7 Min. Lesezeit

2017 traten die “Bankaufsichtliche Anforderungen an die IT” (BAIT) in Kraft. Von der BaFin ausgegeben, bilden Sie einen zentralen Baustein für die Aufsicht von IT-Systemen deutscher Banken. Erfahre in diesem Blogartikel, welchen Eckpunkten du als Bank-Manager nach den BAIT Beachtung schenken musst und wie du einer 44er-Prüfung gelassen entgegenblicken kannst.

Das Gebäude der BaFin in Bonn

Der Begriff der Regulierung wird oftmals mit etwas Negativem assoziiert – es wird verboten etwas zu tun. Regularien zu erfüllen ist mit Zeit und Kosten verbunden, also versucht man diese zu vermeiden. Das ist der erste Impuls, solange der Gegenstand der Regulierung nicht bekannt ist.

Im richtigen Kontext wirst vermutlich auch du zustimmen, dass Regulierung eine sehr sinnvolle und erforderliche Sache ist. In der Luftfahrt sorgt der Standard DO-178B/C für die erforderliche Sorgfalt bei der Software-Entwicklung. In der Automobilindustrie reguliert die ISO 26262 geforderte Aktivitäten und Arbeitsprodukte sowie die in der Entwicklung und Produktion anzuwendende Methoden. Beide Standards sollen die Sicherheit im Bereich der Mobilität gewährleisten und Menschenleben schützen.

Warum wird die IT von Banken reguliert?

Der Gesetzgeber erlässt immer dann eine Regulierungsvorschrift, wenn die Allgemeinheit gefährdet ist. Dass es dabei nicht immer um Menschenleben gehen muss, zeigt ein Vorfall im Dezember 2019. Ein IT-Fehler sorgte bei einem Sparkassen-Partner für massive Störungen im Zahlungsverkehr.

Lohn- und Gehaltszahlungen wurden nicht getätigt. Rente wurde nicht überwiesen. Kurz vor Weihnachten fehlte das Kindergeld. Für viele Familien war der gestörte Zahlungsverkehr ein großes Problem und innerhalb kürzester Zeit waren ganze Existenzen bedroht.

Bei den Experten herrscht die einstimmige Meinung, dass keine Bank der Welt einen IT-Ausfall von 48 Stunden überlebt.

Überlebenszeit einer Bank nach einer IT-Katastrophe nur 2 Tage – Quelle: Masterkurs Wirtschaftsinformatik herausgegeben von Dietmar Abts, Wilhelm Mülder
Quelle: Masterkurs Wirtschaftsinformatik herausgegeben von Dietmar Abts, Wilhelm Mülder

Bereits kleine Störungen können einer Bank schaden, wie im oben geschilderten Beispiel. Um dem vorzubeugen, wurde der BAIT-Handlungskatalog von der BaFin verbindlich definiert. Der §44 des Kreditwesengesetz (KWG) – auch KWG 44 – legitimiert die BaFin darüber hinaus zur unangekündigten Prüfung, hinsichtlich der Einhaltung der BAIT.

Nicht ohne Grund bereitet die Floskel „Die nächste KWG 44 kommt bestimmt“ so manchem Bankdirektor Gänsehaut. Vielleicht auch dir?

Die 44er-Prüfung kann nicht nur unangekündigt erfolgen, sondern auch die Offenlegung sämtlicher Entwicklungs-Artefakte und deren Zusammenhänge fordern.

Im Folgenden schauen wir uns die Mindestanforderungen an das Risikomanagement (MaRisk) und die BAIT etwas genauer an.

Bankaufsichtliche Anforderungen an die IT (BAIT)

Die Regulierung der Banken umfasst acht Anforderungsbereiche, die ich im Folgenden kurz zusammenfasse:

  1. IT-Strategie

    Aus der Sicht der BaFin ist die Geschäftsleitung stets für die Erfüllung der Anforderungen verantwortlich. Der erste Anforderungsbereich umfasst eine nachhaltige IT-Strategie. Hierzu muss die Geschäftsleitung einen Maßnahmenkatalog bereitstellen, der Ziele definiert und wirksam zur Erreichung der Ziele führt. Außerdem müssen die Fortschritte stets dokumentieren werden. Hierfür müssen neben Rollen und Standards auch Anwendungslandschaft, Dienstleistungen etc. definiert und in Dokumenten erfasst sein.

