Die Banken-IT im Fokus der Aufsicht: nach MaRisk ist vor BAIT

„Cyberangriffe sind nicht nur Stoff für Science-Fiction-Filme. Sie sind sehr ernst zu nehmender Alltag,“ so BaFin-Präsident Felix Hufeld. Deshalb gilt bei der IT-Sicherheit: Nach der Regulierung ist vor der Regulierung. Mit dem Rundschreiben „Bankaufsichtliche Anforderungen an die IT“ (BAIT) wirft die Aufsicht den nächsten Köder aus.

Laut einer aktuellen Studie von Kaspersky Lab und B2B International genießen Investitionen in die IT-Sicherheit im Bankenumfeld eine hohe Priorität. Dennoch beklagen 70 Prozent der befragten Institute Finanzbetrügereien – mehr als jedes vierte hat bereits eine zielgerichtete Attacke erfahren. Dazu passend titelte die F.A.Z. im März: Banken mit schweren IT-Mängeln.

Sie berichtete, dass die BaFin den Banken bei der IT-Sicherheit kein gutes Zeugnis ausstellt. So wird der BaFin-Exekutivdirektor für Bankenaufsicht Raimund Röseler mit den folgenden Worten zitiert: „Gemessen an Schulnoten, ist kein Institut besser als vier“. Ende 2016 hatten die Europäische Zentralbank (EZB), die Bundesbank und die BaFin mehrere IT-Systeme großer Banken unter die Lupe genommen und attestierten im Anschluss teilweise erhebliche Sicherheitslücken.

Nachdem Anfang des Jahres bereits bekannt wurde, dass mit der Novellierung von MaRisk AT9 die Vorgaben für das Auslagerungsmanagement erhöht werden, hat die BaFin Ende März das Rundschreiben „Bankaufsichtliche Anforderungen an die IT“ (BAIT) zur Konsultation gestellt. Es soll die Mindestanforderungen an das Risikomanagement der Banken (MaRisk) konkretisieren und transparent machen, was BaFin und Bundesbank in Bezug auf die IT-Sicherheit von den Instituten erwarten. Werfen wir gemeinsam einen Blick auf das neue Regelwerk.

Um was geht es bei den BAIT?

Mit den BAIT möchte die BaFin vor allem drei Punkte erreichen:

  1. Schaffung eines flexiblen und praxisnahen Rahmens für das Management der IT-Ressourcen und das IT-Risikomanagement
  2. Erhöhung des IT-Risikobewusstseins der Banken und gegenüber den Auslagerungsunternehmen
  3. Transparente Gestaltung der Erwartungshaltung gegenüber den Instituten

In Bezug auf die MaRisk und §25a und b KWG sind die BAIT wie folgt einzuordnen: Sie sind …

  • … eine Präzisierung von §25a Abs. 1 KWG und §25b KWG.
  • … eine Konkretisierung, aber keine Erweiterung der MaRisk.
  • … im Grundsatz prinzipienorientiert und erhalten das Proportionalitätsprinzip der MaRisk.
  • … analog zu den MaRisk aufgebaut, über konkrete Verweise mit den MaRisk verknüpft und sollen – so das BaFin – auch für „Nicht-IT-Experten“ verständlich formuliert sein.

Konkret betreffen die Präzisierungen und Konkretisierungen die acht folgenden übergeordneten Themenkomplexe: IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte und Anwendungsentwicklung, IT-Betrieb sowie die Auslagerung und den sonstigen Fremdbezug von IT-Leistungen.

Die Präzisierungen und Konkretisierungen der BAIT im Detail

IT-Strategie:

  • Definition und regelmäßige Überprüfung einer mit der Geschäftsstrategie konsistenten IT-Strategie mit bestimmten Mindestinhalten (z.B. IT-Auslagerungsstrategie, Informationssicherheitsorganisation, IT-Architektur, Notfallmanagement).

IT-Governance:

  • Etablierung einer Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie. Die Verantwortung für die Umsetzung und Einhaltung der IT-Governance liegt bei der Geschäftsleitung.
  • Weitere Anforderungen sind die qualitativ und quantitativ angemessene Ausstattung der IT-Organisation mit Personal.

Informationsrisikomanagement:

  • Aktueller Überblick über die Systemlandschaft und die Geschäftsprozesse mit den gesamten Abhängigkeiten der einzelnen Bestandteile und der internen wie externen Schnittstellen.
  • Etablierung einer Methodik zur Ermittlung des Schutzbedarfes – Stichworte sind hier Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität.
  • Definition der Soll-Anforderungen im Sinne eines Referenzmaßnahmenkataloges.
  • Durchführung von Risikoanalysen.
  • Überführung von sich ergebenden Restrisiken in einen OpRisk-Management-Prozess.
  • Information der Geschäftsleitung über die Risikosituation und deren Veränderungen.

