Wir beobachten, dass die BAIT ein aktuell beliebtes Prüffeld bieten

Auch wenn mit den BAIT lediglich bestehende Auflagen konkretisiert werden, kennen wir kein Kreditinstitut, welches keinen Nachbesserungsbedarf hat bzw. befürchtet angesichts neuer Anforderungen der Aufsicht.

Die Herausforderungen sind die schiere Menge an Aufgaben und die Schwierigkeit, neue Anforderungen in die bestehenden heterogenen und komplexen sfO -Vorgaben – auch vor dem Hintergrund dezentraler Verantwortungen – zu integrieren.

Zusätzlich fokussieren sich die operativen Einheiten auf das Processing der Transaktionen, regulatorische Auflagen werden als Ballast empfunden und nicht als originärer Bestandteil der Geschäftsabwicklung verstanden. Die geringe Beliebtheit des Themas wird dadurch verstärkt, dass die Erfüllung regulatorischer Vorgaben häufig mit kurzer Vorlaufzeit, wenig automatisiert umgesetzt werden muss und oft hohe Kosten erzeugt.

Selbst wenn die Anforderungen der BAIT bereits operativ umgesetzt wurden, fehlt es häufig an ausreichender Dokumentation oder nicht angemessener Umsetzung fixierter Vorgaben. In Summe herrscht bei vielen Kreditinstituten eine Unsicherheit, ob man die regulatorischen Anforderungen richtig interpretiert bzw. erfüllt hat. Mitarbeiter:innen und Management stellen sich u.a. folgende Fragen:

Wir erläutern Ihnen – in kurzen Worten – worum es bei der BAIT geht und wie Sie Ihr Haus, unterstützt durch crossconsulting, gut auf die anstehenden Herausforderungen vorbereiten können.

Die BAIT konkretisieren die Anforderungen an die Informationssicherheit

Die BAIT sind die Bankaufsichtlichen Anforderungen an die IT und wurden von der BaFin im Oktober 2017 als Rundschreiben veröffentlicht.

Das Rundschreiben interpretiert – ähnlich wie die MaRisk – die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 KWG (Vorgaben zur ordnungsgemäßen Geschäftsorganisation sowie dem angemessenen und wirksamen Risikomanagement). Der Schwerpunkt der MaRisk liegt in der Ausgestaltung der Mindestanforderungen an das Risikomanagement. Die BAIT hingegen konkretisieren die Anforderungen in Bezug auf die Informationssicherheit und sollen einen flexiblen sowie praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute vorgeben.

Seit Beginn beinhalten die BAIT folgende Verpflichtungen:

• die Geschäftsleitung der Institute muss eine nachhaltige IT-Strategie festlegen,
• im Rahmen einer IT-Governance sind strukturelle Vorgaben zur Überwachung festzulegen,
• ein angemessenes Informationsrisikomanagement durch entsprechende IT-Systeme und IT-Prozesse ist sicherzustellen,
• eine Informationssicherheitsleitlinie ist zu beschließen und zu kommunizieren sowie ein(e) Informationssicherheitsbeauftragte(r) zu benennen,
• ein adäquates Benutzer-/ Berechtigungsmanagement ist auszugestalten,
• im Falle wesentlicher Veränderungen in den IT-Systemen sind Auswirkungsanalysen in Bezug auf die IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse durchzuführen,
• der IT-Betrieb ist orientiert an den Anforderungen aus der Geschäftsstrategie und den Geschäftsprozessen zu steuern sowie ein Lifecycle-Management der IT-Systeme zu implementieren,
• bei ausgelagerten IT-Dienstleistungen ist insbesondere die Erfüllung der Anforderungen nach AT 9 der MaRisk im Auge zu behalten (Entscheidung, ob eine wesentliche Auslagerung vorliegt; Betrachtung der Ordnungsmäßigkeit der Geschäftsorganisation unter Risikoaspekten etc.)

Die BAIT wurden seit der Veröffentlichung in 2017 bereits zwei Mal aktualisiert:

• In 09/ 2018 wurden die BAIT um den Anforderungsbereich kritische Infrastrukturen (KRITIS) ergänzt, der sich eigens an die Betreiber kritischer Infrastrukturen richtet. Zielsetzung ist die wirksame Umsetzung besonderer Maßnahmen zum Erreichen des KRITIS-Schutzziels. Das Schutzziel besteht in dem Bewahren der Versorgungssicherheit der Gesellschaft mit den in § 7 BSI-Kritisverordnung genannten kritischen Dienstleistungen Bargeldversorgung, kartengestützter Zahlungsverkehr, konventioneller Zahlungsverkehr sowie Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften. Der Ausfall oder die Beeinträchtigung dieser kritischen Dienstleitungen könnte zu erheblichen Versorgungsengpässen oder zu Gefährdungen der öffentlichen Sicherheit führen. Für kritische Dienstleistungen sind von den jeweiligen KRITIS-Betreibern gemäß BSI-Gesetz (und im Falle von Auslagerungen zusätzlich von ihren IT-Dienstleistern) geeignete Maßnahmen zu beschreiben und wirksam umzusetzen, die die Risiken für den sicheren Betrieb kritischer Infrastrukturen auf ein dem KRITIS-Schutzziel angemessenes Niveau senken. Hierzu müssen sich die KRITIS-Betreiber sowie ihre IT-Dienstleister an den einschlägigen Standards orientieren und Konzepte der Hochverfügbarkeit berücksichtigen. Dabei soll der Stand der Technik eingehalten werden.

