Mit <kes>+ lesen

Alles neu macht … Corona?!

Videokonferenzen mit IP-Telefonie, Instant Messaging, Dateiübertragung et cetera – seit Ausbruch der Corona-Pandemie gehört das zum Arbeitsalltag vieler Menschen dazu. Doch mit den technischen Erweiterungen steigen auch die Risiken. Darauf hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) nun reagiert. Im August 2021 ist die neue Fassung der bankaufsichtlichen Anforderungen an die IT (BAIT) an den Start gegangen. Das Regelwerk hat Signalwirkung in der Finanzbranche und darüber hinaus.

Lesezeit 9 Min.

Von Florian Göltl, Frankfurt/Main

Mit den bankaufsichtlichen Anforderungen an die IT (BAIT) gibt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) bereits seit November 2017 mit den bankaufsichtlichen Anforderungen an die IT (BAIT) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung von Bankinstituten vor – vor allem für das Management von IT-Ressourcen und das IT-Risikomanagement. Für die Institute stellen die BAIT[1] eine große Erleichterung dar, da sie spezifischer sind als die Mindestanforderungen an das Risikomanagement der Banken (MaRisk)[2] und damit mehr Guidance bieten. Gleichzeitig haben die BaFin und weitere Aufsichtsbehörden, wie die Bundesbank und die Europäische Zentralbank (EZB), über Jahre hinweg neue Risiken identifiziert – und diese auch geprüft, obwohl sie nicht Teil der Regularien waren. So standen zum Beispiel die Bereiche Netzwerksegmentierung, Regeln für Firewalls, Business Continuity-Management (BCM) sowie Auslagerungs- und Berechtigungsmanagement immer wieder im Fokus. Der Grund: Ein Großteil dieser Themen hat durch die Corona-Pandemie an Bedeutung gewonnen – denn es sind Risiken entstanden, die es vorher so nicht gab.

Ein wichtiges Learning aus der Pandemie ist beispielsweise, dass Banken angemessen reagieren müssen, wenn ein Notstand auftritt. Und dafür müssen sie sich bereits im Vorfeld gut aufstellen. Auch die Situation, dass plötzlich viele Mitarbeiter von zu Hause arbeiten und sich über einen VPN-Zugang in das Unternehmensnetzwerk einwählen, hat Folgen: Es gilt, entsprechende Vorkehrungen gegen Cyberangriffe oder ähnliche Risiken zu treffen. Diese Themen hat die BaFin nun in die BAIT aufgenommen. Sie finden sich etwa in den Ausführungen zum IT-Notfallmanagement oder in den neuen Abschnitten zur operativen Informationssicherheit, sowohl innerhalb von Systemen als auch an Schnittstellen, etwa beim Virenschutz oder bei Firewalls. Damit wurde die Gesetzgebung nachgezogen und an die Prüfungspraxis der vergangenen beiden Jahre angepasst.

Guidance und Sicherheit

Nach wie vor bieten die BAIT den Banken eine gute Orientierung. Die neu aufgenommenen Themen entsprechen der momentanen Risikolandschaft und werden mit großer Wahrscheinlichkeit ab sofort zu den Schwerpunkten bei Aufsichtsprüfungen gehören. Das lässt sich aktuell bereits beobachten: Aufseher prüfen verstärkt die Bereiche mit dem höchsten Risikopotenzial. Darauf können sich die Banken einstellen. Auch Sicherheit und Compliance-Konformität gehören zu den Vorteilen der BAIT: Banken können vorbeugen und Maßnahmen ergreifen – gegen konkrete IT-Risiken, aber auch gegen Reputationsrisiken, die durch Cyberangriffe oder ein schlechtes Rating nach einer Aufsichtsprüfung entstehen könnten.

