Skip to main content

 

last updated: 6 December 2017


Bankaufsichtliche Anforderungen an die IT“ (BAIT) erschienen

Die Bundesanstalt für Finanzdienstleistungen (BaFin) hat am 3. November 2017 die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) veröffentlicht. Ziel der BAIT ist es die Anforderungen an IT-Systeme in Kredit- und Finanzdienstleistungsinstituten (Instituten) transparenter zu machen, um die IT-Sicherheit in Banken zu verbessern.

On 3 November 2017 the Federal Financial Supervisory Authority (BaFin) published requirements for IT systems of financial institutions, the „Bankaufsichtrechtlichen Anforderungen an die IT“ (BAIT). The purpose of the BAIT is to make the requirements for IT systems of credit institutions and financial providers (institutes) more transparent to improve the banks’ IT-security.


1. Konkretisierung der Mindestanforderungen an das Risikomanagement (MaRisk 2017)

Die BAIT sind Verwaltungsvorschriften der BaFin. Sie konkretisieren die Vorgaben des Kreditwirtschaftsgesetzes an eine ordnungsgemäße Geschäftsorganisation im Hinblick auf IT-Systeme, welche auch durch die neue MaRisk vom 27. Oktober 2017 im Detail vorgegeben sind. Bei der Ausgestaltung der IT-Systeme durch Institute sind daher beide Rundschreiben (MaRisk sowie BAIT) verbindlich zu beachten.

Da die Anforderungen der BAIT im Kern auch schon in der MaRisk vorhanden waren, hat die BaFin – entgegen der ausdrücklichen Bitte der Deutschen Kreditwirtschaft (Stellungnahme DK zu BAIT) – für die Anwendung der BAIT keine Übergangsfrist vorgesehen. Die Vorgaben der BAIT sind somit unverzüglich umzusetzen. Unklar ist bisher aber, in welcher Weise die BaFin die Umsetzung der BAIT kontrollieren wird, und ob sie die Umsetzung der BAIT auch von kleineren Instituten fordern wird.


2. IT-Strategie und IT-Governance

Jedes Institut muss eine mit der Geschäftsstrategie konsistente und nachhaltige IT-Strategie festlegen, in der Ziele und Maßnahmen für die IT-Sicherheit dargestellt sind. Insbesondere erfordern die BAIT die Implementierung einer IT-Governance. Die IT-Governance soll die IT-Systeme steuern und überwachen.

 

Die BAIT legen Mindestinhalte für die IT-Strategie fest. Dies umfasst unter anderem die strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts. Auch IT-Auslagerungen, die strategische Entwicklung der IT-Architektur sowie Regeln zum Notfallmanagement sind festzuhalten.

 

Die Risikokultur des Instituts ist zu prüfen und anzupassen. Die Beschäftigten des Instituts sind umfassend aufzuklären und zu schulen.


3. Informationssicherheitsbeauftragter

Eine Neuheit ist die Einführung eines unabhängigen Informationssicherheitsbeauftragten. Seine Funktion beinhaltet weitreichende Befugnisse – auch gegenüber Dritten – im Rahmen der Koordination und Überwachung von Informationssicherheitsmaßnahmen und -richtlinien. Die Gesamtverantwortung innerhalb der Institute liegt jedoch bei der Geschäftsleitung, die dem Informationssicherheitsbeauftragten die erforderlichen Ressourcen zur Verfügung stellen soll.

Grundsätzlich muss jedes Institut einen Informationssicherheitsbeauftragten bestellen. Kleinere Institute können auch einen gemeinsamen Informationssicherheitsbeauftragten bestellen. Auch die Beauftragung eines Externen ist möglich. Die Funktion des Informationssicherheitsbeauftragten unabhängig zu gestalten, was insbesondere durch ein eigenes Budget sichergestellt werden muss. Die starre Vorgabe der Einrichtung eines Informationssicherheitsbeauftragten auch für kleine Unternehmen und unabhängig von der aufgrund des Geschäftsmodells notwendigen IT-Umgebung wird zum Bespiel von der Deutschen Kreditwirtschaft kritisiert.

Die Beschäftigten des Instituts sowie die IT-Dienstleister sind zur umfassenden Unterrichtung des Informationssicherheitsbeauftragten über alle IT-sicherheitsrelevanten Sachverhalte zu verpflichtet. Der Informationssicherheitsbeauftragte hat zudem ein Berichterstattungsrecht gegenüber der Geschäftsleitung und eine anlassbezogene, mindestens vierteljährlich auszuführende Berichterstattungspflicht.


4. IT-Auslagerungen und sonstiger Fremdbezug

Für IT-Auslagerungen und sonstigen Fremdbezug gelten auch unter den BAIT weiterhin die Anforderungen der MaRisk. Die BAIT stellen klar, dass diese Anforderungen auch für IT-Dienstleistungen gelten, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung) oder Cloud-Dienstleistungen. Zudem werden detaillierte Vorgaben für den sonstigen Fremdbezug von IT- Dienstleistungen formuliert.

Die wesentlichsten Änderungen der Vorgaben der MaRisk 2017 betreffen neue Anforderungen an das Datenmanagement, die Datenqualität und Aggregation von Risikodaten sowie die Risikoberichterstattung. Darüber hinaus enthalten die neuen Anforderungen Klarstellungen, die die Institute je nach Risikokategorisierung des Geschäftsmodells in unterschiedlichem Ausmaß betreffen. So sind beispielsweise die Grenzen der Auslagerbarkeit von der Größe, der Unternehmensstruktur und auch dem Risikogehalt des jeweiligen Instituts abhängig.

Ausblick

Derzeit keine weiteren Maßnahmen geplant.