Basel II ist ein Konsultationspapier vom Baseler Ausschuss für Bankenaufsicht. Dieser ist bei der Bank für Internationalen Zahlungsausgleich in Basel angesiedelt. Er hat sich zum Ziel gesetzt, das Risiko bei der Kreditwirtschaft einzudämmen und so zur Stabilität des internationalen Bankenwesens beizutragen.

Als Kreditnehmer werden in Basel II nicht nur Banken und Staaten sondern auch Unternehmen und Privatpersonen berücksichtigt. Für alle Kreditnehmerklassen werden eine Reihe von Kriterien definiert, nach denen ihr jeweiliges Risiko zu berechnen ist. Dabei sollen neuerdings in Basel II neben Kreditrisiko und Marktrisiko auch das operationelle Risiko geschätzt werden. Operationelles Risiko wird "als Risiko von Verlusten infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen" definiert. So müssen in Zukunft die meisten Unternehmen damit rechnen, dass ihr Management, ihre Mitarbeiter, ihre Produktionsumgebung und ihre IT besonders begutachtet werden. Desweiteren werden vom Ausschuss Überwachungsmechanismen für die Kreditnehmer gefordert, die regelmäßig auf eine ausgewählte Menge zeitnaher Basel-II-relevanter Daten angewendet werden müssen.

Die Verabschiedung von Basel II ist für Mitte 2004 geplant. Es soll zwar erst Ende 2006 in Kraft treten, berücksichtigt dann aber kreditrelevante Daten aus bis zu drei Vorjahren, weswegen bei vielen Unternehmen die Vorbereitungen für Basel II bereits jetzt auf Hochtouren laufen.

Basel II hält an den herkömmlichen Regelungen für die Eigenkapitalbindung der Banken bei ihrer Kreditvergabe dem Grunde nach fest. Es definiert aber eine Reihe von differenzierten Kriterien, die es erlauben, diese Bindung bei risikoreicheren Geschäften zu erhöhen und sie umgekehrt bei sichereren Anlagen zu verringern. Damit kann das Eigenkapitalvolumen für die riskanteren Vergaben aufgespart werden. Für die sicheren Kreditnehmer bedeutet das eine Senkung ihrer Kreditkosten. Daher sollten Unternehmen in Zukunft stärkeres Augenmerk auf ihr operationelles Risiko legen, welches sie durch geeignete Maßnahmen deutlich verringern können.

Bei der Einschätzung des operationellen Risikos spielt es eine große Rolle, wie sicher die verwendeten Systeme und Daten sind und ob das Unternehmen mit seinem Stand der Technik auf dem Markt mithalten kann. Dazu gehören bei Produktionsbetrieben neben der Einhaltung von Standards und Arbeitsschutzbestimmungen auch die eingesetzten Maschinen und verwendeten Technologien. Interessant ist nicht nur deren Modernität, sondern auch ihr Wartungszustand und die Absicherung gegen Produktionsausfälle (Stromausfall, Maschinenschaden, Sabotage ...). Analoge Maßstäbe können auf die IT angewendet werden. Bei ihrer Bewertung steht das Thema IT-Sicherheit im Vordergrund:

IT-Sicherheit kann Kreditkosten senken

Zum Thema IT-Sicherheit gehört angesichts der täglichen Meldungen über Virenattacken auch ein ausreichender Virenschutz. Wir stellen leider immer wieder fest, dass Unternehmen ihre Produktionsanlagen gegen Ausfall umfangreich gesichert haben, Virenwarnungen jedoch gänzlich unbeachtet lassen. Dabei kann ein Virus nicht nur die komplette IT für einen längeren Zeitraum lahm legen sondern auch für nachhaltige Zerstörungen sorgen. Wenn ein ausreichendes Backup-Konzept vorhanden ist, kann ein definierter Systemzustand wiederhergestellt und verlorengegangene Daten zurückgespielt werden.

Im Zusammenhang mit dem Trend zur Netzwerk-Konvergenz betrifft der Ausfall der IT nicht nur die direkt daran angeschlossenen Mitarbeiter sondern wirkt sich ggf. auch auf den Telefonapparat oder die gesamte Produktionskette aus.

