BAIT veröffentlicht – Das Wichtigste auf einen Blick

BAIT veröffentlicht – Das Wichtigste auf einen Blick

BAIT veröffentlicht – Das Wichtigste auf einen Blick – Die BAIT wurden am 06.11.2017 mit Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT(BAIT) veröffentlicht. Hier kommen Sie direkt zur BaFin-Verlautbarung BAIT.

Informationssicherheit bekommt gleichen Stellenwert wie Kapitalausstattung und Liquiditätssteuerung

In einer globalisierten Finanzwelt, in der immer mehr Menschen digital bezahlen bzw. Geld transferieren und in der viele Anleger ihre Geldanlage online bestreiten, haben IT-Governance und Informationssicherheit für die Aufsicht inzwischen den gleichen Stellenwert wie die Ausstattung der Institute mit Kapital und Liquidität.

Die Informationstechnik ist die Basisinfrastruktur für sämtliche fachlichen, aber auch alle nichtfachlichen Prozesse bei Banken.

BAIT nunmehr der zentrale Baustein für die IT-Aufsicht im Bankensektor – BAIT veröffentlicht – Das Wichtigste auf einen Blick

Um Vorständen und Geschäftsführern die Erwartungen der Bankenaufsicht hinsichtlich der sicheren Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse sowie die diesbezüglichen Anforderungen an die IT-Governance transparent zu machen, hat die BaFin nun Bankaufsichtliche Anforderungen an die IT (BAIT) veröffentlicht.

Keine Umsetzungsfrist. Die BAIT sind ab sofort in Kraft und nunmehr zentraler Baustein für die IT-Aufsicht über den Bankensektor in Deutschland.

Wie die Mindestanforderungen an das Risikomanagement der Banken (MaRisk), deren neueste Fassung die BaFin Ende Oktober veröffentlicht hat, interpretieren auch die BAIT die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nr. 4 und 5 Kreditwesengesetz (KWG).

Die Aufsicht erläutert mit den MaRisk, was sie unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme versteht. Dabei werden die Anforderungen an die Informationssicherheit sowie an ein angemessenes Notfallkonzept berücksichtigt. Da die Institute zunehmend IT-Dienstleistungen von Dritten beziehen, wird auch der § 25b KWG in diese Interpretation einbezogen und präzisiert. Schnittstellen zu den aufsichtsrechtlichen Anforderungen an Auslagerungen sind auch berücksichtigt.

Soweit auf dezidierte Textziffern der MaRisk referenziert wird, sind diese in einer Gesamtschau mit den einschlägigen Textziffern in den BAIT anzuwenden. Die übrigen Textziffern der MaRisk bleiben unberührt. Dies gilt insbesondere für die Anwendung von AT7.3 MaRisk (Notfallkonzept).

Die modulare Struktur der BAIT eröffnet die notwendige Flexibilität für künftig erforderliche Anpassungen oder Ergänzungen. des Gesamtwerks. Derzeit werden beispielsweise Anpassungen im Hinblick auf die Umsetzung der „G7 – Fundamental Elements of Cybersecurity“ geprüft.

Die Unternehmen bleiben auch jenseits der Konkretisierungen in diesem Rundschreiben gemäß § 25a Abs. 1 Satz 3 Nr. 4 KWG i. V. m. AT 7.2 Tz. 2 MaRisk verpflichtet, bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Zu diesen zählen beispielsweise die IT-Grundschutzkataloge des Bundesamts für Sicherheit in der Informationstechnik und der internationale Sicherheitsstandard ISO/IEC 2700X der International Organization for Standardization.

IT-Sicherheitsgesetz – Modul Kritische Infrastruktur ist in Vorbereitung – BAIT veröffentlicht – Das Wichtigste auf einen Blick

In Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik wird ebenfalls geprüft, ein spezielles Modul „Kritische Infrastrukturen“ zu erarbeiten und in die BAIT zu überführen. Dies soll ausschließlich für die Kritis-Betreiber des Sektors Finanz- und Versicherungswesen im Sinne des § 2 Abs. 10 BSI-Gesetz die notwendigen Anforderungen beinhalten, um den einschlägigen Vorgaben des BSI-Gesetzes nachzukommen.