Informationssicherheitsmanagement:

  • Definition konkretisierender, den Stand der Technik berücksichtigender Informationssicherheitskonzepte und -prozesse.
  • Einrichtung der Stelle eines Informationssicherheitsbeauftragten, der zur Vermeidung von Interessenkonflikten organisatorisch und prozessual unabhängig agieren kann.

Benutzerberechtigungsmanagement:

  • Erstellung eines IT-Berechtigungskonzeptes, das den Umfang und die Nutzungsbedingungen der IT-Berechtigungen für die IT-Systeme konsistent zum ermittelten Schutzbedarf festlegt. Die IT-Berechtigungskonzepte haben die Vergabe nach dem Prinzip der minimalen Rechtevergabe sicherzustellen und die Funktionstrennung zu wahren und miteinander unvereinbare Tätigkeiten und Interessenkonflikte zu verhindern.
  • Etablierung von Verfahren und Prozessen zur Genehmigung, Protokollierung und Kontrolle von Einrichtung, Änderung, Deaktivierung oder Löschung von IT-Berechtigungen.

IT-Projekte und Anwendungsentwicklung:

  • Vorgehensmodell für die Durchführung und Überwachung von IT-Projekten und aus diesem Modell resultierende angemessene Steuerung.
  • Einführung eines Projektportfolio-Managements, um die aus den einzelnen Projekten resultierenden Abhängigkeiten und Risiken zu überwachen und zu steuern.
  • Angemessene Tests vor Produktivsetzung von neuer oder auch geänderter Software. Hierbei sollen neben der Funktionalität auch die Parameter Sicherheit und Systemleistung berücksichtigt werden, außerdem sind Lasttests durchzuführen.
  • Einordnung der eigenentwickelten und eigenbetriebenen Anwendungen (IDV) in Schutzbedarfsklassen.

IT-Betrieb (inkl. Datensicherung):

  • Erfassung und Verwaltung aller IT-Systeme inkl. deren Komponenten und Beziehungen untereinander.
  • Steuerung des vorhandenen IT-System-Portfolios und Berücksichtigung des Lebenszyklus und der aus dem Alter von IT-Systemen resultierenden Risiken.
  • Etablierung von Change-Prozessen für alle Änderungen an der IT-Infrastruktur.
  • Meldung von ungeplanten Abweichungen vom Regelbetrieb.

Auslagerung und sonstiger Fremdbezug von IT-Leistungen:

  • Etablierung einer aktiven Providersteuerung nicht nur für Auslagerungen, sondern auch für den Bezug von sonstigen IT-Fremdleistungen.
  • Auch für den Bezug von sonstigen IT-Fremdleistungen ist eine Risikobewertung durchzuführen.

Schmeckt der Köder?

Aus meiner Sicht ist es überfällig, dass sich die BaFin mit den BAIT die Deutungshoheit über die Regulierung im Bereich der IT zurückholt. Zuletzt lag diese ein Stück weit bei den Wirtschaftsprüfern, die die Banken jährlich prüfen und beraten. Genauer betrachtet sind die geforderten Punkte natürlich nicht neu – es handelt sich “nur” um Konkretisierungen. Bekanntermaßen gelten MaRisk und KWG auch heute schon für Kreditinstitute. Trotzdem ist es gerade für kleinere und mittlere Banken hilfreich, aus erster Hand zu erfahren, dass für einige risikoärmere Änderungen an der IT (z.B. Zuschaltung weiterer Prozessoren) dieser Change zwar ordentlich dokumentiert, aber ggf. erst nachgelagert freigegeben werden muss. Es bleibt abzuwarten, wie die Aufsicht das Proportionalitätsprinzip tatsächlich leben wird, d.h. wie sich das Anforderungsprofil an kleinere Institute von dem an Großbanken unterscheiden wird.

Das Ziel, das IT-Risikobewusstsein zu erhöhen, hat das Konsultationspapier bereits jetzt erreicht. In meinen Gesprächen mit Geschäftsleitern und Vorständen von Banken nehmen Fragen wie “Mit welchen Prozessen und KPI überwache und steuere ich meine Auslagerungsunternehmen?” einen deutlich größeren Raum ein als noch vor ein bis zwei Jahren. Gerade vor dem Hintergrund, dass durch die Fokussierung vieler Banken als Vertriebs- oder Transaktionsbank die Fertigungstiefe abnimmt: Immer häufiger übernehmen Dienstleister die Abarbeitung von Backofficeprozessen oder sogar der kompletten IT und auch die Kooperationen mit FinTechs nehmen zu. Damit muss bei der Bewertung der IT-Risikolage der bisher eher nach innen gerichtete Blick um externe Bezüge erweitert werden. Die BAIT mit ihren Konkretisierungen nehmen diese neue Anforderung auf und sind aus diesem Grunde zu begrüßen.

Teilen Sie diese Einschätzung oder gehen Ihnen die o.g. Punkte zu weit – oder noch nicht weit genug?

 

Bildquelle: Shutterstock

Schreibe einen Kommentar