Blogpost

BAIT-Novelle 2020

Im Oktober 2020 hat die BaFin ihr Rundschreiben zu den Bankaufsichtlichen Anforderungen an die IT (BAIT) überarbeitet und zur Konsultation gestellt. Der Beitrag gibt einen Überblick über die wesentlichen Änderungen in der BAIT.

72
6 Minuten Lesezeit
Kletterwand

Neben der MaRisk-Novelle1 hat die deutsche Aufsicht Ende 2020 nun auch ihr Rundschreiben zu den Bankaufsichtlichen Anforderungen an die IT (BAIT)2 überarbeitet und zur Konsultation gestellt.

Wesentliche Anforderungen aus den „neuen“ BAIT

Neben einer Reihe von eher sprachlichen bzw. formalen Anpassungen (vgl. hierzu weiter unten) möchte die deutsche Aufsicht insbesondere die europäischen Anforderungen aus der EBA-Leitlinie zum Umgang mit Informations- und Kommunikationsrisiken und zum Sicherheitsrisikomanagement“ (ICT Guidelines)3 in nationales Recht umsetzen.

Hierzu wurden der BAIT drei neue Kapitel hinzugefügt, wobei die Anforderungen zu Kapitel 11 (Kundenbeziehungen mit Zahlungsdienstnutzern) im Rahmen eines separaten Rundschreibens „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT)4 konsultiert werden.

Nachfolgend führen wir die wesentlichen Anforderungen aus den zwei neuen Kapiteln in komprimierter Form auf:

Kapitel 5 – Operative Informationssicherheit

Die operative Informationssicherheit setzt die Anforderungen des Informationssicherheitsmanagements (Abschnitt 4 der BAIT) um. Dazu gehört gemäß BAIT (neue Fassung):

  • Angemessene Überwachungs- und Steuerungsprozesse für IT-Risiken
  • Festlegung von IT-Risikokriterien, Identifikation von IT-Risiken, Festlegung des Schutzbedarfs sowie entsprechender Maßnahmen zur Risikobehandlung und -minderung
  • Vorhalten einer individuellen Informationssicherheitsleitlinie sowie Informationssicherheitsrichtlinien mit Vorgaben zu Maßnahmen und Prozessen
  • Gefährdungen des Informationsverbundes sind frühzeitig zu identifizieren
  • Sicherheitsrelevante Informationen (z.B. Protokolldaten, Störungsmeldungen, Hinweise auf Verletzung von Schutzzielen) sind auszuwerten.
  • Der Einsatz automatisierter IT-Systeme sowie forensischer Analysen wird empfohlen.
  • Ein Portfolio an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse ist zu definieren.
  • Ein ständig besetztes Security Operation Center kann eine zeitnahe Analyse und Reaktion sicherstellen.
  • Die Sicherheit der IT-Systeme ist regelmäßig und anlassbezogen zu überprüfen.

Es ist festzuhalten, dass die aufgeführten Anforderungen nicht gänzlich neu sind. Gleichwohl hat die Aufsicht die Gelegenheit genutzt, die wesentlichen Elemente einer operativen Informationssicherheit klar und zentral zu definieren. Dies trägt auch dazu bei, die Elemente einer angemessenen IT-Aufbau- und Ablauforganisation besser untereinander abzugrenzen.

Kapitel 10 – IT-Notfallmanagement

  • Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen.
  • Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept).
  • Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren (vgl. AT 7.3 Tz. 1 MaRisk).
  • Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederherstellungspläne umfassen.
  • Im Fall der Auslagerung von zeitkritischen Aktivitäten und Prozessen haben das auslagernde Institut und das Auslagerungsunternehmen über aufeinander abgestimmte Notfallkonzepte zu verfügen (vgl. AT 7.3 Tz. 2 MaRisk).
  • Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig zu überprüfen.
  • Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich und anlassbezogen nachzuweisen (vgl. AT 7.3 Tz. 3 MaRisk).
  • Notfallpläne umfassen Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne sowie festgelegte Parameter (z.B. Recovery Time, maximal tolerierbarer Zeitraum, in dem ein Datenverlust hingenommen werden kann) und Abhängigkeiten (von Dritten, weiteren Geschäftsprozessen), um die zeitkritischen Aktivitäten und Prozesse wiederherzustellen.
  • Es ist nachzuweisen, dass auch bei Ausfall eines Rechenzentrums zeitkritische Aktivitäten und Prozesse erbracht werden können.