In 2021 sind drei weitere Anforderungsbereiche hinzugefügt worden:

• Die Institute werden verpflichtet, Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen. Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (regelmäßig zu überprüfendes Notfallkonzept inkl. Planung zur Geschäfts-fortführung und Wiederherstellung).
• Die operative Informationssicherheit setzt die Anforderungen des Informationssicherheitsmanagements um. IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzu-stellen. Für IT-Risiken sind angemessene Überwachungs- und Steuerungs-prozesse einzurichten, die insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung umfassen.
• Die nach § 53 ZAG geforderten Risikominderungsmaßnahmen zur Beherrschung der operationellen und sicherheitsrelevanten Risiken beinhalten auch Maßnahmen, mit denen die Zahlungsdienstnutzer für die Reduzierung, insbesondere von Betrugsrisiken, direkt adressiert werden. Dazu ist ein angemessenes Management der Beziehungen mit den Zahlungsdienstnutzern zu etablieren. Das Institut hat Prozesse einzurichten und zu implementieren, durch die das Bewusstsein der Zahlungsdienstnutzer über die sicherheitsrelevanten Risiken in Bezug auf die Zahlungsdienste verbessert wird, indem die Zahlungsdienst-nutzer unterstützt und beraten werden.

Was bedeuten diese Anforderungen nun konkret für Kreditinstitute?

Die Vorgaben sind unabhängig von der Größe eines Kreditinstitutes unmittelbar mit Veröffentlichung der BAIT zu erfüllen. Dies führte bisher und auch heute noch bei allen Instituten gerade vor dem Hintergrund der weiteren Projektlandschaft (mit entsprechend hoher Auslastung der Mitarbeitenden) zu Engpässen.

Was ist zu tun?

Wir empfehlen den Kreditinstituten, das eigene Setup zu hinterfragen, ob dieses BAIT-konform ist: im Zuge einer „Bestandsaufnahme“ sind die IST-Prozesse gegen die Anforderungen der Aufsicht abzugleichen. Abweichungen von den Anforderungen sind näher zu betrachten, die Handlungsfelder aufzubereiten und zu priorisieren (Planung der Maßnahmen und der Umsetzung).

Die Prüfer haben sich bereits angekündigt bzw. sind schon im Haus?

In diesem Falle ist nicht nur zeitnah mit der Identifikation der notwendigen Maßnahmen zu starten, sondern eine risikoorientierte Planung und Koordination der Abarbeitung der Feststellungen vorzunehmen bzw. im Falle einer bevorstehenden Prüfung deren optimale Prüfungsbegleitung (zentrale Koordination) sicherzustellen.

Welchen Mehrwert kann crossconsulting bieten?

Bei crossconsulting arbeiten erfahrene Berater und Beraterinnen, die mit den in Rede stehenden Themenstellungen (Begleitung in- und externer Prüfungen mit Schwerpunkt IT, Maßnahmenplanung, Nachhalten des Fortschritts, Vorbereitung Nachschauprüfung etc.) operativ aus Linie und Projektarbeit vertraut sind. Unsere fachlichen und technischen Erfahrungen bei unterschiedlichen Kreditinstituten ermöglichen unseren Beratern und Beraterinnen ein realistisches und zielorientiertes Vorgehen im Kontext der Prüfung der Informationssicherheitsthemen für Ihr Haus. Gemeinsam mit unseren Kunden sorgen wir dafür, stabile und zukunftsfähige IT-Lösungen zu definieren und diese aufsichtskonform, zukunftssicher und zu Ihrer Organisation bzw. IT-Landschaft passend umzusetzen.

Unser Angebot

Bitte sprechen Sie uns gerne zum unverbindlichen Austausch über die Ausgangslage in Ihrem Haus an. Unsere IT- und prüfungserfahrenen Berater und Beraterinnen werden Ihnen darauf basierend ein auf Ihre spezifischen Bedürfnisse passendes Angebot für eine Unterstützung durch crossconsulting im Kontext BAIT unterbreiten.

Wir freuen uns, Sie in diesem spannenden Aufgabengebiet rund um die BAIT unterstützen zu dürfen!

Zurück zur Übersicht Nächster Beitrag