Ein enormer Motivationsfaktor, um die Anforderungen der BAIT umzusetzen, dürften jedoch die Kosten sein: Denn wenn Banken in kleinen, regelmäßigen Schritten Vorkehrungen für eine IT-Compliance treffen, die den BAIT entspricht, ist das der kostengünstigere Weg. Im Vergleich sehr viel teurer kommt es die Institute zu stehen, wenn sie enorme Feststellungen im Rahmen einer Aufsichtsprüfung riskieren. Die Folge ist, dass sie im Anschluss allumfassende Projekte in die Wege leiten müssen, um Defizite zu beheben.

Doch die BAIT bergen auch einen gravierenden Nachteil: Sie berücksichtigen das Prinzip der Proportionalität nicht. Die Frage, wie kleinere Institute mit weniger Budget und Kapazitäten einzelne Fragestellungen lösen können, bleibt nach wie vor offen. Optionen zur Skalierbarkeit wären die Institutsgröße, die Anzahl der Mitarbeiter:innen in der IT oder die Bilanzsumme. Doch hier haben die Regulatoren noch keine Antwort geliefert – was dringend erforderlich gewesen wäre.

Vorreiterrolle der Banken

Obwohl die BAIT an sich nur für Banken gelten, haben sie dennoch eine enorme Bedeutung für andere Segmente in der Finanzindustrie. Denn die BAIT sind früher als andere Branchenregularien an den Start gegangen, weshalb die Institute eine stärkere Umsetzungsreife aufweisen als beispielsweise der Versicherungssektor oder Asset-Manager. Die Banken haben inzwischen eine Vorreiterrolle – das belegen auch die Ergebnisse der Aufsichtsprüfungen, die in anderen Segmenten viele kritische Feststellungen erzeugt haben. Andere Akteure im Finanzdienstleistungssektor können die BAIT folglich als Blaupause verwenden: Denn die Regulatoren haben bereits eine Überarbeitung der verschiedenen Anforderungen angekündigt, die sich – wie in der Vergangenheit auch – an den BAIT orientieren dürften. Wer jetzt handelt und frühzeitig startet, verschafft sich demnach einen wichtigen Vorsprung in der Umsetzung.

Besonders im Fokus der Aufseher stehen die IT-Dienstleister, weil bei ihnen oft erhebliche Risiken liegen. Denn Bankinstitute lagern zunehmend wichtige Prozesse aus und verlieren damit die Verantwortlichkeit aus dem Blick – das ist fatal! Denn sie müssen dafür Sorge tragen, dass Dienstleister die Anforderungen der BAIT umsetzen. Zum Beispiel stehen die Mitarbeitenden aus der „2nd Line of Defense“, die Vorgaben für die IT machen, in der Prüfpflicht – auch wenn die Umsetzung bei einem IT-Dienstleister stattfindet.

Um hier das Risiko zu reduzieren, muss ein Prozess definiert werden. Das bedeutet: Verträge müssen überarbeitet werden – es gilt, Verantwortlichkeiten und Leistungskataloge vollständig zu beschreiben. Übrigens können die BAIT sogar über die Finanzwelt hinaus als „State of the Art“ gelten: Denn die Risiken, für deren Minimierung Vorgaben gemacht werden, sind nicht bankenspezifisch – sie existieren in den meisten anderen Branchen und Industriezweigen.

Umsetzung unter Druck

Für die Umsetzung der BAIT gibt es keine Übergangsfrist. Die neuen Regeln gelten somit seit August. Doch die Praxis zeigt ein anderes Bild: Kaum ein Institut dürfte bereits alle Anforderungen umgesetzt haben. Gerade die neuen Abschnitte zur operativen Informationssicherheit sind sehr zeitaufwendig und nehmen viele Ressourcen in Anspruch. Die Netzwerksegmentierung ist etwa ein Projekt, das über mehrere Monate oder Jahre hinweg läuft. Aus diesem Grund sind Banken gut beraten, sich zunächst auf „Quick Wins“ zu konzentrieren.

