“Wir hatten eine 44er IT Prüfung“: Was Versicherer, Banken und ZADs aus der BAIT-Novelle lernen können

“Wir hatten eine 44er IT Prüfung“… ein Satz, den jeder IT-Verantwortliche in der deutschen Finanzindustrie kennt. Er drückt zumeist nicht nur aus, dass die sogenannte „5th Line of Defense“ (also BaFin plus Deutsche Bundesbank) im eigenen Hause Prüfungen vorgenommen hat, sondern … sich auch langjährige IT-Compliance-Programme ankündigen. Ein Blick auf die BAIT-Novelle.

von Pia Streicher und Johannes Hugo, Adweko

Wenngleich die Bankenbranche dabei im letzten Jahrzehnt zunehmend die Anforderungen der Aufseher immer besser verstanden hat, zeigt sich mit neuen Technologien wie Cloud und Containerisierung auch ein beständiges „Moving Target“ für IT-Compliance. In diesem Umfeld schwenkt das Scheinwerferlicht der Aufsicht nun immer stärker Richtung Versicherungen und Zahlungsdienstleister. Müssen diese nun also auch jahrelange Lernprozesse durchleben und Millionen investieren, um nach dem Prinzip „Trial and Error“ ihr angemessenes Compliance-Niveau zu finden? Geht es nicht einfacher und vor allen Dingen schneller?

Definitiv ja! Wir zeigen einfache Tipps und Tricks, damit Sie nicht wie einst Thomas Edison 1000 Wege finden, wie es nicht funktioniert, sondern schnell „ahead of the curve“ sind.

„Wer seine Geschichte kennt, kann Fehler vermeiden“

Bereits 2005 rückte die BaFin mit den MaRisk das Risikomanagement der Finanzbranche im Rahmen von Basel II in den Fokus. Seitdem haben die MaRisk laufend an Bedeutung dazugewonnen und werden regelmäßig – zuletzt in diesem Jahr – aktualisiert und stetig weiterentwickelt. Seit der Erstveröffentlichung wurden die Anforderungen ausdifferenzierter und umfangreicher, oftmals schneller als die Branche in der Lage war mitzukommen.

Mit wachsender Komplexität und steigenden Anforderungen sah die BaFin den Bedarf, der Branche weitere, detailliertere Vorgaben zur Umsetzung der regulatorischen Anforderungen in Form der BAIT an die Hand zu geben.”

Diese wurden 2017 veröffentlicht und fokussieren sich insbesondere auf die IT-Systemlandschaft und die IT-Governance. Zuletzt wurden sie gemeinsam mit der MaRisk aktualisiert und an Vorgaben der EBA angepasst.

Auch wenn sich die BAIT in erster Linie an Banken und nicht unbedingt an andere Bereiche der Finanzbranche richtet, hat die Aufsicht in einem iterativen Prozess mit der Schaffung der VAIT in 2018, der KAIT in 2019 und der ZAIT in 2021 ein nahezu einheitliches Rahmenwerk für die IT-Regulatorik in der gesamten Finanzbranche geschaffen. Durch die permanente Weiterentwicklung der Regularien und deren Konsistenz können die verschiedenen Zweige der Branche voneinander lernen und die Trends der nächsten Regulierung frühzeitig vom jeweils neusten IT-Vorgabentext in der Finanzbranche ableiten.

Unser Tipp:

Versicherer und Zahlungsdienstleister sollten grundsätzlich die regulatorische IT-Geschichte von Banken kennen, um nicht die gleichen Lernprozesse zu durchlaufen.”

Alles neu?

Wie auch bei den BAIT üblich, traten die ZAIT ohne Übergangsfrist in Kraft; vergleichbares wird bei den VAIT zu erwarten sein. Damit stehen Zahlungsdienstleister erstmals, Versicherer zeitnah wohl erneut, vor der Aufgabe, eine eben erst veröffentlichte Vorgabe umzusetzen. Dieses Vorgehen folgt dem aufsichtlichen Verständnis, dass sich der generelle Rahmen der IT-Regulatorik nicht verändert.

Die Änderungen an den BAIT (und den MaRisk) waren durchaus umfangreich und haben für einigen Konzeptionsaufwand gesorgt. Sie waren aber für aufmerksame Beobachter des Aufsichtsrechts erwartbar und reflektieren die häufig schon gelebte Verwaltungspraxis. Bereits 2019 veröffentlichte die EBA ihre Leitlinie für das Management von IKT- und Sicherheitsrisiken sowie ihre Leitlinie für Auslagerungsvereinbarungen. Die Inhalte beider Leitlinien finden sich weitestgehend unverändert in den Anforderungen der BaFin wieder – die Übernahme der europäischen Aufsichtsanforderungen ist schon länger gängige Praxis der deutschen Aufsichtsbehörden und im Sinne der aufsichtlichen Konvergenz erwartbar und sinnvoll. Wer sich also vorab mit den aus diesen beiden Leitlinien erwachsenden Vorgaben beschäftigt hat, war auf die Novelle der deutschen IT-Anforderungen vorbereitet.

