BAIT: BaFin veröffentlicht bankaufsichtliche Anforderungen an die IT

Von Carolin Becker am 16. November 2017

Lupe vergrößert die Abkürzung BAIT, die für bankaufsichtliche Anforderungen an die IT steht

Endlich: Die BaFin veröffentlichte am 3.11.2017 ein verbindliches Regelwerk über die bankaufsichtlichen Anforderungen an die IT (BAIT). Es konkretisiert das KWG sowie das erst kürzlich aktualisierte MaRisk-Rundschreiben und ist verbindlich. Ab sofort!

In dem 20-seitigen Schreiben nimmt die BaFin konkret Stellung zu Mindestanforderungen an die IT-Strategie und Governance, das Informationsrisiko- und Sicherheitsmanagement, Benutzerberechtigungsmanagement, Durchführung von IT-Projekten, IT-Betrieb inkl. Datensicherung und der Auslagerungen von IT-Dienstleistungen. BAIT ist nicht nur ein Ergebnis der Erfahrungen mit der Auslegung der Mindestanforderungen an das Risikomanagement (MaRisk) und dem Kreditwesengesetz (KWG), sondern zeugt auch von der fortgeschrittenen Digitalisierung im Bankenumfeld.

Unabhängige Funktion des Informationssicherheitsbeauftragten

Gleich zu Beginn stellt die BAIT-Richtlinie klar, dass die Verantwortung für die IT-Aufbau- und Ablauforganisation direkt bei der Geschäftsleitung liegt. Hierfür hat sie eine Informationssicherheitsleitlinie zu definieren. Zu ihrer Unterstützung und zur Vermeidung von Interessenskonflikten ist verbindlich, die organisatorisch und prozessual unabhängige Funktion eines Informationssicherheitsbeauftragten einzurichten.

Ein zentraler Aspekt im gesamten Regelwerk ist ein sicheres und nachvollziehbares IT-Management. So sind Benutzerberechtigungen nach konsistenten Prozessen und dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu vergeben. Funktionstrennungen sind zu wahren und Interessenskonflikte des Personals zu vermeiden. IT-Projekte und deren Auswirkungen sind im Vorfeld zu analysieren und Entwicklungen sind laufend mit der Geschäftsleitung abzustimmen. Das Verfahren zur Datensicherung (ohne Datenarchivierung) ist in einem entsprechenden Konzept festzuhalten.

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Dezidiert nennt die BaFin Anforderungen an den Fremdbezug (Auslagerung) von IT-Dienstleistungen. In einer Phase, in der es bei vielen Finanzdienstleistern üblich ist, bestimmte IT-Prozesse über Outsourcing zu betreiben, ist der Inhalt von besonderer Bedeutung. Eine aussagekräftigere Beschreibung ist also nur konsequent: IT-Dienstleistungen umfassen demnach alle Ausprägungen des Bezugs von IT, also die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung, über ein Netz bereitgestellte Dienste (Rechenleistung, Speicherplatz, Plattformen, Software) sowie Cloud-Dienstleistungen.

Mit der ergänzenden BAIT-Richtlinie bringt die Finanzaufsicht zu Papier, was sich in den letzten Jahren als Common Sense erwiesen hat. Das deckt sich zumindest mit unserer Erfahrung. Denn wir erleben häufig, dass ein Informationssicherheitsbeauftragter oder Chief Information Security Officer (CISO) daran beteiligt ist, wenn eine Lösung zum Schutz vertraulicher Informationen eingeführt wird. Auch fordern unsere Kunden im Bankenumfeld jährlich Bestätigungen und Nachweise von Brainloop als Cloud-Anbieter ein, die auf die MaRisk-Richtlinie zurückgehen.

Mit zertifizierten Anbietern zusammenarbeiten

Banken sollten auf jeden Fall auf Dienstleister und Cloud-Anbieter setzen, die über relevante Zertifizierungen verfügen. Wenn es um den Betrieb von Cloud-Lösungen geht, sind dies beispielsweise die ISO 27001 inkl. 27018 (Erweiterung zum Datenschutz) und die ISAE 3402 (zuvor SAS 70), mindestens Typ II. Darin werden Maßstäbe angelegt, der auch für die Institute Gradmesser ihrer technischen und organisatorischen Maßnahmen sind. Dadurch wird die Compliance mit bankaufsichtlichen Anforderungen sichergestellt.

Compliance, Meistgelesen

Das könnte Sie auch interessieren:

Alles ISO: Brainloop erneuert Zertifizierung nach ISO/IEC 27001
Alles ISO: Brainloop erneuert Zertifizierung nach ISO/IEC 27001

Die Experten vom TÜV Süd haben bestätigt: Brainloop erfüllt alle Anforderungen nach ISO/IEC 27001 und 27018.

Weiterlesen
FINMA setzt bei Outsourcing auf mehr Selbstverantwortung
FINMA setzt bei Outsourcing auf mehr Selbstverantwortung

Ab dem 1. April 2018 gelten in der Schweiz für Banken, Effektenhändler und Versicherungen neue Anforderungen für die Auslagerung von Dienstleistungen.

Weiterlesen
Das WEF im Zeichen der IT: Cyberangriffe unter globalen Top-5-Risiken
Das WEF im Zeichen der IT: Cyberangriffe unter globalen Top-5-Risiken

Digitale Globalisierung und die vierte industrielle Revolution mit unerwünschten Nebenwirkungen und grossen Herausforderungen beim Risikomanagement.

Weiterlesen
Brainloop erfüllt neueste Finma-Anforderungen
Brainloop erfüllt neueste Finma-Anforderungen

Unabhängige Prüfstelle der Schweizer Finanzmarktaufsicht Finma bestätigt: Brainloop erfüllt Compliance für Banken und Versicherer gemäß dem Rundschreiben RS..

Weiterlesen

Ihre Meinung zum Thema:

Brainloop Blog: Jetzt abonnieren
Machen Sie jetzt den Security-Check