Ein erster Schritt ist die Analyse des Status quo, um zu identifizieren, wo Schwachstellen und Lücken bestehen, um die geforderte IT-Compliance zu erreichen. Es ist wichtig, Transparenz zu schaffen und bestehende Risiken in das Risikoinventar aufzunehmen. Der nächste Schritt besteht darin, Maßnahmen zu entwickeln, um die identifizierten Lücken und Defizite zu beheben – und ein Projekt zur Umsetzung aufzusetzen, das mit Ressourcen und einer Timeline hinterlegt ist.

Der Vorteil: Im Fall einer Prüfung erkennt die Aufsichtsbehörde, dass das betreffende Unternehmen Risiken erkannt und einen Prozess zur Behebung angeschoben hat, der in wenigen Monaten abgeschlossen sein wird. Ein zweiter Quick Win ist, sich regelmäßig über die Anforderungen zu informieren: Was kommunizieren die Aufseher dazu, etwa die BaFin in ihrem Journal? Welche Learnings bieten Seminare?

Anforderungen an die IT – ein Überblick

Die BaFin hat am 16. August 2021 die neue Fassung der „bankaufsichtlichen Anforderungen an die IT“ (BAIT) veröffentlicht. Sie fußen auf den Mindestanforderungen an das Risikomanagement der Banken (MaRisk) und beschreiben die Rahmenbedingungen für eine sichere Informationsverarbeitung und -technik. Vergleichbare Richtlinien gibt es für

  • Versicherungen (versicherungsaufsichtliche Anforderungen an die IT – VAIT),
  • Asset-Manager (kapitalverwaltungsaufsichtliche Anforderungen an die IT, KAIT) und
  • Zahlungs- und E-Geld-Institute (zahlungsdiensteaufsichtliche Anforderungen an die IT, ZAIT).

Dabei sind die BAIT führend – die anderen Regelwerke werden zeitlich versetzt nachgezogen. Eine weitere Besonderheit: Die nationalen Anforderungen passen sich immer mehr den europäischen Vorgaben an, welche die Europäische Bankenaufsichtsbehörde (European Banking Authority, EBA) in ihren Guidelines zu ICT und Security Risk Management [3] veröffentlicht hat.

Professionalisierter Prozess verschafft Vorsprung

Sind die ersten Schritte getan, sollten Banken in einen Zyklus eintreten, der ganz gezielt auf die Aufsichtsprüfungen ausgerichtet ist. Ein wichtiger Punkt, der oft in seiner Wirkung unterschätzt wird, ist die organisatorische und prozessuale Vorbereitung eines Instituts auf eine anstehende Prüfung! Damit sollte man idealerweise so früh wie möglich starten. Wer erst beginnt, wenn sich die Aufsichtsbehörde ankündigt, verfällt oft in Schockstarre – es gelingt nicht mehr, Maßnahmen einzuleiten oder umzusetzen.

Institute, die zeitig starten, können indessen bereits von sich aus wertvolle Vorbereitungen treffen: So lassen sich sehr gut erste Awareness-Maßnahmen durchführen – zum Beispiel kann man Fragen entwickeln und mit Mitarbeitern durchgehen. Der Prüfer wird vielen später die gleiche(n) Frage(n) stellen und erwartet die gleiche(n) Antwort(en). Zudem lassen sich Prozesse aufsetzen und ein Prüfungsoffice einrichten, um die ersten Workshops mit der Aufsicht vorzubereiten – beispielsweise erstellt man dazu Kick-off-Präsentationen für erste fachliche Interviews. So können Banken Unsicherheit vermeiden.

Maßgeblich ist auch die Aufbereitung von Dokumenten: Die Aufsichtsbehörde wird circa drei Wochen vor einer Prüfung dazu auffordern, Unterlagen zuzusenden – dafür hat das entsprechende Institut zehn Tage Zeit. Das ist sehr knapp, weil ein großer Schwung an Unterlagen angefordert wird. Das lässt sich aber gut vorbereiten – und dann vergleichsweise einfach aus der Schublade ziehen. Auch bei der aktiven Begleitung der Aufsichtsprüfung spart das Prüfungsoffice durch die Vorbereitung Zeit und gewinnt Sicherheit. Denn im laufenden Prüfungsprozess muss es innerhalb von nur 24 Stunden benötigte Dokumente liefern.

