§44 IT SONDERPRÜFUNG
Wir haben umfassende Erfahrung in der Vorbereitung, Durchführung, Nachbereitung sowie Mitigation von Findings der Bankenaufsicht (BaFin) bei IT-Sonderprüfungen gemäß §44 des KWGs.
Wie bereitet man sich am besten auf eine 44er Prüfung vor und wie läuft diese ab? Was für Findings in welcher Kritikalität sind zu erwarten und was für Konsequenzen können diese für das Management bedeuten?
Vorbereitung auf die KWG 44er Prüfung
MITIGATION
Wie setzt man ein umfangreiches Mitigationsprogramm zur Behebung der Findings auf inkl. regelmäßigem Reporting an die BaFin und wie findet man geeignetes (externes) Personal für die Behebung?
Von der Strategie, über die Analyse bis hin zur Durchführung und Behebung sowie dem Betrieb können wir Sie mit unserer Expertise umfassend unterstützen. Wir haben diese Fälle alle schon durchlebt, gelöst und kennen alle möglichen Fallstricke, die auf Sie zukommen können.

Um Ihnen einen Einblick in erfolgreich umgesetzte Projekte und unsere Expertise zu geben, haben wir einige anonymisierte Referenzen für Sie zusammengestellt.
§44 IT Sonderprüfung Referenzprojekte
Branche:
Banken / Finanzwesen
Funktion:
Projektverantwortlicher für IT-Security & Regulatorik
Verantwortlichkeitsbereiche:
- Prüfungsvorbereitung und Planung
- Begleitung und Koordination der Prüfung
- Verantwortlich für alle Fragen zur IT-Sicherheit der Bank
- Primärer Interview- und Ansprechpartner für die BaFin/Bundesbank Prüfer
- Zusammenstellung und QA der Nachweise und Antworten
- Risikobeurteilung sowie Behandlung der Restrisiken
- Auszug der Themenbereiche: Strukturanalyse, Schutzbedarfsanalyse, Soll-Ist-Abgleich, Risikomanagement, Schwachstellenmanagement, Penetrationstests, Ereignismanagement (SOC/SIEM), Incident Management, Netzwerksicherheit, Firewallmanagement, Verschlüsselung
- Planung, Aufbau, Durchführung und Verantwortung für das Mitigationsprojekt der §44 Prüfungsfeststellungen
Branche:
Banken / Finanzwesen
Funktion:
Projektverantwortlicher für Cyber Security Reifegradmanagement und Prüfungsnachbereitung
Verantwortlichkeitsbereiche:
- Initiale Cyber Security Reifegrad Analyse gemäß NIST Cyber Security Framework
- Erweiterung des Frameworks und Verbesserung der Messbarkeit sowie jährliche Audits des Reifegrades
- Regelmäßiges Reporting und Vorstellung des Reifegrades an Vorstände, Aufsichtsräte, Regulatoren, Behörden und Betriebsräte
- Abstimmungen der Reifegrade mit unabhängiger Risikomanagement Instanz in der 2nd-Line of Defence
- Suche, Aufbau und Weiterentwicklung von Mitarbeitern
- Erstellung von Management Action Plänen / Empfehlungen sowie Projektpaketen zur Erhöhung des Reifegrades
Branche:
Banken / Finanzwesen
Funktion:
Projektverantwortlicher
Verantwortlichkeitsbereiche:
- Begleitung und Koordination der Prüferanfragen
- Interviewpartner und Ansprechpartner für die jeweiligen Prüfer
- Zusammenstellung und QA der Nachweise und Antworten
- Risikobeurteilung sowie Behandlung der Restrisiken
- Über alle Themenbereiche hinweg: Strukturanalyse, Schutzbedarfsanalyse, Soll-Ist-Abgleich, Risikomanagement, Schwachstellenmanagement, Penetrationstests, Ereignismanagement, Incident Management, Netzwerksicherheit, Firewallmanagement, Verschlüsselung
