Die Banken-IT im Fokus der Aufsicht: kaum Neues für IT-Dienstleister

In seinem Beitrag "Nach MaRisk ist vor BAIT" beleuchtete mein Kollege Ole Barkmann kürzlich die anstehenden Änderungen im Zuge des Rundschreibens „Bankaufsichtliche Anforderungen an die IT“ (BAIT). Im Fokus stand dabei vor allem die Sicht der Banken – ich möchte nun aufzeigen, warum die Ankündigungen für die meisten IT-Dienstleister wenig Neues enthalten.

Mit ihrer Neufassung der MaRisk hat die BaFin die Abgrenzung zwischen Auslagerungen und sonstigem Fremdbezug sehr viel schärfer gezogen. Software und Dienstleistungen, die für die Durchführung bankgeschäftlicher Aufgaben oder auch für das Risikomanagement von wesentlicher Bedeutung sind, stellen künftig immer Auslagerungen dar.

Die Aufsichtsbehörde fordert außerdem, dass sich Finanzinstitute künftig intensiver mit diesen Auslagerungen beschäftigen müssen. Sie benötigen z.B. ein zentrales Auslagerungsmanagement und Mitarbeiter, die sich mit Informationsrisikomanagement, Informationssicherheitsmanagement und Datenschutz beschäftigen, hinzu kommen eventuell das Portfoliomanagement für IT-Projekte sowie ein umfangreicheres Vertragsmanagement. Es wird eine große Organisation benötigt – mit einem enormen Informationshunger.

Die Compliance-Bereiche der Banken werden wachsen

Aktuell lässt sich beobachten, dass viele Banken ihre Compliance-Organisationen aufstocken. Informationssicherheitsbeauftragte, ISMS-Beauftragte, Risikomanager, Datenschutzbeauftragte und Revisoren sehen sich einerseits mit den zahlreichen Anforderungen der novellierten MaRisk und der BAIT konfrontiert und andererseits mit einer Vielzahl von Auslagerungen ihres Instituts an externe Dienstleister. Es beginnt ein Marathon von Prüfungen: jede Anforderung mit jedem Dienstleister, das ergibt eine große Zahl an Kombinationen. IT-Dienstleistern, die für mehrere Banken tätig sind, steht somit eine Flut endlos scheinender Fragebögen und eine starke Vor-Ort-Präsenz von Prüfern ihrer Kunden ins Haus.

Informationssicherheit ist keine Erfindung der Bankenaufsicht

Für IT-Dienstleister sind Anforderungen hinsichtlich Informationssicherheit und Risikomanagement, wie sie von der Bankenaufsicht gefordert werden, nicht neu. Unternehmen der ITK-Branche können sich die Konsequenzen von Vertrags- und Gesetzesverstößen oder die Auswirkungen von Sicherheitsmängeln auf ihre Reputation nicht leisten. Informationssicherheit mit all ihren Facetten ist ein existenzieller Wettbewerbsfaktor. Erfolgreiche ITK-Unternehmen verpflichten sich zur Einhaltung etablierter Standards wie der ISO 27001, dem IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI) oder anderen Standards wie beispielsweise PCI DSS (Verarbeitung von Kreditkartendaten). Entsprechende Zertifikate kann man nicht kaufen, sondern sie erfordern umfangreiche jährlich durchzuführende Prüfungen durch spezialisierte und von den verantwortlichen Organisationen akkreditierte Unternehmen (Zertifizierungsstellen). Ein Zertifikat hat somit einen hohen Wert: Es ist der Nachweis, dass ein Unternehmen alle Sicherheitskriterien einhält, die im entsprechenden Industriestandard festgelegt sind.

Zertifikate können die Konformität zu MaRisk und BAIT bestätigen

Vergleicht man die Anforderungen der novellierten MaRisk und der BAIT, soweit sie für IT-Dienstleister relevant sind, mit den Standards ISO 27001 und dem IT-Grundschutz des BSI, so wird man feststellen, dass sie dort vollständig enthalten sind. Dies ist in den Veröffentlichungen der Bankenaufsicht nicht transparent und erschließt sich nur, wenn man sich in der Tiefe damit beschäftigt. Die Neufassung der MaRisk spricht im Zusammenhang mit diesen Standards lediglich abstrakt von “Standards zur Ausgestaltung der IT-Systeme” und geht nicht darauf ein, dass beide Standards nahezu alle in der BAIT beschriebenen Anforderungen berücksichtigen – insbesondere auch Informationsrisiko- und Informationssicherheitsmanagement. Daraus ergibt sich jedoch eine wichtige Schlussfolgerung und Empfehlung für die Finanzbranche: Verfügt ein IT-Dienstleister über ein Zertifikat nach ISO 27001 oder IT-Grundschutz, ist es gültig und liegen die ausgelagerten Dienstleistungen vollständig im Scope des Zertifikats, so ist eine vollumfängliche Überprüfung der bankenaufsichtlichen Anforderungen durch ein auslagerndes Institut unnötig. Die Restrisiken können aus den Prüfberichten der Zertifizierungsstellen abgeleitet werden.

Sind Sie auch der Meinung, dass sich Banken bei ihrer Risikoeinschätzung ausgelagerter IT-Dienstleistungen stärker an Industriestandards orientieren sollten?

 

Bildquelle: Shutterstock

Schreibe einen Kommentar