Kapitel 11 – Kundenbeziehungen mit Zahlungsdienstnutzern

  • Zahlungsdienstleister sollen dem Zahlungsdienstnutzer die Möglichkeit bieten, einzelne Zahlungsfunktionalitäten zu deaktivieren.
  • Der Zahlungsdienstnutzer soll die Möglichkeit haben, Betragsobergrenzen anzupassen.
    Zahlungsdienstleister sollen dem
    Zahlungsdienstnutzer die Möglichkeit bieten, Benachrichtigungen über getätigte und fehlgeschlagene Transaktionen zu erhalten.
  • Der Zahlungsdienstleister hat den Zahlungsdienstnutzer über die Aktualisierung sicherheitsrelevanter Prozesse in Bezug auf die Erbringung des Zahlungsdienstes angemessen zu informieren.
  • Der Zahlungsdienstleister soll Möglichkeiten zur Kommunikation für Sicherheitsanfragen, Kundenhinweise und Fragen jeglicher Art in Bezug auf die erbrachten Zahlungsdienste anbieten.

Sonstige Änderungen (Auszug)

1. IT-Strategie

Lediglich kleinere sprachliche Anpassungen.

2. IT-Governance

Lediglich kleinere sprachliche Anpassungen.

3. Informationsrisikomanagement

Abschnitt 3.3 (vorher Tz 10)

Im Kommentar wurde ergänzt, dass zum Informationsverbund auch Netz- und Gebäudeinfrastrukturen gehören. Auch sollen Abhängigkeiten und Schnittstellen mit Dritten beachtet werden.

Abschnitt 3.4 (vorher Tz 11)

Es wird klargestellt, dass der Eigentümer der Information die Ermittlung des Schutzbedarfs verantwortet.

Abschnitt 3.5 (neu)

Die Schutzbedarfsfeststellung sowie dessen Dokumentation ist durch das Informationsrisikomanagement zu überprüfen.

Abschnitt 3.10 (neu)

Das Institut informiert sich laufend über Bedrohungen seines Informationsverbundes. Hierbei sind interne und externe Veränderungen (z. B. der Bedrohungslage) zu berücksichtigen.

4. Informationsrisikomanagement

Abschnitt 4.4 (vorher Tz 18)

Klarstellung, dass der Informationssicherheitsbeauftragte durch ein Informationssicherheitsmanagement-Team unterstützt werden kann.

Abschnitt 4.9 (neu)

Das Institut hat ein kontinuierliches und angemessenes Sensibilisierungs- und Schulungsprogramm für Informationssicherheit festzulegen.

6. Identitäts- und Rechtemanagement

Abschnitt 6.1 (vorher Tz 31)

Ergänzung: Jegliche Zugriffs-, Zugangs- und Zutrittsrechte auf Bestandteile bzw. zu Bestandteilen des Informationsverbundes sollten standardisierten Prozessen und Kontrollen unterliegen.

Abschnitt 6.2 (vorher Tz 24)

Klarstellung: Berechtigungskonzepte sind regelmäßig und anlassbezogen zu überprüfen und ggf. zu aktualisieren.

7. IT-Projekte und Anwendungsentwicklung

Abschnitt 7.2 (vorher Tz 32)

Neue Kommentierung zu Tz 32

8. IT-Betrieb

Abschnitt 8.8 (neu)

Der aktuelle Leistungs- und Kapazitätsbedarf der IT-Systeme ist zu erheben. Der zukünftige Leistungs- und Kapazitätsbedarf ist abzuschätzen. Die Leistungserbringung ist zu planen und zu überwachen, um insbesondere Engpässe zeitnah zu erkennen und angemessen zu reagieren.