Neben einem ausreichenden Virenschutz bzw. einer zuverlässigen Firewall gehört das Thema Backup ebenfalls zur IT-Sicherheit. Es betrifft dabei nicht nur die Sicherung und Rekonstruktion von (Basel II-relevanten) Daten, sondern auch die Verwendung von zuverlässigen Komponenten und die redundante Auslegung und effizienten Übernahmestrategien von zentralen IT-Komponenten (Server, Router, ...). Service Level Agreements für die jeweiligen Verantwortlichen und ggf. externen Dienstleister sind außerdem Bestandteil eines ausgereiften Backup-Konzepts.

Die Anbindung von Außendienstmitarbeitern ist heutzutage im Bankgeschäft weitverbreitet. Auch hier ist ein Datenschutz- und Datensicherungskonzept erforderlich, was die besonderen Umstände eines mobilen Benutzers berücksichtigt. Insbesondere ist ein Zugriff auf die hochsensiblen Basel II-Daten eines Kunden seitens Unberechtigter abzuwehren. Gleiches gilt für Mitarbeiter von Rating-Agenturen (s.u.), die über entsprechende Service Level Agreements kontrolliert werden können.

Zur Beurteilung des Faktors Mensch gehört in punkto IT-Sicherheit auch die regelmäßige Überprüfung und ggf. Anpassung seines Knowhows. Fehlendes Wissen oder mangelnde Aufklärung insbesondere in punkto Datenschutz haben in der Vergangenheit zu unberechtigten Zugängen bzw. Zugriffen geführt, die unbeabsichtigter Weise oder auch vorsätzlich schwere Schäden beim betroffenen Unternehmen angerichtet haben.

Um die IT-Sicherheit in den Griff zu bekommen, ist neben der Einhaltung von Standards, Verwendung renommierter und aktueller Hard- und Software-Produkte auch der Einsatz von Management-Produkten erforderlich, die

• auf kritische Systemveränderungen (Ausfall, Fehlfunktion, Performanceverlust,...) reagieren
• Arbeits- und komplexe Unternehmensprozesse auf Funktionalität und Effizienz überwachen
• unberechtigte Zugangsversuche und Virenattacken abwehren
• ...

Die Erhöhung der IT-Sicherheit ist nicht die einzige Forderung an die IT, die sich aus Basel II ergibt. Von den Unternehmen wird die Bereitschaft zur Kommunikation mit einem hohen Grad an Transparenz gegenüber der Bank gefordert, um die Überprüfbarkeit der kreditrelevanten Parameter zu erfüllen. Dazu ist ein geeigneter Datenaustausch notwendig, der angesichts der hochsensiblen Informationen (Jahresabschluss, Unternehmensstrategie, Nachfolgeregelung, ...) unter den Aspekten Datenschutz und Datensicherheit durchgeführt werden muss. Hat das betroffene Unternehmen einen externen Dienstleister (z.B. Steuerberater oder Rating-Agentur (s.u.)) mit dieser Aufgabe beauftragt, muss dieser über geeignete Service Level Agreements kontrolliert werden können.

Um die gewünschte Datenqualität und ihre Aktualität anbieten zu können, ist ein Datenkonzept sinnvoll, das vorschreibt, welche Daten wann und wie aus den unterschiedlichsten Unternehmensbereichen zusammengetragen werden müssen, wie sie vor unberechtigtem Zugriff geschützt und ihre Inhalte einem Backup unterzogen werden können. Bei dem "wie" sollte festgestellt werden, ob und wenn ja welche Management- oder Reporting-Tools dafür erforderlich sind. Da mit einer großen Menge an Daten und Historiendatensätzen zur Trendbestimmung zu rechnen ist, empfiehlt sich der Einsatz eines ITIL-konformen Asset- und Configuration-Management, welches die Kenndaten aus allen relevanten Unternehmensbereichen in einem zentralen, konsistenten Datenbestand verwaltet. Geeignete Reporting-Tools können darauf aufsetzen und bei der Auswertung der Informationen für die Basel-II-Kommunikation, eigene Analysen des Unternehmens und seiner Selbstdarstellung z.B. im WWW helfen. Auf Seiten der Bank sollte ein Datenmanagement-Konzept bestehen, welches performante Schnittstellen für einen sicheren Datenaustausch zum Kunden oder Außendienstmitarbeiter definiert.

