BAIT – Das müssen Sie beachten

Die Informationssicherheit in Banken ist in letzter Zeit immer stärker in den Fokus gerückt. Die Aufsicht musste reagieren und hat mit BAIT die neuen MaRisk präzisiert. Laura Zappavigna und Thomas Giebel haben sich die Schwachstellen aus Prüfersicht angeschaut und erklären, was sich in den Köpfen der Geprüften ändern muss.

Mit der Veröffentlichung der neuen bankaufsichtlichen Anforderungen an die IT (BAIT) vom 03.11.2017 hat die BaFin ihre Anforderungen an die Informationstechnologie (IT) der Institute nach § 25a Abs. 1 Satz 3 Nrn. 4 und 5 sowie nach § 25b KWG um ein weiteres Rundschreiben zur Konkretisierung der MaRisk ergänzt. Damit reagiert die Aufsicht auf die steigenden Herausforderungen für die Informationssicherheit in Kreditinstituten, die neue Technologien und die zunehmende Digitalisierung von Prozessen mit sich bringen.

Thomas Giebel von der dwpbank in München betont, dass das Verhältnis zwischen Vertrauen und Kontrolle stimmen muss.  Denn Vertrauen funktioniert nur dort, wo Sicherheiten existieren. Unsicherheiten führen zu einer Misstrauenskultur. Auch dazu tragen die bankenaufsichtsrechtlichen Anforderungen bei, denn sie geben der Geschäftsleitung die Möglichkeit, Prozesse des eigenen Unternehmens im Griff zu haben und sicher zu sein, dass sie geregelt ablaufen und eingehalten werden. Standardisierte Sicherheiten geben Raum für mehr Flexibilität, da man sich von der Angst, etwas zu vergessen, lösen kann und den Kopf für Wichtiges frei hat.

So beispielsweise für die Vorbereitung auf die IT-Prüfung. Dabei beurteilt die Aufsicht u. a., ob die Geschäfts- und Risikomanagementprozesse durch die IT angemessen unterstützt werden und die IT im Hinblick auf die operativen Bedürfnisse, die Geschäftstätigkeit und Risikosituation des Kreditinstituts ausreichend ist. Zudem hat die IT ein angemessenes Niveau der Datenqualität zu ermöglichen und die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Daten ist sowohl durch die IT-Infrastruktur (IT-Systeme und Prozesse) wie auch durch die Mitarbeiter jederzeit zu gewährleisten.

IT-Governance bezieht sich im Wesentlichen auf Prozesse und Verfahren – einschließlich der Organisation, Strategie, Richtlinien und Struktur der IT-Architektur – die sicherstellen, dass die IT eines Kreditinstituts die strategischen Ziele unterstützt und ebenso zu erweitern vermag. Da das Management von IT-Systemen und -Prozessen entscheidend für die Implementierung und Aufrechterhaltung einer angemessenen IT-Infrastruktur bezüglich Art, Umfang, Komplexität und Risikobereitschaft der Aktivitäten eines Instituts ist, ist die angemessene Einbindung des verantwortlichen Leitungsorgans unabdingbar. Seitens der Aufsicht wird neben einer klar definierten IT-Strategie inklusive Richtlinien und Verfahren ein geeigneter Governance-Rahmen sowie eine solide und umfassende Systemarchitektur erwartet, die alle Informationsbedürfnisse des Finanzinstituts abdeckt. Zudem sind Verfahren einzurichten, die die Erfüllung der gesetzlichen Anforderungen sicherstellen.

Vor dem Hintergrund der verschärften Anforderungen an das Auslagerungsmanagement beschäftigt sich neben dem AT 9 der MaRisk auch das Kapitel 8 der BAIT mit Auslagerungen und dem sonstigen Fremdbezug von IT-Dienstleistungen. Die aufsichtliche Erwartungshaltung ist an dieser Stelle, dass an externe Dienstleister ausgelagerte IT-Aktivitäten so gesteuert werden, dass die Qualität der Ergebnisse durch die Auslagerung nicht beeinflusst wird. Wegen der grundlegenden Bedeutung der IT für das Institut ergibt sich jedoch die Besonderheit, dass die BAIT ähnlich hohe Anforderungen an die Steuerung des sogenannten Fremdbezugs von IT-Dienstleistungen wie an IT-Auslagerungen stellen.

Die Aufsicht erwartet von Kreditinstituten einen angemessenen Umgang mit bestehenden Risiken aus der Informationsverarbeitung; d. h. Ziel des IT-Risikomanagements ist es, jene Risiken zu identifizieren, zu steuern, zu überwachen und zu beurteilen, die sich aus dem Einsatz von IT ergeben. Neben angemessenen Maßnahmen zur Identifizierung und zum Umgang mit Schwachstellen in Bezug auf die IT-Sicherheit sind die physische Sicherheit der IT-Systeme zu gewährleisten und Kontrollen einzurichten, die die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sicherstellen.

Eine unzureichende IT-Sicherheit kann die Geschäftstätigkeit eines Instituts als Ganzes gefährden, da die auf IT-Systemen basierende Verarbeitung, Speicherung und Übermittlung von Informationen (z. B. Kundendaten) von entscheidender Bedeutung ist. Im Zuge des Berechtigungsmanagements ist demnach sicherzustellen, dass eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht.

An dieser Stelle betont Thomas Giebel die Rolle des Mitarbeiters, die neu gedacht werden sollte.  Denn nicht nur die reine Erfüllung der Vorgaben muss betrachtet werden, sondern zugleich sollte auch festgelegt werden, wie dafür gesorgt wird, dass die Vorgaben der Aufsicht verlässlich eingehalten werden und rechtzeitig erkannt wird, wenn etwas fehlt.
Dies erfordert zunächst Kreativität, macht aber letztlich die Köpfe dauerhaft frei von dem Gedanken „habe ich alles?“.  Habe ich konsequent ein internes Kontrollsystem eingerichtet, kann ich mich darauf verlassen und mich den Kernaufgaben widmen und beruhigt der nächsten Prüfung ins Auge schauen. Die Mitarbeiter zu überzeugen, dass nun kein neuer Kontrollwahn die Bank beherrscht, ist entscheidende Aufgabe der Führungskräfte.

Neben der Festlegung von Berechtigungskonzepten und der Vergabe von Berechtigungen nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) ist die regelmäßige Rezertifizierung von entscheidender Bedeutung, um etwaige Gefahren zu identifizieren, die aus nicht mehr benötigten oder außerhalb des vorgeschriebenen Verfahrens eingeräumten Berechtigungen wachsen können.