Anzeige
STRATEGIE13. November 2017

Interview: BAIT erschwert Auslagerungen – die neuen Anforderungen an die IT-Sicherheit der Banken

Dirk Ungemach-Strähle, Senior Manager der Cofinprocofinpro

Nach der MaRisk-Novelle Ende Oktober hat die BaFin nun am 8. November eine weitere zentrale und lange erwartete Regelung veröffentlicht: Die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) sind ab sofort der zentrale Baustein für die IT-Aufsicht im deutschen Banksektor. Was das für die Banken bedeutet, darüber sprach das IT Finanzmagazin mit Dirk Ungemach-Strähle und Philip Mayer von Cofinpro.

Warum ist neben den aktualisierten MaRisk nun noch eine völlig neue Regelung wie die BAIT notwendig?

Die Aufsicht verdeutlicht damit den hohen Stellenwert der IT innerhalb der Bankenbranche. Die IT ist längst ein wesentlicher Teil der Wertschöpfung und Basis des heutigen Bankgeschäftes.

Banken sind somit mittlerweile auch IT-Unternehmen. Aus diesem Grund betrachtet die Aufsicht Risiken im Bereich der Informationssicherheit als neuen, schwergewichtigen Risikoträger – äquivalent zu klassischen Bankrisiken wie beispielsweise Kreditrisiken.”

Philip Mayer, Expert Consultant der Cofinprocofinpro

Die Informationssicherheit ist eine zentrale Voraussetzung für das Vertrauen des Kunden und diese wiederum Grundlage des Bankgeschäftes. Daher wollte die BaFin ihre Anforderungen klar und transparent machen. Die BAIT konkretisieren und ergänzen somit die gerade publizierte MaRisk. Auch wenn die BAIT keine grundlegend neuen Anforderungen enthalten, so dürfte es den CIOs für kommende Budgetdiskussionen ein Argument mehr an die Hand geben, denn eine permanente Modernisierung wird nun „zur Pflicht“.

Was sind aus Ihrer Sicht die wesentlichen Herausforderungen der BAIT für die Institute?

Zunächst sollte aus unserer Sicht grundsätzlich das Verständnis über die IT und deren Bedeutung überdacht werden: Investitionen in die bankeigene IT sind nicht nur Ballast, sondern sie gehören zum Geschäft.

Bisher hat die Aufsicht zahlreiche, teilweise wenig konkrete Anforderungen gestellt. Nun verlangt die BaFin die Umsetzung konkreter Standards wie beispielsweise ISO/IEC 2700X.”

In Verbindung mit der sofortigen Wirksamkeit sind ad hoc zahlreiche Einzelthemen zu analysieren und umzusetzen. Dies wird viele Finanzdienstleister vor enorme Herausforderungen stellen. Denn viele Banken haben dafür weder Budget noch Ressourcen eingeplant. Kurzfristig gibt es Investitionsbedarf vor allem in den Bereichen Informationssicherheitsmanagement, der Anwendungsentwicklung und einem zentralen Auslagerungsmanagement.

Hervorzuheben ist zudem die Forderung der BaFin nach angemessener qualitativer Personalausstattung. Die Banken werden nicht umhinkommen, das weitverbreitete Off- und Nearshoring infrage zu stellen.”

Denn sie brauchen künftig mehr Mitarbeiter und Partner, die unabhängig von möglichen Qualifikationen ein Verständnis für lokale Bedürfnisse und Regulierungen haben. Als Beispiel haben wir die deutsche Abgeltungssteuer vor Augen – sie ist für Mitarbeiter in Offshoring-Ländern nur schwer nachzuvollziehen.

Dirk Ungemach-Strähle
Dirk Ungemach-Strähle, Senior Manager bei der Cofinpro, setzt sich als Managementberater mit aktuellen Trendthemen auseinander. Er analysiert deren Chancen und Restriktionen und bewertet die Auswirkungen auf Geschäftsmodelle, Organisation, Prozesse und IT-Systeme von Finanzdienstleistern.

Welche Anforderungen aus den BAIT haben Ihrer Meinung nach direkten Einfluss auf aktuelle regulatorische Vorhaben?

Zunächst sind die BAIT in direktem Zusammenhang mit der MaRisk zu sehen. Lange war ja erwartet worden, dass beide Rundschreiben zeitgleich veröffentlicht werden. Nun sind sie mit einer Woche Versatz erschienen.

Die enge Beziehung zwischen beiden Regularien zeigt sich in den zahlreichen Querverweisen innerhalb der BAIT auf die MaRisk. Es werden Vorschriften auf die Belange der IT-Abteilungen spezifiziert.”

Darüber hinaus sind die BAIT auch eine Grundlage für das weitere regulatorische Umfeld, in dem insbesondere Transparenz gegenüber dem Kunden im Fokus steht. Dafür müssen auch intern Prozesse und Datenflüsse transparent sein. Hier setzen die BAIT mit Vorgaben zum Informationsrisikomanagement an. So müssen die Institute einen vollständigen Überblick über die Abhängigkeiten und Datenflüsse ihrer Systeme haben. Dies ist zwar auf dem Papier bereits gegeben, es wird sich aber im Rahmen der Analysen zur DSGVO zeigen, dass viele Datenwege unbekannt sind.