BAIT veröffentlicht – Das Wichtigste auf einen Blick

Die BAIT umfassen Regelungen zu folgenden Schwerpunkten:

1. IT-Strategie
2. IT-Governance
3. Informationsrisikomanagement
4. Informationssicherheitsmanagement
5. Benutzerberechtigungsmanagement
6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)
7. IT-Betrieb (inkl. Datensicherung)
8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

BAIT – IT-Strategie – BAIT veröffentlicht – Das Wichtigste auf einen Blick

Die Geschäftsleitung hat eine mit der Geschäftsstrategie konsistente IT-Strategie festzulegen. Mindestinhalte der IT-Strategie sind:

1. a) Strategische Entwicklung der IT-Aufbau- und IT-Ablauforganisation des Instituts sowie der Auslagerungen von IT-Dienstleistungen
2. b) Zuordnung der gängigen Standards, an denen sich das Institut orientiert, auf die Bereiche der IT
3. c) Zuständigkeiten und Einbindung der Informationssicherheit in die Organisation
4. d) Strategische Entwicklung der IT-Architektur
5. e) Aussagen zum Notfallmanagement unter Berücksichtigung der IT-Belange
6. f) Aussagen zu den in den Fachbereichen selbst betriebenen bzw. entwickelten IT-Systemen (Hardware- und Software-Komponenten)

BAIT – IT-Governance – BAIT veröffentlicht – Das Wichtigste auf einen Blick

Die IT-Governance ist die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme einschließlich der dazugehörigen IT-Prozesse auf Basis der IT-Strategie.

Hierfür maßgeblich sind insbesondere die Regelungen zur IT-Aufbau- und IT-Ablauforganisation (vgl. AT 4.3.1 MaRisk), zum Informationsrisiko- sowie Informationssicherheitsmanagement (vgl. AT 4.3.2 MaRisk, AT 7.2 Tzn. 2 und 4 MaRisk), zur quantitativ und qualitativ angemessenen Personalausstattung der IT (vgl. AT 7.1 MaRisk) sowie zum Umfang und zur Qualität der technisch-organisatorischen Ausstattung (vgl. AT 7.2 Tz. 1 MaRisk).

Regelungen für die IT-Aufbau- und IT-Ablauforganisation sind bei Veränderungen der Aktivitäten und Prozesse zeitnah anzupassen (vgl. AT 5 Tzn. 1 und 2 MaRisk).

BAIT – Informationsrisikomanagement – BAIT veröffentlicht – Das Wichtigste auf einen Blick

Die Informationsverarbeitung und -weitergabe in Geschäfts- und Serviceprozessen wird durch datenverarbeitende IT-Systeme und zugehörige IT-Prozesse unterstützt. Deren Umfang und Qualität ist insbesondere an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie an der Risikosituation zu orientieren (vgl. AT 7.2 Tz. 1 MaRisk). IT-Systeme und zugehörige IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen (vgl. AT 7.2 Tz. 2 MaRisk).

Das Institut hat die mit dem Management der Informationsrisiken verbundenen Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege zu definieren und aufeinander abzustimmen (vgl. AT 4.3.1 Tz 2 MaRisk).

Hierfür hat das Institut angemessene Überwachungs- und Steuerungsprozesse einzurichten (vgl. AT 7.2 Tz. 4 MaRisk) und diesbezügliche Berichtspflichten zu definieren (vgl. BT 3.2. Tz. 1 MaRisk).

BAIT – Informationssicherheitsmanagement – BAIT veröffentlicht – Das Wichtigste auf einen Blick

Das Informationssicherheitsmanagement macht Vorgaben zur Informationssicherheit, definiert Prozesse und steuert deren Umsetzung (vgl. AT 7.2 Tz. 2 MaRisk). Das Informationssicherheitsmanagement folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst. Die inhaltlichen Berichtspflichten des Informationssicherheitsbeauftragten an die Geschäftsleitung sowie der Turnus der Berichterstattung orientieren sich an BT 3.2 Tz. 1 MaRisk.