Unser Tipp:

IT-Regulatorik auf europäischem Level berücksichtigen, um bei nationaler Adaption in der eigenen IT schon der Zeit voraus zu sein. Denn: Trotz steigendem DevOps Vorgehen sind IT-Release-Zyklen teilweise noch quälend langsam und IT-Compliance Anforderungen zu implementieren, dauert z.T. eher Quartale denn Monate.”

Teamwork makes the dream work

Zahlungsdienstleister sehen sich zwar einer neuen Anforderung, Versicherer einer voraussichtlich bald geänderten Anforderung gegenüber, jedoch sind die aufsichtlichen Vorgaben bei genauerer Betrachtung nicht unbedingt neu im klassischen Sinne. Vergleicht man die Inhalte der aufsichtlichen Anforderungen an die IT von Banken, Zahlungsdienstleister und Versicherer miteinander, wird schnell offensichtlich, dass es eine breite Schnittmenge gibt:

Der Großteil der abgedeckten Themenfelder findet sich in allen Rundschreiben wieder. Sie befassen sich mit dem Management der IT im Allgemeinen, fordern eine Erhöhung des IT-Risikobewusstseins und gehen auf die operative Informationssicherheit ein.

Unser Tipp:

IT-Leiter sollten für regulatorische Umsetzungsstände dringend den Austausch zwischen Banken, Versicherern und Zahlungsdienstleistern suchen. Wer in seiner Sparte verbleibt, liegt beim Anpfiff schon 0:1 hinten.”

Einmal abschreiben ist besser als zehnmal lesen, auch bei BAIT, VAIT und ZAIT …

Von Gemeinsamkeiten können Versicherer und Zahlungsdienstleister profitieren. Banken sowie diverse Beratungshäuser beschäftigen sich seit geraumer Zeit mit den Anforderungen und haben verschiedene Konzepte zu den Vorgaben erarbeitet, die den organisatorischen Unterschieden der Banken gerecht werden können und die bereits durch erste aufsichtliche und interne Prüfungen kontrolliert und optimiert wurden. Diese breiten Erfahrungswerte und Best Practices, die zumeist auf andere Institute und Finanzdienstleister übertragbar sind, gilt es in der gesamten Industrie zu nutzen, da hier zum einen das aufsichtlich Gewollte verstanden und zum anderen die theoretischen Anforderungen in praktische Arbeit überführt wurden. Im Ergebnis können Versicherer und Zahlungsdienstleister daher von den Erfahrungen der Banken und der Beratungshäuser profitieren, sodass ein Großteil der üblicherweise umfangreichen konzeptionellen Aufgaben im Rahmen eines Umsetzungsprojekts bedeutend aufwandsärmer erledigt werden kann.

Das generelle Verständnis der thematischen Wechselwirkungen ist das Fundament, das dann innerhalb der Organisation geschaffen werden muss. Klar muss jedem sein, dass das Konzept zur Risikokultur des Unternehmens passen sollte. Das Risikomanagement ist hierbei sowohl der Anfangspunkt (Definition des Risikoappetits, Verfahren zur Schutzbedarfsbestimmung für IT-Assets, Definition schutzbedarfsspezifischer und risikoorientierter Soll-Maßnahmen) als auch der Endpunkt (Gap-Analysen, Risikobewertung und Maßnahmendefinition, Überführung ins OpRisk). Bei jeder Konzeption sollte man die Wechselwirkungen zwischen Risiko, Maßnahmendefinition und operativem Aufwand berücksichtigen, denn absolute Sicherheit gibt es auch hier im Zweifel nicht.

Versicherer verfügen bereits über erste eigene Erfahrungen aus der Umsetzung der initialen Fassung der VAIT und ggf. ersten Prüfungserfahrungen, die in die Umsetzung der aktualisierten Vorgaben mit einfließen können. Häufig können sie auch von den Erfahrungen der gruppeneigenen Bausparkassen profitieren. Zahlungsdienstleister starten zwar ohne bereits bestehende „alte“ Fassungen der ZAIT, jedoch galten für sie bislang Teile der BAIT, sodass auch für sie das Thema nicht ganz neu ist. Kombiniert man die bestehenden eigenen Erfahrungen mit den Best Practices und Lessons Learned der Branche und der Beratungshäuser, so kann ein Implementierungsprojekt deutlich effizienter und schneller umgesetzt werden, als es auf den ersten Blick scheinen mag.

