Die Aufsichtsbehörde hat diese Woche mit den BAIT ein verbindliches Regelwerk über die Anforderungen an die IT-Sicherheit von Banken veröffentlicht. Zusammen mit den Mindestanforderungen an das Risikomanagement der Banken (MaRisk) vom Oktober haben die Geldinstitute damit klare und verpflichtende Leitlinien – und müssen jetzt in den meisten Fällen Workflows umstellen und auch personell einiges ändern. Wie weit ist Ihr Unternehmen von diesen Regelungen entfernt?

Das neue Regelwerk „Bankaufsichtliche Anforderungen an die IT“ (BAIT) legt unter anderem fest, wie die Berichts- und Informationspflicht zwischen dem neuen Informationssicherheitsbeauftragten und den Bankenvorständen auszusehen hat. Außerdem finden sich darin Regeln zur Überprüfung der IT-Sicherheit im Alltagsbetrieb und in Bezug auf Datensicherung. und Anwendungsentwicklung eigener Projekte. Festgeschrieben ist darin außerdem, wie die Auftragsdatenverarbeitung durch Dritte zu erfolgen hat – ein schwieriges Unterfangen bereits in der Vergangenheit, das durch das Hinzukommen von Partnern aus der FinTech-Szene sicher nicht einfacher geworden ist.

IT-Sicherheitsbeauftragter mit weitreichenden Rechten

Folgende Maßnahmen sind in der BAIT verankert:

1. Verbesserung der IT-Sicherheit, IT Service Continuity Management (ITSCM), der IT-Infrastruktur nebst klarer Reglungen zum Umgang mit neuen Medien.

2. Verbesserung des Informationsrisikomanagements (Strukturanalysen, Schutzbedarfsfeststellung, SOLL/IST-Vergleiche, Risikoanalysen, Risikotracking, verbessertes und einheitliches Berichtswesen)

3. Schaffung einer Risikokultur und Ausbau des Bewusstseins der Mitarbeiter, Schulungen oder Rundschreiben zur Verbesserung des Bewusstseins jedes Mitarbeiters in Bezug auf IT-Sicherheit und Risikomanagement.

4. Modernisierung und Optimierung der IT-Infrastruktur mit klaren Vorgaben zur Auslagerung sowie Revision der Qualität und Sicherheit von IT-Applikationen sowie Eigenentwicklungen.

Auch personell wird sich bei vielen Banken dadurch etwas ändern: Erforderlich wird im Rahmen der BAIT-Anforderungen nämlich ein Informationssicherheitsbeaufragter, der über entsprechende Ressourcen wie zweckgebundenes dediziertes Personal verfügt. Anders als die IT-Admins, die den Betrieb sicherstellen und gegebenenfalls das operative Projektgeschäft managen, soll dieser die IT-Sicherheit der Bank verantworten. Immerhin steht es kleineren Bankinstituten frei, diese Aufgabe für mehrere Banken zusammen zu fassen.

In die Verantwortung des IT-Sicherheitsbeauftragten fällt neben der Dokumentation von Berechtigungsmanagement, Auftragsverarbeitung und Backup-Prozessen auch ein quartalsweise zu veröffentlichender Bericht, der sämtliche Probleme und besonderen Vorkommnisse auflistet. Dieser Bericht erfolgt an den Vorstand, der seinerseits vorgeschlagene Maßnahmen zur Verbesserung der IT-Sicherheit zu erfüllen hat. Neu sind nach Aussage der BaFin einige Rechte, die der IT-Beauftrage hat – darunter fallen zusätzliche Datensicherungen oder eine Überprüfung der Datenrestaurierung.

In einer globalisierten Finanzwelt, in der immer mehr Menschen digital bezahlen beziehungsweise Geld transferieren und in der viele Anleger ihre Geldanlage online bestreiten, haben IT-Governance und Informationssicherheit für die Aufsicht inzwischen den gleichen Stellenwert wie die Ausstattung der Institute mit Kapital und Liquidität.”

BaFin-Mitteilung

Umsetzungsfrist: Sofort bis zeitnah

Die BAIT sind nur ein (wichtiger) Teil der neuen Rahmenbedingungen, die die Banken in Zukunft rechtsverbindlich erfüllen müssen. Das Regelwerk ergänzt die bereits vorhandenen “Mindestanforderungen an das Risikomanagement der Banken (MaRisk)” – aktuelle Fassung vom Oktober 2017. In sofern ist die BAIT auch eher eine Erklärung über die Ausgestaltung als ein neues Gesetzeswerk. Die BAIT sind also vor allem als Interpretation der gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz (KWG) zu verstehen. Doch immerhin hat die Bankenaufsicht so erstmals auf die Herausforderungen einer digitalisierten Finanzwelt reagiert und gibt den Instituten eine verbindliche Handlungsempfehlung.

Für die Banken ist das in einer Hinsicht aber deutlich gravierender als ein neues Gesetzeswerk: Denn anders als bei einem neuen Gesetz gibt es keinen langen Zeitraum, in dem die Maßnahmen umzusetzen sind. Sie entsprechen bereits dem geltenden Recht und die Bankinstitute sollten zeitnah prüfen, welche der Vorgaben sie noch nicht erfüllen. Gut dran sind hierbei solche Finanzinstitute, die sich quasi proaktiv an die nicht bindenden Veröffentlichungen BCBS (Basel Committee on Banking Supervision) gehalten hatten. tw

Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/60127

Martin Zeitz sagt:

17. November 2017 um 16:44 Uhr

Und noch mehr Bürokratie… Als gäbe es gerade im Finanzsektor nicht schon genug davon.

Warum? Ein erheblicher Teil, weil die Banken zu Erfüllungsgehilfen des Fiskus gemacht werden, ohne dafür eine Gegenleistung zu erhalten. Und letztlich zahlt es der Kunde (über Gebühren oder Zinsen).

Reichte nicht simpel die übliche Haftung für Fehler aller Art? Am Portemonnaie erwischt man jeden. Und wenn man die Form der Überwachung selbst wählt, wird das sicherer sein, als von Bürokraten oder Mathematikern (die ja den Banken-Job nicht kennen) ausgedachte Formulare bzw. Modelle des Kaffeesatzlesens.

Praxis statt Bürokratenschreibtisch wäre sinnvoller.

Antworten

BaFin veröffentlicht BAIT: Diese IT-Anforderungen müssen Banken ab sofort verbindlich erfüllen

IT-Sicherheitsbeauftragter mit weitreichenden Rechten

Umsetzungsfrist: Sofort bis zeitnah

Schreiben Sie einen Kommentar Antworten abbrechen

Veranstaltungskalender

Crypto Assets Conference

IT-Woche

Finanzdienstleister der nächsten Generation – Digitale Transformation, Cloud & Generative AI

ibi-Seminar “Update Zahlungsverkehr”

FIBE – Fintech Berlin