Im März 2017 hatte die BaFin ihren Entwurf der „Bankaufsichtlichen Anforderungen an die IT (BAIT)” zur Konsultation gestellt. Mit ihrem Rundschreiben vom 03.11.2017 - AZ: 10/2017 (BA) - hat die Finanzaufsicht diese Anforderungen nun verbindlich konkretisiert.

Die BAIT sollen auf Basis von § 25a Absatz 1 KWG einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute geben. Dies gilt vor allem für das Management der IT-Ressourcen und für das IT-Risikomanagement. Zudem präzisieren sie die Anforderungen des § 25b KWG in Hinblick auf die Auslagerung von Aktivitäten und Prozessen. Somit sind die BAIT der zentrale Baustein für die IT-Aufsicht im Bankensektor in Deutschland.

Die Regelungsinhalte

Die neuen Vorgaben regeln hauptsächlich die Berichts- und Informationspflicht zwischen dem neuen Informationssicherheitsbeauftragten und den Bankenvorständen. Weiterhin beinhalten sie Regeln zur Überprüfung der IT-Sicherheit im Alltagsbetrieb sowie zur Datensicherung und zur Anwendungsentwicklung von eigenen Projekten. Darüber hinaus schreibt das neue Regelwerk fest, wie die Auftragsdatenverarbeitung durch Dritte zu erfolgen hat. Im Wesentlichen verankern die BAIT folgende Maßnahmen:

• IT-Strategie: Die IT-Strategie hat die Anforderung der MaRisk zu erfüllen. Dies beinhaltet insbesondere, dass die Geschäftsleitung eine nachhaltige IT-Strategie festlegt, in der die Ziele, sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden.
• IT-Sicherheit: Dies betrifft vor allem Maßnahmen zur Verbesserung der IT-Sicherheit, des IT Service Continuity Managements (ITSCM) und der IT-Infrastruktur. Zudem sind Regelungen zum Umgang mit neuen Medien klarer zu fassen.
• Informationsmanagement: Verbesserung des Informationsrisikomanagements durch Strukturanalysen, Risikoanalysen, SOLL/IST-Vergleiche, Schutzbedarfsfeststellung, Risikotracking und ein verbessertes und einheitliches Berichtswesen.
• Risikokultur: Schaffung einer Risikokultur und Ausbau des Bewusstseins der Mitarbeiter. Dies soll vor allem durch Schulungen oder Rundschreiben zur Verbesserung des Bewusstseins jedes Mitarbeiters in Bezug auf IT-Sicherheit und Risikomanagement umgesetzt werden.
• IT-Infrastruktur: Modernisierung und Optimierung der IT-Infrastruktur mit klaren Vorgaben zur Auslagerung sowie Revision der Qualität und Sicherheit von IT-Applikationen sowie Eigenentwicklungen.
• Informationssicherheitsbeauftragter: Eine wesentliche Neuerung ist die Einführung eines Informationssicherheitsbeaufragten. Dieser soll die IT-Sicherheit der Bank verantworten und muss über entsprechende Ressourcen verfügen.

Der Informationssicherheitsbeauftragte

Zu den Ressourcen des Sicherheitsbeauftragten gehört auch ein zweckgebundenes dediziertes Personal. Kleinere Bankinstitute können diese Aufgabe für mehrere Banken zusammenfassen. Laut Ziffer 4.18 der BAIT hat der Sicherheitsbeauftragte folgende Aufgaben:

• Unterstützung der Geschäftsleitung beim Festlegen und Anpassen der Informationssicherheitsleitlinie und Beratung in allen Fragen der Informationssicherheit. Dies umfasst auch Hilfestellungen bei der Lösung von Zielkonflikten, zum Beispiel zwischen Wirtschaftlichkeit und Informationssicherheit.
• Erstellung von Informationssicherheitsrichtlinien und gegebenenfalls von weiteren einschlägigen Regelungen einschließlich der Kontrolle ihrer Einhaltung.

Zum weiteren Verantwortungsbereich des Sicherheitsbeauftragten gehören die Dokumentation des Berechtigungsmanagements, die Auftragsverarbeitung und Backup-Prozesse.

Zudem muss der Informationssicherheitsbeauftragte quartalsweise einen Bericht verfassen, der sämtliche Probleme und besondere Vorkommnisse auflistet. Dieser Bericht erfolgt an den Vorstand. Vorgeschlagene Maßnahmen zur Verbesserung der IT-Sicherheit muss der Vorstand erfüllen.

Weiterhin hat der Sicherheitsbeauftragte einige Vollmachten. Beispielsweise kann er unabhängig von den IT-Zyklen eine Datensicherung oder eine Überprüfung der Datenrestaurierung verfügen.

Verhältnis zu den MaRisk

Die seit dem 06.11.2017 geltenden BAIT ergänzen die schon existierenden Mindestanforderungen an das Risikomanagement der Banken (MaRisk) von Oktober 2017. Wie die BaFin in ihrem Anschreiben vom 06.11.2017 mitteilt, gelten die BAIT in einer Gesamtschau mit der MaRisk, soweit die BAIT auf dezidierte Textziffern der MaRisk verweisen. Die übrigen Textziffern der MaRisk bleiben danach unberührt. Dies gilt insbesondere für die Anwendung von AT 7.3 MaRisk (Notfallkonzept).

Anforderungen an die IT im Finanzsektor	29.03.2017
BaFin leitet öffentliche Konsultation zum Rundschreiben „Bankaufsichtliche Anforderungen an die IT“ (BAIT) ein
	Sind die Anforderungen von § 25a Absatz 1 KWG in Bezug auf den IT-Einsatz hinreichend in den Mindestanforderungen an das Risikomanagement (MaRisk) abgebildet? Diese Frage wollen BaFin und Deutsche Bundesbank durch eine öffentliche Konsultation klären. mehr ...  Rundschreiben 10/2017 (BA) vom 03.11.2017

Strategien für die regulatorischen Anforderungen der Zukunft

Das Buch Risikomanagement und Frühwarnverfahren in Kreditinstituten, Aktuelle Anforderungen – Instrumente – Prüfung, von dem Experten-Team um Ulrich Bantleon und Axel Becker stellt Ihnen in der neu bearbeiteten Auflage aktuelle Entwicklungen und rechtliche Grundlagen für die Branche übersichtlich und verständlich vor. Die Autoren befassen sich unter anderem den Neuerungen der MaRisk, den bankaufsichtlichen Anforderungen an Frühwarnverfahren oder mit Krisenindikatoren bei Firmenkundenkrediten. Ausführungen zur bankaufsichtsrechtlichen Prüfung von Risikomanagement- und -controllingverfahren oder zur Prüfung von Risikoklassifizierungsverfahren runden das Werk ab, das auch als eBook lieferbar ist.

(ESV/bp)