Branche:
Banken / Finanzwesen
Funktion:
Berater
Verantwortlichkeitsbereiche:
- Identifizierung von „Quick Wins“ und Ausarbeitung von priorisierten Arbeitspaketen zur Etablierung von Korrekturmaßnahmen
- Umsetzung von priorisierten, mitigierenden Maßnahmen zur Reduzierung des Gesamtrisikos
- Entwicklung und Umsetzung von Prozessverbesserungen sowie operativen Umstrukturieren in enger Zusammenarbeit involvierter Fachabteilungen sowie der 2nd Line of Defence
- Entwicklung und Einführung eines Sollmaßnahmenkatalogs zur Ableitung von Schutzmaßnahmen basierend auf der Kritikalität zu schützender Systeme
- Durchführung von Risikoanalysen zur Bestimmung der Kritikalität zu schützender Systeme und Ableitung von Sollmaßnahmen
Branche:
Banken / Finanzwesen
Funktion:
Projektmitarbeiter
Verantwortlichkeitsbereiche:
- Begleitung der Prüfung im Rahmen des Vulnerability Managements sowie Netzwerksicherheit
- Interviewpartner und Ansprechpartner im Rahmen der Prüfung
- Zusammenstellung notwendiger Evidenzpakete wie Nachweise und Antworten
- Behandlung identifizierter Risiken im Rahmen der Risikobehandlungsstrategien
- Erstellung von Management Action Plänen zur Behandlung der Risiken
- Entwicklung von Prozessverbesserungen sowie operativen Umstrukturieren in enger Zusammenarbeit involvierter Fachabteilungen
- Abstimmung der Prozessverbesserungen mit der 2nd und 3rd Line of Defence
- Umsetzung der identifizierten Prozessverbesserungen sowie Zusammenstellung der Evidenzen zur Schließung von Defiziten
Branche:
Banken / Finanzwesen
Funktion:
Projektmitarbeiter
Verantwortlichkeitsbereiche:
- Aufarbeitung von IAM spezifischen Audit- Findings der §44 IT-Sonderprüfung
- Verantwortlich für Fragen zu Identity and Access Management (IAM)
- Zusammenstellung und QA der Nachweise und Antworten
- Risikobeurteilung sowie Behandlung der Restrisiken
Branche:
Banken / Finanzwesen
Funktion:
Projektmitarbeiter
Verantwortlichkeitsbereiche:
- Entwicklung und Implementierung von Sicherheitsrichtlinien
- Abstimmung der Richtlinien mit verschiedenen Fachabteilungen
- Durchführung von Richtlinien-Reviews zur Qualitätssicherung
- Sicherstellung der Einhaltung relevanter gesetzlicher und regulatorischer Anforderungen
- Erstellung und Pflege detaillierter Dokumentationen für interne und externe Prüfungen
- Enger Austausch und Zusammenarbeit im Team zur Förderung einer starken Sicherheitskultur


EXPERTISE
Vom Junior Risikomanager, zum Senior Prüfer, ISO 27001 Lead Auditor, IT-Grundschutz Lead Auditor bis hin zum langjährigen, erfahrenen und mit einem Award ausgezeichneten Informationssicherheitsbeauftragten (ISB). Unsere Mitarbeiter decken nahezu alle Bereiche in der Informationssicherheit ab.
Wir bringen über 100 Jahre professionelle Praxiserfahrung in Ihr Unternehmen.
UNSERE ERFAHRUNG
Egal ob Kleinunternehmen, Mittelständler oder internationaler Großkonzern, ob Behörden, Industrie, Handel, Banken, Automotive, Energie oder Luftfahrt - unsere Mitarbeiter haben schon (fast) alles gesehen und finden stets die besten und effektivsten Maßnahmen, um die Informationssicherheit in Ihrem Unternehmen auf den gewünschten Reifegrad zu bringen und zu halten.