Unser Tipp:

Suchen Sie sich Partner, mit denen Sie direkt in die Implementierung gehen können. Den schöpferischen Konzeptionsprozess der IT Compliance sollten Sie nicht mehr bezahlen müssen – weder mit Zeit noch mit Geld.”

Lassen Sie uns konkret werden – Beispiel „SoD im IAM“

Natürlich gibt es bei allen Gemeinsamkeiten auch branchenspezifische Unterschiede in den Anforderungen und deren Implementierung. So gilt beispielweise das Management der Beziehungen mit Zahlungsdienstnutzern nicht für Versicherer, da Zahlungsdienstnutzer für deren Geschäftsmodell schlicht nicht relevant sind. Unter anderem sind auch die Anforderungen an das Identitäts- und Rechtemanagement sowie an Auslagerungen je nach Institut verschieden, da sie sich nach unterschiedlichen übergeordneten gesetzlichen Regelungen richten und dort unterschiedlich genau definiert bzw. geregelt sind.

Ein klassisches Bespiel für inhaltliche Differenzierungen der IT-Compliance sind die Ausgestaltungen notwendiger Funktionstrennungen (engl. Segregation of Duties (SoD)) im Bereich des Identitäts- und Rechtemanagements (engl. Identity & Accessmanagement (IAM)), speisen sie sich doch aus einer Vielzahl von Regularien, die sich je nach Branche überschneiden, aber nie ganz deckungsgleich sind.

Zentrale SoD-Vorgaben

• Der konzeptionelle und methodische Ansatz kann übernommen werden: Ein übergreifendes SoD-Rahmenwerk regelt, welche relevanten Funktionen es gibt und welche auf Basis welcher Regularien nicht miteinander vergeben werden dürfen (SoD-Matrix).
• Inhaltlich erfolgen Anpassungen des Bankenstandard: Als klassische versicherungsspezifische SoD-Vorgabe sollte bspw. die Trennung der versicherungsmathematischen Funktion von der Risikomanagementfunktion und wiederum deren Trennung von den operativen Einheiten in der zentralen SoD-Matrix verankert werden. „Markt“ und „Marktfolge“ werden dafür bei Übertragung der Thematik von Banken auf Versicherungen vernachlässigbar.

Dezentrale SoD-Vorgaben

• Asset-spezifische Berechtigungskonzepte regeln, welche Rechte und Rollen vergeben werden können und enthalten applikationsspezifische SoD-Vorgaben (bspw. Implementierung des 4-Augen-Prinzips) sowie applikationsübergreifende SoD-Reglungen (Zuordnung von Einzelrechten zu SoD-Funktionen der zentralen SoD-Vorgaben).

Implementierungsverfahren

Traditionell gibt es projekthaft bei der Implementierung der SoD-Vorgaben Bestandskonflikte, die bereinigt werden wollen. Elementar ist dabei die Übersicht, welcher Kollege welche Rechte zugewiesen hat. Hier empfiehlt sich der Aufbau eines vollständigen Rechte-Repositories auf Grundlage der Berechtigungskonzepte und der IST-Situation in den Systemen, welches dann über den Berechtigungsvergabeprozess aktuell gehalten wird.

Ebenso ist das Rechte-Repository auch zentrale Anlaufstelle für Rezertifizierung und Rekonzilierung im IAM-Betrieb. Klassischerweise bringen daher die marktüblichen Access-Management-Tools diese Funktionalitäten mit (Bei der Auswahl eines solchen Tools sollte man es auf jeden Fall berücksichtigen.) Die Praxis zeigt:

Damit am Ende ein stabiler IAM-Betrieb existiert, klärt man SoD im optimalen Fall auf Grundlage einer vollständigen Basislinie für Identitäten (HR-Thema) und Zugriffe (Berechtigungskonzepte) in einem etablierten IAM-Gesamtlebenszyklus.”

Wer mit SoD beginnt aber noch Nachholbedarf bei Berechtigungskonzepten hat, bezahlt oft mehr bzw. doppelt.

Um ein geordnetes Verfahren beim SoD-Management zu ermöglichen, sollte man zudem schrittweise vorgehen und nicht alle Assets auf einmal in das zentrale IAM-System integrieren. Hier bietet sich auch das Nutzen einer nicht-produktiven Umgebung an, um Konflikte bereits zu identifizieren, zu bewerten und vorab aufzulösen. Grundsätzlich gilt es, die identifizierten Konflikte über IT-Releases (Überarbeiten der Rollenstruktur) oder neue Aufgabenverteilung unter Berücksichtigung der Funktionstrennung (bspw. Trennung IT-Betrieb und IT-Entwicklung) sukzessive abzubauen.