Fazit und Empfehlung

Die vorgenommenen Anpassungen der BAIT sollten insbesondere zu einer

  • Stärkung der operativen Informationssicherheit (neues Kapitel 5) sowie zur
  • Stärkung des IT-Notfallmanagements (neues Kapitel 10)

führen. Durch Aufnahme dieser zwei neuen Kapitel werden jedoch nicht nur die aufsichtlichen Anforderungen geschärft. Wir sehen darin auch eine stärkere Synchronisierung zwischen dem IT-Risikomanagement und dem allgemeinen Risikomanagement (nach MaRisk) mit den bekannten Prozessschritten

  • Risikoidentifizierung
  • Risikobewertung
  • Risikohandhabung und -mitigierung.

Betrachtet man weitere Leitlinien der EBA, etwa zur Internal Governance oder zum Outsourcing, so wird deutlich, dass die Aufsichtsbehörden verstärkt Wert legen auf eine konsistente und logische Ausgestaltung einer Governance bzw. Aufbau- und Ablauforganisation, in allen Bereichen einer Bank. So ist dann auch das IT-Risikomanagement mit seinen verschiedenen Elementen nach den neuen BAIT konsistent und risiko-orientiert auszugestalten und mit dem allgemeinen Risikomanagement (inkl. der übergeordneten Risikotragfähigkeit nach MaRisk) abzustimmen.

Unser Blick in die Praxis zeigt hier vielfach noch starken Verbesserungsbedarf. Nicht selten fehlt es an einem gegenseitigen Verständnis zwischen den Experten der IT auf der einen Seite und den Experten aus dem Risikomanagement auf der anderen Seite. Dies ist meist auf eine ganz unterschiedliche Ausbildung und historisch gewachsene Strukturen zurückzuführen.

Wir empfehlen …

… kurzfristig (mit Blick auf die BAIT-Novelle):

  • Eine kompakte und zielgerichtete GAP-Analyse zu den Neuerungen der BAIT-Novelle vorzunehmen.
  • Erforderliche Maßnahmen sollten soweit wie möglich aus bestehenden Prozessen und Ressourcen abgebildet werden.

… mittelfristig:

  • Das IT-Risikomanagement stärker mit dem allgemeinen Risikomanagement zu synchronisieren.
  • Im Bedarfsfall die aktuelle übergeordnete Konzeption des IT-Risikomanagements zu bewerten, um diese risiko-orientierter, schlanker und revisions-sicher zu gestalten.

Unser Service speziell zu Kapitel 12 Kundenbeziehungen mit Zahlungsdienstnutzern

Wir unterstützen Sie bei der Digitalisierung von Prozessen und bankenspezifischen Leistungen durch ein umfassendes Management digitaler Identitäten. Das betrifft vor allem: Zahlungs-/Bankingnetzwerke, Verträge, Industrial Banking, digitale Versicherungen & Ad-hoc-Verträge sowie Vertragsmanagement.

Wir ermöglichen volldigitale Geschäfte ohne Medienbrüche und sind effizienzsteigernd durch:

  • Bereitstellung von sicheren digitalen Identitäten. Eine Identität für alle Anwendungsfälle, Netzwerke und Ökosysteme
  • Zentrale Verifizierung als Basis für die Wiederverwendbarkeit
  • Datensouveränität
  • Intuitive und integrierte User Experience (Verwaltung, Weitergabe und Freigabe von Daten und Signaturen)
  • Risikoübernahme in Bezug auf die Identität und Vertrauensdienst
  • Prozessautomatisierung, bestätigte (trusted) Freigabe von Rechten & Daten an den Geschäftspartner (Verfiable Credentials)
  • Vermeidung von Re-Identifizierung

Sprechen Sie uns an!

Quellen

Alexander Nölle

leitet bei msg GillardonBSM den Bereich Regulatory Compliance & Non-Financial Risk. Er berät Finanzunternehmen rund um Eigenmittelanforderungen, MaRisk, SREP, Offenlegung sowie Meldewesen, ist Referent bei Verbänden, Lehrbeauftragter an Hochschulen und Herausgeber des Newsletters Aufsichtsrecht.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.