Was Banken und IT-Verantwortliche zur BAIT 2024 wissen sollten
Regulatorische Anforderungen an die IT von Banken sind längst kein Randthema mehr. Spätestens seit der Einführung der bankaufsichtlichen Anforderungen an die IT gelten verbindliche Vorgaben, die tief in die Aufbau- und Ablauforganisation der Institute eingreifen. Die letzte umfassende Überarbeitung der Regelungen wurde im Rahmen einer Konsultation im Oktober 2020 angestoßen und ist heute ein fester Bestandteil der aufsichtsrechtlichen Erwartungshaltung.
IT-Leitungen, Informationssicherheitsbeauftragte und Compliance-Verantwortliche stehen damit vor der Aufgabe, die neuen BAIT-Vorgaben dauerhaft in ihre Organisation zu integrieren. Das betrifft sowohl technische Maßnahmen als auch strategische Steuerungselemente. Ziel ist es, die Sicherheit und Belastbarkeit der IT-Landschaft nachprüfbar zu gestalten und gegenüber Prüfern und interner Revision darlegen zu können.
Warum die BAIT 2024 besonders relevant ist
Die Anforderungen sind nicht nur umfangreicher, sondern auch deutlich präziser formuliert. Statt allgemeiner Leitsätze liegt der Fokus auf der praktischen Umsetzung. Besonders stark betrifft das die Schnittstellen zwischen IT-Betrieb, Risikomanagement und Geschäftsleitung. Alle drei Bereiche sollen enger zusammenarbeiten, um Risiken nicht nur zu erkennen, sondern auch nachvollziehbar zu steuern und zu dokumentieren.
Gleichzeitig fordert die Aufsicht klar strukturierte Prozesse zur Bewertung und Behandlung von IT-Risiken. Dies gilt sowohl für interne Anwendungen als auch für ausgelagerte Systeme. Die Fähigkeit, Schwachstellen frühzeitig zu identifizieren und angemessene Maßnahmen abzuleiten, wird zur zentralen Voraussetzung für eine wirksame IT-Governance.
Neue Kapitel der BAIT und ihre praktischen Folgen
Operative IT-Sicherheit nach BAIT
Ein zentrales Thema ist der Schutz vor technischen Angriffen und die frühzeitige Erkennung von Schwachstellen. Gefordert sind geeignete Monitoring-Werkzeuge, ein geregeltes Schwachstellenmanagement, sowie ein revisionssicheres Protokollierungssystem. Diese Maßnahmen sollen dabei helfen, potenzielle Bedrohungen frühzeitig zu erkennen und strukturiert zu behandeln.
IT-Notfallmanagement im Sinne der BAIT
Auch der Bereich Notfallvorsorge wurde umfassend erweitert. Institute müssen in der Lage sein, kritische Systeme bei Ausfällen schnell wiederherzustellen. Dazu gehören Wiederanlaufpläne, klar definierte RTOs und RPOs sowie regelmäßige Tests unter realistischen Bedingungen. Besondere Aufmerksamkeit gilt dabei ausgelagerten IT-Leistungen, deren Funktionsfähigkeit im Ernstfall gewährleistet bleiben muss.
Kommunikation mit Zahlungsdienstnutzern
Erstmals greift die BAIT explizit Anforderungen aus der PSD2 auf. Banken sollen nicht nur ihre internen Systeme schützen, sondern auch Verantwortung für die Informationssicherheit ihrer Kunden übernehmen. Dazu gehört die transparente Kommunikation über Sicherheitsfunktionen, mögliche Risiken sowie Änderungen im Authentifizierungsverfahren.
BAIT-konforme Anpassung bestehender Strukturen
Auch bestehende Abschnitte der BAIT wurden verschärft. Die regelmäßige Schutzbedarfsfeststellung wird zur Pflicht. Systeme, Anwendungen und Datenbestände müssen kontinuierlich neu bewertet werden – insbesondere bei technischen oder organisatorischen Änderungen. Ebenso gefordert sind nachvollziehbare Maßnahmen zur Risikobehandlung und eine transparente Priorisierung von Sicherheitsvorhaben.
Ein zentraler Punkt ist zudem die Sensibilisierung der Belegschaft. Die Anforderungen gehen über klassische Awareness-Schulungen hinaus. Gefordert ist ein rollenspezifisches Schulungskonzept mit kontinuierlicher Nachverfolgung und Wirksamkeitsprüfung. Nur so lässt sich sicherstellen, dass alle Beteiligten ihre Rolle im Rahmen der Informationssicherheit verstehen und leben.
Empfehlungen für die Umsetzung der BAIT
Für eine strukturierte Umsetzung empfiehlt sich ein dreistufiges Vorgehen. Zunächst sollte eine Bestandsaufnahme durchgeführt werden, die alle relevanten IT-Systeme, Prozesse und externen Dienstleister erfasst. Darauf folgt der Soll-Ist-Vergleich mit den aktuellen Anforderungen der BAIT. Diese Analyse bildet die Grundlage für ein priorisiertes Maßnahmenpaket, das nach Risikopotenzial, Prüfungsrelevanz und Umsetzbarkeit gegliedert wird.
Der dritte Schritt ist die schrittweise Umsetzung. Hierzu gehört die klare Definition von Verantwortlichkeiten, die Integration externer Fachpartner bei Bedarf sowie ein regelmäßiges Monitoring der Fortschritte. Dokumentation ist dabei keine Nebensache, sondern Voraussetzung für Transparenz gegenüber Aufsicht, Revision und Management.
Richtig umgesetzt kann die BAIT nicht nur regulatorische Risiken minimieren, sondern auch einen Beitrag zur operativen Exzellenz leisten. Denn transparente Prozesse, strukturierte Sicherheitsmaßnahmen und ein klares Verständnis von IT-Risiken stärken langfristig auch die Wettbewerbsfähigkeit eines Instituts.
Weiterführende Informationen zur BAIT
- MaRisk – BaFin
- PSD2 – EU-Richtlinie
- Informationen zur BAIT bei der BaFin
- BAIT-Checkliste zur internen Umsetzung
Disclaimer:
Die von uns verwendeten Links sind am 22.4.2025 gesetzt worden und enthielten zu diesem Zeitpunkt keine rechtswidrigen Inhalte. Sie können nach diesem Datum jedoch zu fremden Inhalten führen, die wir nicht regelmäßig überprüfen können und für die wir keine Verantwortung übernehmen.