Mit Basel II wird auch in Deutschland Rating immer wichtiger. Darunter wir ein standardisiertes Verfahren zur Beurteilung der wirtschaftlichen Lage und der zukünftigen Zahlungsfähigkeit eines Unternehmens verstanden.

Ein Unternehmen, welches sich über unabhängige Rating-Agenturen schätzen lässt (externes Rating), erhält eine Schwachstellenanalyse und kann positive Ergebnisse zur Eigendarstellung vor Mitarbeitern und Kunden, aber auch vor Konkurrenten und Banken verwenden. Vorstellbar ist, dass bei zukünftigen Auftragsvergaben aktuelle Rating-Ergebnisse der Konkurrenten zur Entscheidung hinzugezogen werden. Genauso kann das externe Rating die Tür zu anderen Kreditgebern als den Banken öffnen. Trotzdem sollte man dabei nicht vergessen, dass externes Rating eine Dienstleistung ist, die bezahlt werden muss und zu deren Abwicklung ein gesicherter und ggf. auch regelmäßiger Datenaustausch zur Rating-Agentur erforderlich ist. Hier spielen einmal mehr die IT-Sicherheit und die Notwendigkeit von Service Level Agreements eine wichtige Rolle. Ähnliches gilt auch für die internen Rating-Verfahren zur Kreditvergabe bei den Banken. Inwieweit kommerzielle Rating-Tools zum Selbsttest eine Alternative darstellen können, bleibt abzuwarten.

Wir helfen Ihnen, Ihre IT für Basel II fit zu machen und bieten dazu folgende Dienstleistungen an:

• Bestandsaufnahme der Hard- und Software in Ihrem Unternehmen
• Performance-Messungen bei zentralen Komponenten (Servern, Routern, ...)
• Schwachstellenanalyse
• Beurteilung und Empfehlung hinsichtlich Stand der Technik und aktueller Trends

• Schnittstellendefinition zur Abfrage Basel-II-relevanter Daten aus den verwendeten Anwendungen
• Entwicklung von Adapter-Anwendungen für die Abfrage von Basel-II-Daten

• Überprüfung vorhandener SLAs und OLAs und ggf. Definition eines SLA-Konzepts für die Verbesserung des operationellen Risikos

• ITIL-konformes Datenmanagement-Konzept für die sichere und performante Verwaltung der Basel-II-Daten
  • Zugriffsschutz
  • Backup
  • Historien-Management
  • Konsistente Zusammenführung bestehender Datenbestände
  • Automatische Aktualisierung der Datenbestände
  • Umfassendes Asset- und Configuration-Management
  • Datenkompression für effizienten Austausch und längerfristige Datenhaltung gemäß Basel-II

• Sicherheitskonzept
  • Zugriffsschutz auf sensible Daten und Komponenten
  • Benutzer-/Rollen-Konzept
  • Viren- und Sabotageschutz
  • Verschlüsselungstechnik für eine abhörsichere Datenübertragung
  • Backup-Konzept für zentrale Komponenten und kritische Unternehmensdaten inkl. Wiederherstellungsstrategie und automatisches Umschalten auf redundante Strukturen

• Definition und regelmäßige Generierung aussagefähiger Reports

• Anbindung mobiler Benutzer
  • Datenkonzept: „welche Daten müssen wie oft erfasst und synchronisiert werden?“
  • Update-Strategie
  • Zugriffs- und Verschlüsselungskonzept

• Anbindung von Rating-Agenturen
  • Datenkonzept: „welche Daten müssen wie oft erfasst und synchronisiert werden?“
  • Übertragungsstrategie
  • Zugeschnittenes Sicherheitskonzept

• Einrichtung einer performanten und sicheren Basel-II-Kommunikation von und zur Bank/Rating-Agentur
• Analyse von Rating-Ergebnissen bzgl. IT-Sicherheit und Datenmanagement mit anschließender Empfehlung

• Beratung über die Anschaffung und den effizienten Einsatz von Management-Werkzeugen
• Integration von Management-Werkzeugen

• Einhaltung von Standards

• Zugeschnittene Schulungen für Anwender, Operateure und Administratoren
• Workshops über aktuelle Themen der IT