close
Share with your friends

Im November 2017 wurden erstmals die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) veröffentlicht. Sie konkretisierten die Vorgaben der MaRisk. Nachdem die BAIT zuletzt im September 2018 aktualisiert und um das neue Themengebiet „Kritische Infrastrukturen“ ergänzt wurden, gab es nun im Oktober 2020 ein umfangreiches Update (Konsultation). Drei neue Themenbereiche werden aufgenommen und bestehende Bereiche inhaltlich erweitert. Digitalisierung und Cyberkriminalität, aber auch Naturkatastrophen und Pandemien müssen im IT-Risikomanagement verstärkt berücksichtigt werden.

 

Die BAIT-Neuerungen haben im Wesentlichen diese Ziele:

  • Top-down: Die Verantwortlichkeiten werden verstärkt auf oberen Ebenen verankert.
  • Gesamthaft: Themen werden gesamthaft betrachtet, unter Berücksichtigung aller Komponenten und unter Einbezug aller Dienstleister. 
  • Zielgerichtet & individuell: Alle Maßnahmen sollen auf individuelle Bedürfnisse und zielgerichtet auf Gefährdungslagen zugeschnitten werden.
  • Messbarkeit: Die BAIT-Neuerungen fordern über die Definition und Umsetzung von Sicherheitsmaßnahmen hinaus eine regelmäßige Überprüfung der Umsetzung.
  • Toolgestützt: Die Komplexität einer gesamthaften und individuellen Betrachtung sowie die Forderung nach regelmäßigen Tests erfordert in Teilen eine Toolunterstützung und zunehmende Automatisierung. 

 

Bankaufsichtliche Anforderungen an die IT sind zukünftig in folgenden zwölf Themengebieten zu erfüllen:

  1. IT-Strategie
  2. IT-Governance
  3. Informationsrisikomanagement
  4. Informationssicherheitsmanagement
  5. Operative IT-Sicherheit {neu}
  6. Identitäts- und Rechtemanagement
  7. IT-Projekte und Anwendungsentwicklung
  8. IT-Betrieb
  9. Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen
  10. IT-Notfallmanagement {neu}
  11. Kundenbeziehungen mit Zahlungsdienstnutzern {neu}
  12. Kritische Infrastrukturen

So wirken sich die BAIT-Neuerungen auf Banken aus

Neue Themenbereiche

Die operative IT-Sicherheit setzt den Fokus verstärkt auf die technische Umsetzung der Außen- und Innenabsicherung von IT-Systemen und Daten gegen moderne Bedrohungen sowie deren unverzügliche Aufdeckung. Als fortschrittliche Sicherheitsmaßnahmen rücken u.a. SIEM- (Security Information and Event Management) und SOC- (Security Operation Center) Maßnahmen in den Vordergrund. Die Rahmenbedingungen des IT-Notfallmanagements sind auf der Basis der Ziele des Notfallmanagements festzulegen. Damit verbunden ist auch eine verstärkte Betrachtung ausgelagerter IT-Ressourcen zeitkritischer Prozesse. Ein weiterer Fokus liegt auf jährlich durchzuführenden IT-Notfalltest auf Grundlage individueller bzw. für die Bank relevanter Gefährdungsszenarien sowie der Simulation von Rechenzentrumsausfällen.

Das Themengebiet Zahlungsdienstnutzer vertieft die PSD2-Anforderungen aus Endkundensicht hinsichtlich der Vorgaben für Banken zur Kundenkommunikation und -information. 

Die drei neuen Themenbereiche erzeugen einen erheblichen Umsetzungsaufwand. Es müssen sowohl neue Organisationseinheiten, Prozesse und Reports geschaffen, als auch Kontrollen etabliert und neue Schnittstellen implementiert werden. Informationen, ob die neuen Themengebiete als Prüfungsschwerpunkte für das Jahr 2021 eingestuft werden, kündigt die BaFin jährlich auf ihrer Internetseite an. 

