Die bankaufsichtlichen Anforderungen an die IT, kurz BAIT, interpretieren die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz und konkretisieren damit die Mindestanforderungen an das Risikomanagement (MaRisk). Sie wurde erstmals von der BaFin mit dem Rundschreiben 10/2017 (BA) vom 3. November 2017 veröffentlicht und am 14. September 2018 aktualisiert. In ihr werden Verhaltens- und Verwaltungsanweisungen für Kreditinstitute formuliert und beschrieben, wie die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und die diesbezüglichen Anforderungen an die IT-Governance zu gestalten sind.
In diesem Artikel erläutern wir die Neuerungen der Konsultation vom Oktober 2020 und welche konkreten Handlungen daraus folgen.
Die neue BAIT betrachtet die Anforderungen aus einer ganzheitlicheren Perspektive. Die Verantwortungen werden eindeutiger bestimmt, die Interaktion und Abhängigkeit von Dienstleistern stärker reglementiert und die Sensibilisierung der Mitarbeitenden weiter in den Vordergrund gestellt. Darüber hinaus ist eine regelmäßige Überprüfung der Maßnahmen vorgesehen, um die Wirksamkeit aller Maßnahmen stets sicherzustellen.
Neben diesen inhaltlichen Neuerungen, sind 3 vollkommen neue Kapitel hinzugekommen. Diese sind „Operative IT-Sicherheit“, „IT-Notfallmanagement“ und „Kundenbeziehungen mit Zahlungsdienstnutzern“.
Konkrete Änderungen:
Das neue Kapitel Operative IT-Sicherheit umfasst die technische Umsetzung der Informationssicherheitsmanagement (ISM) Anforderungen. Dazu gehört vor allem das Monitoring und Testen von Schwachstellen und potentiellen Bedrohungen. Mögliche Maßnahmen, um diese Forderungen umzusetzen sind geeignete Monitoring- und Protokollierungssysteme, ein Security Information and Event Management (SIEM) und Interne Kontrollsysteme (IKS). Das IT-Notfallmanagement basiert auf dem Notfallmanagement und spezifiziert dessen Anforderungen für die Informationssysteme. Für zeitkritische Prozesse sind IT-Notfallpläne aufzustellen und mindestens jährliche IT-Notfalltests durchzuführen. Die Auslagerung von zeitkritischen Prozessen und IT-Ressourcen steht ebenfalls im Fokus. Es muss stets gewährleistet sein, dass Ausfälle minimiert und der Normalbetrieb schnellstmöglich wieder sichergestellt werden kann. Hierzu empfiehlt sich die Definition von Recovery Time Objectives (RTOs) und Recovery Point Objectives (RPOs). Das Kapitel Kundenbeziehungen mit Zahlungsdienstnutzern widmet sich der Kommunikation und Information der Zahlungsdienstanbieter mit Ihren Kunden. Ähnlich zu den Anforderungen der Payment Services Directive 2 (PSD2) geht es darum, unabhängig von den technischen Maßnahmen der Institute, die Sicherheit auf Kundenseite zu stärken.
Die Neuerungen der bekannten Kapitel sind vor allem in den Bereichen Informationsrisiko- und Informationssicherheitsmanagement zu spüren. Die Schutzbedarfsfeststellung ist regelmäßig zu überprüfen und das Institut hat ferner laufend über sein Bedrohungslevel informiert zu sein. Maßnahmen zur Informationssicherheit müssen regelmäßig getestet werden und der generelle Dokumentations- und Sensibilisierungsbedarf steigt. So soll sichergestellt werden, dass die Angemessenheit und Wirksamkeit der Schutzmaßnahmen für die Informationssysteme stetig den sich ändernden Gefahren gewachsen ist.
Unsere Empfehlung:
Wir empfehlen Ihnen eine Analyse Ihrer bisherigen Maßnahmen, sowie einen Soll-Ist-Vergleich bezüglich der Neuerungen durchzuführen. So können Sie den notwenigen Aufwand ermitteln, um sich sicher den neuen Vorgaben anzupassen. Dabei sollten nicht nur die Neuerungen eine Rolle spielen, sondern man sollte die Chance nutzen und bei der Gelegenheit auch die gleichbleibenden Anforderungen einmal auf den Prüfstand stellen.
