BAIT aktualisiert: IT-Organisation und IT-Risiken im Blick

Zunehmende Cyberattacken, fortschreitende Digitalisierung von Prozessen, aber auch neue Technologien: Die Herausforderungen für die Informationssicherheit in Kreditinstituten sind gestiegen. Darauf hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) schon 2017 reagiert:

mit den bankaufsichtlichen Anforderungen an die IT, kurz BAIT (für Versicherer existiert die VAIT). Am 14. September 2018 hat die BaFin eine aktualisierte/ergänzende Fassung der BAIT veröffentlicht. Sie enthält einen zusätzlichen Abschnitt zum Thema „Kritische Infrastrukturen“.

Die BAIT konkretisieren die bisherigen Vorgaben aus den MaRisk und der §§ 25a, 25b KWG zur Ausgestaltung der IT der Banken. Damit hat die BaFin auch dem Wunsch der Kreditwirtschaft entsprochen, die eine Detaillierung der allgemeinen Vorgaben gefordert hatte. Die BAIT stellen die Erwartungshaltung der Aufsichtsbehörden an die Institute dar. Ziel der BAIT ist es dabei, zum einen eine bessere IT-Organisation zu gewährleisten. Zum anderen soll das Bewusstsein für IT-Risiken geschärft werden, da bisherige IT-Überprüfungen erhebliche Schwächen aufgedeckt haben. Das gilt derzeit für alle KWG-Institute.

Von der IT-Strategie bis zum IT-Betrieb
In den BAIT werden acht verschiedene Themenfelder angesprochen:

• IT-Strategie (Strategie)
• IT-Governance (Governance)
• Informationsrisikomanagement (Steuerung)
• Informationssicherheitsmanagement (Steuerung)
• IT-Projekte und Anwendungsentwicklung (Steuerung)
• Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen (Steuerung)
• IT-Betrieb inkl. Datensicherung (Operativ)
• Benutzerberechtigungsmanagement (Operativ)

Was ist zu tun? Was muss beachtet werden?
Aus den Neuerungen ergeben sich eine Reihe von Handlungsfeldern:

Analyse (anhand der „8 Themenfelder“ - auf das Institut individuell zugeschnitten)

• Ist zum Beispiel die IT-Strategie aktuell bzw. gibt es Differenzen zur Geschäftsstrategie?
• Überprüfung der Berechtigungskonzepte (werden die auch „so gelebt, wie beschrieben?“)
• Überprüfung der Prozesse: Werden sie „gelebt/eingehalten“ oder besteht hier „Handlungsbedarf“? (Prozesse müssen dann angepasst/erneuert werden)
• Schutzbedarfs‐ und Risikoanalyse
• Überprüfung der Backup‐Konzepte und Backup‐Tests ( Vorgabe: mindestens jährlich und anlassbezogen)

Anpassungen

• Ergänzung der IT‐Strategie (z.B. BCBS 239, Informationssicherheit, Auslagerungen, IDV); angemessene IT-Personalausstattung (Betrieb, Entwicklung, Risikomanagement und Security)
• Anpassung der IT-Systeme: zum Beispiel Integration eines zentralen Systems für IT‐Berechtigungen, Authentifizierungsverfahren, Verschlüsselung
• Zugriffsprotokollierung
• Aufnahme von strategischen Aussagen zur IT in die Geschäftsstrategie oder Integration einer IT‐Strategie in den Strategieprozess (regelmäßige Überprüfung und Anpassung der IT‐Strategie)
• Einleitung von IT‐aufbau‐ oder ablauforganisatorischen Maßnahmen, um Interessenskonflikten und unvereinbaren Tätigkeiten zu begegnen (Rollendefinitionen, SFO)
• Zentrales Auslagerungsmanagement, Ausrichtung des IT‐Strategieprozesses auf die neuen Vorgaben
• Abnahme und Freigabe, Dokumentation, Versionierung von Ergebnistypen (Erweiterung der derzeitigen Vorgaben)

Entwicklungen/Erweiterungen/Aufbau

• Entwicklung von Vorgehensmodellen für IT‐Projekte (auch für IDV)
• Erweiterung Change‐ und Incidentmanagement
• Angemessene Prozesse für die Anwendungsentwicklung; Anforderungsermittlung (Fachbereich), Entwicklungsziel, (technische) Umsetzung, QS, Test
• Steuerung von Verträgen mit Fremdbezug (Outsourcing)
• Umsetzung Back‐Up-Konzepte
• Umsetzung Security
• Berechtigungen, Logging
• Funktion Informationssicherheitsbeauftragter

Unterstützung von CGI

Wir fertigen für Sie eine Gap-Analyse auf Grundlage der BAIT-Schlüsselthemen. Unsere Experten identifizieren technische und organisatorische Schwachstellen. Anhand der Analysen und Gegebenheiten können wir Sie bei der Umsetzung der Anforderungen unterstützen (nach „Best Practice“). Ebenso können Sie mit uns spezielle „Probleme/Gaps“ erörtern, so dass wir einen gemeinsamen Lösungsweg umsetzen können.