Die Funktion des Informationssicherheitsbeauftragten umfasst insbesondere die nachfolgenden Aufgaben:

• die Geschäftsleitung beim Festlegen und Anpassen der Informationssicherheitsleitlinie zu unterstützen und in allen Fragen der Informationssicherheit zu beraten; dies umfasst auch Hilfestellungen bei der Lösung von Zielkonflikten (z. B. Wirtschaftlichkeit kontra Informationssicherheit)
• Erstellung von Informationssicherheitsrichtlinien und ggf. weiteren einschlägigen Regelungen sowie die Kontrolle ihrer Einhaltung den Informationssicherheitsprozess im Institut zu steuern und zu koordinieren sowie diesen gegenüber IT-Dienstleistern zu überwachen und bei allen damit zusammenhängenden Aufgaben mitzuwirken
• Beteiligung bei der Erstellung und Fortschreibung des Notfallkonzepts bzgl. der IT-Belange
• die Realisierung von Informationssicherheitsmaßnahmen zu initiieren und zu überwachen
• Beteiligung bei Projekten mit IT-Relevanz
• als Ansprechpartner für Fragen der Informationssicherheit innerhalb des Instituts und für Dritte bereitzustehen
• Informationssicherheitsvorfälle zu untersuchen und diesbezüglich an die Geschäftsleitung zu berichten
• Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und zu koordinieren.

Zur Vermeidung möglicher Interessenkonflikte werden insbesondere folgende Maßnahmen beachtet:

• Funktions- und Stellenbeschreibung für den Informationssicherheitsbeauftragten und seinen Vertreter
• Festlegung der erforderlichen Ressourcenausstattung für die Funktion des Informationssicherheitsbeauftragten
• ein der Funktion zugewiesenes Budget für Informationssicherheitsschulungen im Institut und die persönliche Weiterbildung des Informationssicherheitsbeauftragten sowie seines Vertreters
• unmittelbare und jederzeitige Gelegenheit zur Berichterstattung des Informationssicherheitsbeauftragten an die Geschäftsleitung
• Verpflichtung der Beschäftigten des Instituts sowie der IT-Dienstleister zur sofortigen und umfassenden Unterrichtung des Informationssicherheitsbeauftragten über alle bekannt gewordenen IT-sicherheitsrelevanten Sachverhalte, die das Institut betreffen
• Die Funktion des Informationssicherheitsbeauftragten wird aufbauorganisatorisch von den Bereichen getrennt, die für den Betrieb und die Weiterentwicklung der IT-Systeme zuständig sind.
• Der Informationssicherheitsbeauftragte nimmt keinesfalls Aufgaben der Internen Revision wahr.

BAIT – Benutzerberechtigungsmanagement – BAIT veröffentlicht – Das Wichtigste auf einen Blick

Ein Benutzerberechtigungsmanagement stellt sicher, dass den Benutzern eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht.

Das Benutzerberechtigungsmanagement hat die Anforderungen nach AT 4.3.1 Tz. 2, AT 7.2 Tz. 2, sowie BTO Tz. 9 der MaRisk zu erfüllen.

Berechtigungskonzepte legen den Umfang und die Nutzungsbedingungen der Berechtigungen für die IT-Systeme konsistent zum ermittelten Schutzbedarf sowie vollständig und nachvollziehbar ableitbar für alle von einem IT-System bereitgestellten Berechtigungen fest.

Berechtigungskonzepte haben die Vergabe von Berechtigungen an Benutzer nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) sicherzustellen, die Funktionstrennung zu wahren und Interessenskonflikte des Personals zu vermeiden.

