Bankaufsichtliche Anforderungen an die IT (BAIT)

Die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichte am 23. März 2017 ihre Arbeitsschwerpunkte zur IT-Aufsicht. Die BaFin plant eine diesbezügliche Überarbeitung der Mindestanforderungen an das Risikomanagement (MaRisk) als Reaktion auf das Konsultationspapier der Europäischen Bankenaufsichtsbehörde (EBA) zur Bewertung von IKT-Risiken (Deloitte berichtete).

Die BaFin hat mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) einen praxisnahen Rahmen für die Ausgestaltung der IT der Institute, insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement geschaffen. Damit sollen vor allem die Erwartungshaltung der Aufsicht an die Institute transparenter gestaltet werden.

Die prinzipienorientierten Anforderungen tragen dem Proportionalitätsprinzip Rechnung und ermöglichen den Instituten somit eine risikoorientierte Umsetzung. Die MaRisk selbst bleiben unberührt und werden anhand der BAIT lediglich konkretisiert. Die Anforderungen gliedern sich in insgesamt acht Bereiche, die nach Regulierungstiefe und -umfang nicht abschließender Natur sind. Die konkrete Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse obliegt immer noch den Kreditinstituten. Die BaFin empfiehlt aber, einschlägige Standards zu berücksichtigen (z.B. Grundschutzkatalog des deutschen Bundesamtes für Sicherheit in der Informationstechnik und ISO/IEC 2700X).

Die BAIT beinhalten folgende acht Bereiche:

IT-Strategie

Die Geschäftsleitung legt eine nachhaltige IT-Strategie fest, in der die Ziele sowie die Maßnahmen zu deren Erreichung dargestellt werden.

IT-Governance

Die IT-Governance ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme. Die Geschäftsleitung ist dafür verantwortlich, dass die Regelungen zur IT-Governance wirksam umgesetzt werden.

Informationsrisikomanagement

Die Informationsverarbeitung von datenverarbeitenden IT-Systemen sowie der Umfang und die Qualität der Prozesse sind an betriebsinterne Erfordernisse anzupassen. Die Integrität, Verfügbarkeit, Authentizität und die Vertraulichkeit der Daten müssen sichergestellt werden. Dafür ist ein Informationsrisikomanagement mit den verbundenen Aufgaben (Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege) zu definieren. Zudem müssen angemessene Risikosteuerungs- und -controllingprozesse eingerichtet werden.

Informationssicherheitsmanagement

Das Informationssicherheitsmanagement definiert Soll-Anforderungen sowie Prozesse der Informationssicherheit und sorgt für deren Umsetzung. Das Informationssicherheitsmanagement folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Das Institut hat für dessen Errichtung und den Betrieb ausreichend Ressourcen (insbes. Personal, Qualifikation, Zeit) zur Verfügung zu stellen.

Benutzerberechtigungsmanagement

Ein Benutzerberechtigungsmanagement stellt sicher, dass der Zugang zum Informationsverbund und die den Benutzern eingeräumten Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht. IT-Berechtigungskonzepte haben die Vergabe von IT-Berechtigungen an Benutzer nach dem Prinzip der minimalen Rechtevergabe sicherzustellen und die Funktionstrennung zu wahren.

Die Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von IT-Berechtigungen haben durch Genehmigungs- und Kontrollprozesse sicherzustellen, dass die Vorgaben des IT-Berechtigungskonzepts eingehalten werden.

IT-Projekte, Anwendungsentwicklung

Bei der Steuerung von IT-Projekten sind Risiken angemessen zu berücksichtigen (insbes. bei der Dauer, beim Ressourcenverbrauch und bei der Qualität von IT-Projekten).

IT-Betrieb

Der IT-Betrieb hat die Erfüllung der Anforderungen, die sich aus der Umsetzung der Geschäftsstrategie ergeben, wirksam zu unterstützen. Die Komponenten der IT-Systeme sowie deren Beziehungen zueinander sind in geeigneter Weise zu verwalten. Die hierzu erfassten Bestandsangaben sind regelmäßig und anlassbezogen zu aktualisieren.

Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen

Die Verträge über den sonstigen Fremdbezug von IT-Dienstleistungen sind strategisch analog zu den IT-Auslagerungsverträgen zu steuern.

Für jeden sonstigen Fremdbezug von IT-Dienstleistungen ist eine Risikobewertung durchzuführen.

Das Konsultationsverfahren endete am 5. Mai 2017. Nach der Einarbeitung der eingegangenen Stellungnahmen sollen die BAIT Mitte 2017 veröffentlicht werden.

Links:  Konsultation 02/2017, Pressemitteilung

print