BAIT-Novelle: Sicher ist sicher

Die Covid-19-Pandemie, Überschwemmungen, Erdbeben, Waldbrände: Jedes Jahr wird die Welt von – bekannten und neuen - Katastrophen heimgesucht. Mit weitreichenden Folgen, auch für Finanzinstitute. Die Reaktion der BaFin: Die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) werden vermutlich noch im ersten Halbjahr 2021 ergänzt durch drei neue Themenbereiche. Digitalisierung und Cyberkriminalität, aber auch Naturkatastrophen und Pandemien sollen im IT-Risikomanagement verstärkt berücksichtigt werden. 

Was ist anders?

Auf den oberen Ebenen werden die Verantwortlichkeiten stärker verankert. Durch Berücksichtigung aller Komponenten sowie Einbeziehung aller Dienstleister werden die Themen einheitlich und im Gesamten betrachtet. Sicherheitsmaßnahmen müssen regelmäßig gecheckt werden und auch messbar sein. Wegen der Komplexität einer gesamten und individuellen Betrachtung durch regelmäßige Überprüfungen können diese Tests in einem gewissen Umfang durch Tools unterstützt werden. In der zukünftigen Novelle sollen die über die bisherigen Anforderungen hinausgehenden Regelungen der EBA Guidelines on ICT integriert und somit in nationales Recht umgesetzt werden.

Neue Themenbereiche

Die BAIT werden künftig zwölf statt neun Themenbereiche umfassen und um die Punkte 5, 10 und 11 ergänzt.

Operative IT-Sicherheit

Der Fokus liegt auf der technischen Umsetzung der Außen- und Innenabsicherung der IT-Systeme und -Daten gegen Bedrohungen und deren direkter Aufdeckung. Dies bedeutet, dass Security Information and Event Management, kurz SIEM, sowie Security Operation Center, bekannt als SOC, in den Vordergrund rücken. Kernforderung der Textziffer (Tz.) 5.4. ist die Entwicklung eines „angemessenen Portfolios an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse“. Damit wird ein Security-Szenario-Portfolio geschaffen, das in einem automatisierten technischen Regelwerk abgebildet wird. Auf kritische Sicherheitsvorfälle muss eine zeitnahe Reaktion erfolgen, um die Auswirkungen frühzeitig einzugrenzen (Tz. 5.5).

IT-Notfallmanagement

Wenn zeitkritische Aktivitäten und Prozesse ausgelagert werden sollen, müssen das auslagernde Institut und das Auslagerungsunternehmen über Notfallkonzepte verfügen, die aufeinander abgestimmt sind. Rahmenbedingungen werden durch die Ziele des Notfallmanagements festgelegt. Die ausgelagerten IT-Ressourcen müssen genauer betrachtet werden, um das Ausmaß möglicher Schäden zu reduzieren. Die jährlich durchzuführenden IT-Notfalltests wie etwa die Simulation von Rechenzentrumsausfällen oder individuelle Gefährdungsszenarien müssen verstärkt beobachtet werden. Zeitkritische Aktivitäten und Prozesse müssen vorsorglich mit Hilfe von Notfallkonzepten festgelegt werden.

Kundenbeziehungen mit Zahlungsdienstnutzern

Die Inhalte dieses Abschnitts sind in der Konsultationsfassung noch nicht enthalten. Sie werden sich in Zukunft aus den „Zahlungsdienstaufsichtlichen Anforderungen an die IT“ (ZAIT) ergeben. EBA-Leitlinien zu IKT (Informations- und Kommunikationstechnologie) und Sicherheitsrisikomanagement liefern bereits Hinweise auf entsprechende „verbraucherschutzähnliche“ Anforderungen an Zahlungsdienstleister:

• u. a. vertieft die PSD2 die Anforderungen aus Endkundensicht hinsichtlich der Vorgaben für Banken zur Kundenkommunikation und -information
• Zahlungsdienstleister sollen dem Zahlungsdienstnutzer die Möglichkeit bieten, einzelne Zahlungsfunktionalitäten zu deaktivieren
• Betragsobergrenzen sollen anpassbar sein
• der Nutzer soll Informationen über getätigte und fehlgeschlagene Transaktionen erhalten.

Großer Handlungsbedarf

Die vorgenommenen Anpassungen der BAIT sollen vor allem zu einer Stärkung der operativen Informationssicherheit sowie zur Stärkung des IT-Notfallmanagements führen. Durch diese zwei neuen Kapitel werden jedoch nicht nur die aufsichtlichen Anforderungen geschärft. Es erfolgt eine stärkere Synchronisierung zwischen dem IT-Risikomanagement und dem allgemeinen Risikomanagement (nach MaRisk) mit den bekannten Prozessschritten Risikoidentifizierung, Risikobewertung sowie Risikohandhabung und -mitigierung.

Aufgrund des derzeit veröffentlichten Konsultationsentwurfs erwarten die Experten bei einer Vielzahl von Instituten, abhängig von der Größe und dem Geschäftsumfang, einen großen Handlungsbedarf bei der Umsetzung, bedingt durch die neuen Kapitel. Die Betroffenen sollten zeitnah eine GAP-Analyse umsetzen, damit der Umfang der notwendigen Anpassungen inklusive Ressourcen eingeplant werden kann. Dabei sollten die komplette BAIT betrachtet werden und nicht nur die „Neuerungen“, so dass eventuelle Prüfungsergebnisse seitens der Wirtschaftsprüfung, Revision, etc. mit in die Umsetzungsplanung einfließen können.