Für die Etablierung eines wirkungsvollen SoD-Managements im Betrieb sollte ein SoD-Check in den standardisierten Rechtevergabeprozess aufgenommen werden, um sicherzustellen, dass keine weiteren (nicht genehmigten) SoD-Konflikte hinzukommen. Abschließend ist auch die Prozessverschränkung mit dem Risikomanagement zu implementieren. Sowohl identifizierte Konflikte wie auch die ggf. zeitlich noch nicht erfolgte Berücksichtigung der SoD-Vorgaben führt zu Risiken, die entsprechend unter dem Dach des Informationsrisikos auszusteuern sind.

Dieses Beispiel aus der Projektpraxis verdeutlicht, wie mit einem Blick auf die Erfahrungen der Bankenwelt schnell die Versicherungsspezifika integriert werden können.

Die 100% Lösungen für Versicherungen und Zahlungsdienstleister haben Banken nicht, aber sie haben die konzeptionelle Vorarbeit geleistet, auf der aufgesetzt werden kann und die mit geringfügigen Anpassungen zum Ergebnis führt.”

BAIT, ZAIT, VAIT: Wenn man vor der Prüfung die Fragen kennt

Sowohl die BaFin als auch die EZB geben ihre Aufsichtsschwerpunkte jährlich bekannt.

Bereits für 2020 hat die BaFin die Digitalisierung sowie IT- und Cyberrisiken als einer ihrer Schwerpunkte auf die Agenda gesetzt. Mit dem Ausbruch der Pandemie wuchsen digitale Angebote noch schneller, woraus sich aus Sicht der BaFin mehr IT-Risiken wie Pannen in IT-Systemen und Hackerangriffe ergeben. Neben den potenziellen Auswirkungen dieser Risiken auf die einzelnen Institute können sie sich auf das gesamte Finanzsystem auswirken. Entsprechend stehen auch 2021 Themen rund um IT-Risiken weit oben auf der Agenda der BaFin. Daneben stehen KRITIS und das Auslagerungsmanagement im Fokus. (Quelle: Link)

Auch die EZB schätzt die Eintrittswahrscheinlichkeit von Risiken im Kontext der Cyberkriminalität und von IT-Störungen im mittleren bis hohen Bereich ein und sieht IT-Mängel als bankinterne Schwachstelle, die Aufmerksamkeit bedarf. Denn sobald die IT stillsteht, stehen fast immer auch die bankinternen Prozesse still. Entsprechend stehen IT- und Cyberrisiken unter dem Rahmen der Governance in den Top 4 der EZB Aufsichtsschwerpunkte für 2021. (Quelle: Link)

Es kann davon ausgegangen werden, dass die Aufsicht bei Prüfungen auf diverse Aspekte gesteigerten Wert legen wird, u.a.:

Unser Tipp:

Für öffentlich zugängliche Informationen muss niemand externe Berater bezahlen. Schaffen Sie intern Positionen, die die Kommunikation der Aufsicht interpretieren kann und befugt ist, Handlungsbedarf in Maßnahmen umzusetzen.”

Lessons Learned(?)

Wir fassen zusammen:

1. Europäische Vorgaben werden von der nationalen Aufsicht weitgehend identisch umgesetzt. Es empfiehlt sich daher, die Veröffentlichungen europäischer Behörden im Blick zu behalten und sich mit den Inhalten auseinanderzusetzen. Es ist sehr wahrscheinlich, dass die Vorgaben in nationale Vorschriften einfließen.
2. Wird die BAIT aktualisiert, können andere Finanzdienstleister davon ausgehen, dass auch die aufsichtlichen Anforderungen an deren IT zeitnah aktualisiert werden. Ein Blick in die aktualisierte Version der BAIT lohnt sich also immer.
3. Es bestehen bereits Best Practices und Erfahrungswerte in der Branche, die sich Versicherer und Zahlungsdienstleister zunutze machen können. Diverse Beratungshäuser waren bereits in Umsetzungsprojekten bei Banken tätig, von deren Wissen sollten andere Finanzdienstleister profitieren.
4. Die Erfahrungen rund um Prüfungs- und Aufsichtsschwerpunkte sowie die Erkenntnisse aus durchgeführten Prüfungen können bei der Umsetzung von Vorgaben, die für Banken schon länger gelten, bedacht und sinnvoll eingesetzt werden.

Pia Streicher und Johannes Hugo, Adweko