  2. IT-Governance

    Die Überwachung der IT-Strategie wird durch den Anforderungsbereich der IT-Governance definiert. In diesen Anforderungen sind die Nachweise für die Planung und die Umsetzung definiert. Dein Institut hat zum Beispiel die Aufgabe, genug geschultes Personal für den IT-Betrieb einzustellen und für kontinuierliche Fortbildung zu sorgen.

  3. Informationsrisikomanagement

    Als Dritter Punkt ist das Informationsrisikomanagement definiert. Hierzu zählt die Informationsverarbeitung in allen Prozessen des Instituts. Die Umsetzung dieser Anforderungen ist mit dem IT-Grundschutz vom BSI vergleichbar. Ergänzend wird von den Instituten eine „geeignete“ Dokumentation gefordert. Darüber hinaus ist die Geschäftsleitung verpflichtet regelmäßig, mindesten jedoch vierteljährlich, die Ergebnisse und Veränderungen der Risikoanalyse bereitzustellen.

  4. Informationssicherheitsmanagement

    Die Anforderung an das Informationssicherheitsmanagement betrifft erwartungsgemäß in erster Linie die Netzwerksicherheit, Kryptographie, Authentisierung und Protokollierung. Nennenswert ist die Anforderung an eine(n) Informationssicherheitsbeauftragte(n), der/die frei von Interessenkonflikten sein muss. Zu den Aufgaben und Befugnissen gehört beispielsweise die Festlegung der erforderlichen Ressourcenausstattung. Zudem muss die Möglichkeit bestehen, unmittelbar und jederzeit an die Geschäftsleitung zu berichten.

  5. Benutzerrechtezugangsmanagement

    Mit der Anforderung zum Informationssicherheitsmanagement kann auch der nächste Anforderungsbereich der Benutzerberechtigungsmanagement eingerichtet werden. In dieser Anforderung werden im Speziellen der Zugriff und die Berechtigungen der einzelnen Mitarbeiter definiert.

  6. IT-Projekte > Anwendungsentwicklung

    Einen gesondert ausgewiesenen Anforderungsbereich erhält auch die Anwendungsentwicklung. Hier werden die Qualitätssicherung, Dauer und Ressourcenverbrauch sowie Analyse des Schutzbedarfs in den Vordergrund gestellt. Außerdem müssen während der kompletten Entwicklung die Nachvollziehbarkeit für alle Änderungen in allen Systemen dokumentiert sein.

  7. IT-Betrieb

    Der siebte Anforderungsbereich ist technisch behaftet und bezieht sich auf den allgemeinen IT-Betrieb sowie die Datensicherung und andere technischen Prozesse. Dabei werden zum Teil recht spezielle Herausforderung gestellt, wie die Gewährleistung der Datensicherung ohne Datenarchivierung.

  8. Auslagerung und Fremdbezug

    Der letzte Anforderungsbereich reguliert die Auslagerung und sonstigen Fremdbezug von IT-Dienstleistungen. Im Endeffekt müssen die Fremdfirmen gleiche Anforderungen erfüllen wie das Institut, welches die Fremdleistungen beauftragt.

 

Neben den beschriebenen Anforderungsbereichen können manche Institute als kritische Infrastrukturen (KRITIS) eingestuft werden. Hierzu zählen Finanzinstitute die beispielsweise Rentenfonds im Repertoir haben. Diese Institute müssen auch alle erweiterten Anforderung des BSI IT-Grundschutz-Kompendium erfüllen.

Vergleichbar mit einer Steuerprüfung kann eine 44er-Prüfung von Banken, ohne Ankündigung und Grund durchgeführt werden. Das betroffene Institut muss eine große Zahl an Dokumenten für die Überprüfung vorhalten und ad hoc den aktuellen Stand unterschiedlichster Bereiche erfassen.

Der manuelle Aufwand, diese Aufgabe in ausreichendem Maße zu erfüllen, ist enorm und bindet viele Ressourcen. Gut, dass es bereits geeignete Software gibt, die dir bei einem Assessment alle erforderlichen Informationen bereitstellt und die Prüfung nach KWG 44 damit zum Kinderspiel macht.

Kommentare