 

Themenbereiche mit wesentlichen Neuerungen

Die neuen Anforderungen an das Informationsrisikomanagement (IRM) beinhalten Kontrollen zur Überprüfung der Angemessenheit und Wirksamkeit der Maßnahmen zum Schutz der Informationen, welche zukünftig zu planen und durchzuführen sind. Das Informationssicherheitsmanagement (ISM) muss in Zukunft unter anderem die Wirksamkeit der bestehenden Kontrollen nachweisen. Für den IT-Betrieb steigen die Anforderungen an die notwendige Transparenz und den Dokumentationsbedarf der eingesetzten IT-Komponenten. Darüber hinaus sind auch die Verbesserung bestehender und die Etablierung zusätzlicher IT-Betriebsprozesse, etwa zur Steuerung von Verfügbarkeit und Kapazitäten, erforderlich. Dies verdeutlicht die Notwendigkeit einer stärkeren Orientierung an gemeinsamen IT-Standards wie ITIL und dem Einsatz moderner IT-Service-Management-Lösungen.

 

Themenbereiche mit wenig Neuerungen

Die IT-Strategie spezifiziert eine engere Verzahnung mit der Informationssicherheit sowie die Erhöhung der Transparenz im Hinblick auf Abhängigkeiten von Dienstleistern. Hier bedarf es einer Überarbeitung der IT-Strategie, um die erforderlichen Aspekte einzubeziehen. Im Bereich der IT-Governance wird die Verantwortung des Managements klar hervorgehoben und eine verstärkte Überwachung der IT-Governance auf Managementebene gefordert. Der ehemalige Themenbereich Berechtigungsmanagement wurde umbenannt in Identitäts- und Rechtemanagement. Hier erhöhen sich unter anderem die Anforderungen an Zugänge und Zutritte. Damit sind insbesondere Funktionstrennungskonflikte im Zusammenhang mit Zutritten zentral zu erkennen und zu verwalten. Diese neue Forderung führt zu einer notwendigen Digitalisierung mit Hilfe einer zentralen Datenbank oder eines zentralen Tools, da ein manuelles Verfahren diese Umsetzung nicht mehr sicherstellen kann. Das Themengebiet IT-Projekte und Anwendungsentwicklung erhöht die Anforderungen an das Projekt- und Testmanagement sowie der Integrität des entwickelten Codes. Die Neuerungen betreffen überwiegend Projektaktivitäten und nicht den regulären Betrieb und können daher ohne wesentliche organisatorische Auswirkungen umgesetzt werden. Im Bereich IT-Outsourcing gibt es im Wesentlichen Konkretisierungen bereits bestehender Anforderungen mit geringem Umsetzungsaufwand. 

Das Themengebiet „Kritische Infrastrukturen“ wurde durch das BAIT-Update 2018 hinzugefügt und ist als einziges Themengebiet aktuell nicht von den Neuerungen betroffen.  

Jetzt handeln

KPMG empfiehlt schnellstmöglich eine GAP-Analyse umzusetzen, um einen Überblick zum Umfang der notwendigen Maßnahmen und dem notwendigen Ressourcenaufwand zu erhalten. Dabei sollte das Risikopotenzial der identifizierten GAPs in die Priorisierung der Aufgabenplanung einfließen. Wir empfehlen, sich dabei nicht nur auf die BAIT-Neuerungen zu konzentrieren, sondern die Gesamtheit der BAIT-Anforderungen noch einmal zu betrachten und vergangene Prüfungsergebnisse einfließen zu lassen. 

Mit unserem umfangreichen Know-how und unserer weitreichenden Erfahrung aus zahlreichen regulatorischen Umsetzungsprojekten, sowohl in der Prüfung als auch in der Beratung, können wir Sie umfassend bei der Umsetzung der BAIT-Neuerungen unterstützen. 

Kontaktieren Sie uns gerne!

Ihre Ansprechpartner