Aktuell sind die Banken kurzfristig sehr getrieben durch weitere regulatorische Anforderungen wie z.B. MiFID II/MiFIR oder DSGVO. Gleichzeitig sollen sie langfristige IT-Strategien und konsistente Systemlandschaften entwickeln. Wie schaffen es die Banken, diese Ziele in Einklang zu bringen?

Kurzfristig werden Probleme vor allem auf der Umsetzungsebene entstehen. Die Mitarbeiter müssen einen Kraftakt leisten, da die Vielzahl von Anforderungen sie einem immensen Zeitdruck aussetzt. Dafür sind kaum personelle Kapazitäten vorhanden.”

Allein das Management der Anforderungen wird zur Herausforderung. Aus allen Projekten und Regularien müssen diese den IT-Systemen zugeordnet und parallel umgesetzt werden. Dies führt zu pragmatischen Umsetzungen, sodass die teilweise seit über 20 Jahren vorhandenen Systeme immer weiter ausgebaut werden, statt sie grundlegend zu erneuern. Die Komplexität der Systeme und Prozesse steigt somit weiter an.

Dieses Vorgehen bremst zudem die für die Zukunft der Banken so wichtigen Digitalisierungsprojekte aus. Sie lassen sich innerhalb dieser fachlichen und technischen Bebauungspläne weder schnell noch integriert umsetzen. Hier müssen Lösungen gefunden werden, wie die Architektur wieder vereinfacht und flexibilisiert werden kann.

An der Entwicklung von modernen Plattformen für unterschiedliche Zielgruppen kommen die Banken daher nicht vorbei…”

… sie werden außerdem langfristig helfen, die eigenen Ziele einer niedrigeren Cost-Income-Ratio bei gleichzeitig größerer Flexibilität zu erreichen.

Philip Mayer
Philip Mayer ist Expert Consultant bei Cofinpro. Er ist Wertpapier-Experte und begleitet als Berater Finanzdienstleister bei der Umsetzung von Regulierungsprojekten

Wie können auch kleine, regionale Institute den Anforderungen gerecht werden?

Gerade für kleinere Finanzinstitute ist die Belastung durch die Regulierung in den letzten Jahren zu einer enormen Herausforderung geworden. Dies zeigt sich in den aufkommenden Diskussionen zur Proportionalität in der Regulierung. Diese Überlegungen sind in die MaRisk und in die BAIT eingeflossen. So ist die Rolle des Informationssicherheitsbeauftragten zwar für jedes Institut vorgeschrieben, aber kleine, regionale Banken mit gleichartigen Geschäftsmodellen haben die Möglichkeit, einen gemeinsamen Beauftragten zu bestellen. Darüber hinaus können die Banken und Sparkassen bei Standardsoftware bestehende Risikoeinschätzungen wiederverwenden. Sie müssen somit bei der Bewertung von Anwendungen nicht bei null anfangen.

Verbergen sich innerhalb der BAIT aus Ihrer Sicht größere Fallstricke, die die Banken bisher nicht auf dem Schirm hatten?

Die Anforderungen sind im Wesentlichen nicht neu und großen Banken aus Prüfungen in der letzten Zeit bekannt.

Insbesondere die Vorgaben zu Sicherheits- und Auslagerungsmanagement sind unserer Meinung nach aber von besonderer Bedeutung. Zusätzlich sehen wir eine Aufhebung der IT-Verantwortlichkeiten zwischen Fachbereich und IT.”

Jede außerhalb der IT entwickelte Anwendung (sog. IDVs) unterliegt den BAIT und muss somit, wie auch in der IT, abhängig von ihrer Risikoeinschätzung die von der Bank vorzugebenden Standards erfüllen. Dazu gehört die Dokumentation von fachlichen und technischen Anforderungen sowie die Einhaltung von Entwicklungs-, Rollout- und Betriebsprozessen.

Im Bereich der Auslagerungen sehen die Vorgaben mehr Kontrolle über Provider und Dienstleistungen vor. Daraus abgeleitet muss eine Steuerung der Auslagerungen anhand eines vollständigen Vertragsportfolios erfolgen – denn die Anforderungen sind unabhängig davon, ob die IT-Dienstleistungen intern oder extern erbracht werden. Dazu zählen auch regelmäßige Risikoüberprüfungen und die Ableitung von Maßnahmen, die gemeinsam mit dem Dienstleister zu vereinbaren und durchzuführen sind.

Die regelmäßige Beurteilung gab es bisher nur für wesentliche Auslagerungen, nun gelten diese auch für den sogenannten sonstigen Fremdbezug.”

Zusammenfassend ist das Regelwerk nun Grundlage für zukünftige Kontrollen von Abschlussprüfern, BaFin und EZB. Für die Institute besteht die Herausforderung in der verzahnten Umsetzung der Vielzahl an Einzelmaßnahmen.

Vielen herzlichen Dank für die hilfreiche Einordnung!aj

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert