Informationen über Bedrohungen (Indicators of Compromise) wollen wir die Risiken für alle Beteiligten verringern.

Die Zusammenarbeit mit Interessengruppen trägt dazu bei, unsere Ansätze und Methoden zur Gewährleistung der Informationssicherheit auf dem neusten Stand zu halten. Wir haben daher ein eigenes Team für die Koordination des Informationsaustauschs und den Ausbau unseres Netzwerks eingerichtet.