BAIT – IT-Projekte – BAIT veröffentlicht – Das Wichtigste auf einen Blick

Wesentliche Veränderungen in den IT-Systemen im Rahmen von IT-Projekten, deren Auswirkung auf die IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse sind im Rahmen einer Auswirkungsanalyse zu bewerten (vgl. AT 8.2 Tz. 1 MaRisk). Im Hinblick auf den erstmaligen Einsatz sowie wesentliche Veränderungen von IT-Systemen sind die Anforderungen des AT 7.2 (insbesondere Tz. 3 und Tz. 5) MaRisk, AT 8.2 Tz. 1 MaRisk sowie AT 8.3 Tz. 1 MaRisk zu erfüllen.

Wesentliche IT-Projekte und IT-Projektrisiken sind der Geschäftsleitung regelmäßig und anlassbezogen zu berichten. Wesentliche Projektrisiken sind im Risikomanagement zu berücksichtigen.

Anforderungen an die Funktionalität der Anwendung müssen ebenso erhoben, bewertet und dokumentiert werden wie nichtfunktionale Anforderungen. Die Verantwortung für die Erhebung und Bewertung der Anforderungen liegt in den Fachbereichen.

Anforderungsdokumente sind beispielsweise:

• Fachkonzept (Lastenheft bzw. User-Story)
• Technisches Fachkonzept (Pflichtenheft bzw. Product Back-Log).

Nichtfunktionale Anforderungen an IT-Systeme sind beispielsweise:

• Ergebnisse der Schutzbedarfsfeststellung
• Zugriffsregelungen
• Ergonomie
• Wartbarkeit
• Antwortzeiten
• Resilienz.

Im Rahmen der Anwendungsentwicklung sind nach Maßgabe des Schutzbedarfs angemessene Vorkehrungen im Hinblick darauf zu treffen, dass nach Produktivsetzung der Anwendung die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der zu verarbeitenden Daten nachvollziehbar sichergestellt werden.

Geeignete Vorkehrungen können sein:

• Prüfung der Eingabedaten
• Systemzugangskontrolle
• Nutzer-Authentifizierung
• Transaktionsautorisierung
• Protokollierung der Systemaktivität
• Prüfpfade (Audit Logs)
• Verfolgung von sicherheitsrelevanten Ereignissen
• Behandlung von Ausnahmen.

BAIT – IT-Betrieb – BAIT veröffentlicht – Das Wichtigste auf einen Blick

Der IT-Betrieb hat die Erfüllung der Anforderungen, die sich aus der Umsetzung der Geschäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen

ergeben, umzusetzen (vgl. AT 7.2 Tz. 1 und Tz. 2 MaRisk).

Die Komponenten der IT-Systeme sowie deren Beziehungen zueinander sind in geeigneter Weise zu verwalten, und die hierzu erfassten Bestandsangaben regelmäßig sowie anlassbezogen zu aktualisieren. Zu den Bestandsangaben zählen insbesondere:

• Bestand und Verwendungszweck der Komponenten der IT-Systeme mit den relevanten Konfigurationsangaben
• Standort der Komponenten der IT-Systeme
• Aufstellung der relevanten Angaben zu Gewährleistungen und sonstigen Supportverträgen (ggf. Verlinkung)
• Angaben zum Ablaufdatum des Supportzeitraums der Komponenten der IT-Systeme
• Akzeptierter Zeitraum der Nichtverfügbarkeit der IT-Systeme sowie der maximal tolerierbare Datenverlust.

BAIT – Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

IT-Dienstleistungen umfassen alle Ausprägungen des Bezugs von IT; dazu zählen insbesondere die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung. Die Auslagerungen der IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen.

Dies gilt auch für Auslagerungen von IT-Dienstleistungen, die dem Institut durch ein Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen).

Das Institut hat auch beim sonstigen Fremdbezug von IT-Dienstleistungen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG zu beachten (vgl. AT 9 Tz. 1 – Erläuterungen – MaRisk).

Bei jedem Bezug von Software sind die damit verbundenen Risiken angemessen zu bewerten (vgl. AT 7.2 Tz. 4 Satz 2 MaRisk).