Nach Abschluss der Prüfung gilt es, Maßnahmen und Ambitionsniveaus zu definieren und eine Roadmap inklusive Reporting-Terminen zu erarbeiten. Dann folgen die fachliche Umsetzung sowie die Qualitätssicherung und das Reporting selbst. Damit sind die Institute auch schon in einen professionellen Zyklus eingetreten: Erfahrungsgemäß erfolgen die Nachschauprüfungen nach vier Jahren. Projekte wie das Berechtigungsmanagement oder die Netzwerksegmentierung brauchen lange in der Umsetzung, wenn Defizite bestehen – sind sie abgeschlossen, kommt oft schon die nächste Prüfung.

Know-how und Erfahrungswerte

Was einfach klingt, ist in der Praxis oft nur schwer machbar – denn in vielen Fällen fehlt es in Unternehmen an Ressourcen und Know-how, um eine Prüfung vorzubereiten, zu begleiten, entsprechende Maßnahmen einzuleiten und umzusetzen. Deshalb setzen viele Banken auf externe Unterstützung. Bei der Auswahl sollten sie darauf achten, dass die Dienstleister über Praxiserfahrung mit Aufsichtsprüfungen verfügen. Wer schon einmal eine Prüfung begleitet, Reports eingesehen und sich mit den Prüfern ausgetauscht hat, kann zwischen den Zeilen lesen – und so für einen optimierten Prozessablauf sorgen. Darüber hinaus kann eine externe Unterstützung weitere wichtige Erfahrungswerte einbringen: Zum Beispiel zeigt sich, dass Aufsichtsprüfungen vor der Corona-Pandemie eine breite Themenlandschaft berücksichtigt haben. Inzwischen finden jedoch „Deep Dives“ statt: Acht Prüfer schauen sich in acht Wochen ein Themengebiet in der Tiefe an, etwa das Auslagerungsmanagement und die Cloud-Prozesse. Dann nehmen sie das nächste Institut unter die Lupe, weil sich so relativ gut Vergleiche in der Peer-Group erstellen lassen. Wer das weiß, kann sich vorbereiten und wird nicht überrascht.

Corona-Einflüsse

Alles in allem ist die Frage, welche Risikolage sich in der Corona-Zeit ergeben hat und welche Risiken immer noch bestehen, sehr hilfreich. Schließlich gibt sie einen wichtigen Hinweis auf die Themen, die aktuell im Fokus der Aufsichtsbehörden stehen – und darauf, welche Bereiche geprüft und damit in den Banken angegangen werden müssen. Die Schwerpunkte Informations-Risiko und Informations-Sicherheits-Management sind ganz vorne mit dabei: Denn sie bieten die Grundlage für die Konzeption anderer Prozesse, etwa im Berechtigungs- oder Business-Continuity-Management (BCM).

Dabei geben die BAIT letztlich nicht nur Banken Guidance und Sicherheit – sie können auch für weitere Segmente in der Finanzindustrie und über die Branche hinaus als „State of the Art“ gelten. Denn die Risiken, die sie in den Fokus nehmen, bestehen in nahezu allen Unternehmen.

Florian Göltl ist als Senior Manager im Bereich Financial Services bei KPMG tätig – er fokussiert Beratungs- und Umsetzungsprojekte bei Banken und Versicherungen in IT-Management-Themen.

Literatur

[1] Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Bankaufsichtliche Anforderungen an die IT (BAIT), Rundschreiben 10/2017 (BA) in der Fassung vom 16. August 2021, www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.pdf?__blob=publicationFile&v=6
[2] Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Mindestanforderungen an das Risikomanagement – MaRisk, Rundschreiben 10/2021 (BA), www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Rundschreiben/2021/rs_1021_MaRisk_BA.html
[3] European Banking Authority (EBA), Guidelines on ICT and Security Risk Management, November 2019, www.eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-ict-and-security-risk-management

Diesen Beitrag teilen: