Seite wählen

Bankenaufsichtliche Anforderungen an die IT (BAIT)

Informationssicherheit bei Kreditinstituten und Finanzdienstleistungsinstituten, wie Banken, Versicherungs- und Finanzdienstleistungsunternehmen

Banken, Versicherungs- und Finanzdienstleistungsunternehmen (Institute) stehen vor dem Hintergrund der Finanzkrise aus dem Jahre 2009 vor zum Teil erheblichen Nachwirkungen, da die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sowie die internationalen Bankenaufsichten die Regulierung der Institute deutlich intensiviert haben.

Die zunehmend durch die Informations- und Telekommunikationstechnik (ITK) gestützten Geschäftsprozesse in den Instituten sind vor dem Hintergrund einer restriktiver werdenden Risikopolitik der BaFin vor grundlegenden und individuellen ITK-spezifischen Bedrohungsszenarien und insbesondere vor der latenten Gefahr von Cyberangriffen zu schützen. In diesem Zusammenhang ist die Planung, der Betrieb sowie die Aufrechterhaltung und Verbesserung eines umfassenden Informationssicherheitsmanagementsystems (ISMS) einschließlich des Datenschutzes sowie eines angemessenen Business Continuity Management Systems (BCMS) durch die Institute sicherzustellen und nachzuweisen.

Mit den „Bankenaufsichtlichen Anforderungen an die IT (BAIT)“ soll die Erwartungshaltung der Aufsicht in Bezug auf die IT-Sicherheit und Informationssicherheit transparenter dargestellt werden.

Die BAIT gibt auf der Grundlage des § 25a Absatz 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute, insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement, vor und präzisiert ferner die Auslagerung von Aktivitäten und Prozessen gemäß der Anforderungen des § 25b KWG.

Mit der Neufassung des Rundschreibens 10/2017 (BA) vom 16.08.2021 setzt die BaFin die „EBA-Leitlinien für IKT und Sicherheitsrisikomanagement“ aus dem November 2019 um und lässt somit die eigenen Erfahrungen aus der Aufsichtspraxis für die zukünftige Ausgestaltung des IT-Betriebs sowie der Informationssicherheit einfließen.

Des Weiteren wurden neue Kapitel wie „Operative Informationssicherheit“ und „IT-Notfallmanagement“ ergänzt, um insbesondere die Anforderungen für die Überwachung und die Kontrolle der Wirksamkeit von Informationssicherheitsmaßnahmen sowie die Anforderungen an die Betriebsfähigkeit von zeitkritischen Prozessen und Aktivitäten durch ein angemessenes Business Continuity Management (BCM) zu spezifizieren.

Erweitert wurden zudem die aus den Mindestanforderungen an das Risikomanagement (MaRisk) her resultierenden Anforderungen an das Informationsrisikomanagement bezüglich der Verantwortlichkeiten und Kontrollen sowie die Anforderungen an die Erstellung von Informationssicherheitsrichtlinien für die Bereiche Netzwerksicherheit, Kryptografie, Identitäts- und Rechtemanagement, Protokollierung sowie physische Sicherheit wie Perimeter- und Gebäudeschutz.

 

Die Beratung durch die DGI AG

Die Institute sowie deren Prozesse und Abläufe sind regelmäßig und anlassbezogen Prüfgegenstand von Wirtschaftsprüfungsgesellschaften, Internen und Externen Revisionen, Zertifizierungsstellen sowie Landes- und Fachaufsichten, insbesondere durch die BaFin.

Die diesbezügliche Aufsicht der Institute bindet zunehmend Ressourcen, die in zahlreichen Instituten in nicht ausreichender Kapazität entwickelt sind. Die Institute müssen die Organisation und Abstimmung von Überwachungsaudits und in diesem Rahmen zu führende Interviews, Begehungen, Dokumentenprüfungen und Tests sowie die Beseitigung von Prüfungsfeststellung vorangegangener Prüfungen im Rahmen der ordentlichen Geschäftsprozesse integrieren, um diese fortlaufend sicherstellen zu können.

Institute sind angehalten, eine effektive und effiziente Steuerung und Kontrolle der Audit- und Prüforganisation in die Geschäftsprozesse zu integrieren, um die Auswirkungen der Überwachungsmaßnahmen für den Geschäftsbetrieb in einem akzeptablen Rahmen zu halten.

Wir beraten Banken, Versicherungs- und Finanzdienstleistungsunternehmen bei der Initiierung, Implementierung und Inbetriebnahme sowie bei der Aufrechterhaltung und kontinuierlichen Verbesserung von Maßnahmen für die Sicherstellung der Erfüllung der Anforderungen aus der BAIT, wie sie an die IT-Strategie, die IT-Governance, das Informationsrisikomanagement, das Informationssicherheitsmanagement, das Benutzerberechtigungsmanagement, die IT-Projekte, den IT-Betrieb, an die Auslagerungen sowie an das IT-Risikomanagement, das BCM und den Datenschutz gestellt werden.

Unser branchenspezifischer Beratungsansatz wird durch die unmittelbare Bereitstellung von Dokumentationen wie Leitlinien, spezifischen Sicherheitskonzepten und Sicherheitsrichtlinien effektiv und effizient unterstützt.

Somit wirddie Pflicht des Nachweises ihrer unternehmensspezifischen Dokumentationen für die Sicherstellung der Informationssicherheit, des Datenschutzes sowie des BCM und des Informationsrisikomanagements bei Audits und Prüfungen auf der Basis gängiger Standards und Normen effizient und effektiv erfüllt.

Darüber hinaus beraten und unterstützen wir die Verantwortlichen beim Aufbau und der Aufrechterhaltung sowie der kontinuierlichen Verbesserung eines regelmäßigen Berichtswesens.

Und um die fortlaufende Überwachung der Maßnahmen sicherzustellen, führen wir regelmäßige Audits und anlassbezogene IT-Risikoanalysen für sie durch, identifizieren Schwachstellen bei der Planung und Umsetzung von Maßnahmen und Projekten und unterstützen bei der kontinuierlichen Verbesserung ihres ISMS, ihres Datenschutzmanagements und ihres BCMS.

Haben Sie Fragen zum Thema oder benötigen Sie Unterstützung bei der Umsetzung eines Projekts? Dann freuen wir uns auf Ihren Kontakt.