de en
Nexia Ebner Stolz

Branchen

Novellierung der BAIT zur Umsetzung der EBA ICT Guidelines

Weitere Verschärfung der Anforderungen an die IT

Mit Rundschreiben 10/2017 (BA) vom 6.11.2017 hatte die BaFin erstmals die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) veröffentlicht. Die BAIT interpretieren die gesetzlichen Anforderungen des § 25a Abs. 1 Satz 3 Nrn. 4 und 5 KWG und ergänzen bzw. konkretisieren die mit Rundschreiben 09/2017 (BA) novellierten MaRisk. Nachdem die BAIT zuletzt im September 2018 aktualisiert und um das neue Themengebiet „Kritische Infrastrukturen“ ergänzt wurden, erfolgte nun im Oktober 2020 die Konsultation des Rundschreibens „Bankaufsichtliche Anforderungen an die IT" (Konsultation 13/2020). Diese wurde zeitgleich mit der Konsultation 14/2020 der MaRisk veröffentlicht und greift auch die dortigen Anpassungen in AT 7.2 und AT 7.3 auf.

Nach der Ver­öf­f­ent­li­chung der „EBA-Leit­li­nien für IKT und Sicher­heits­ri­si­ko­ma­na­ge­ment“ (EBA ICT Gui­de­li­nes) durch die Euro­päi­sche Ban­ken­auf­sichts­be­hörde (EBA) im Novem­ber 2019 zur Schaf­fung ein­heit­li­cher Anfor­de­run­gen an das Mana­ge­ment von Infor­ma­ti­ons­tech­nik und Infor­ma­ti­ons­si­cher­heit für Kre­di­t­in­sti­tute, Wert­pa­pier­fir­men und Zah­lungs­di­enst­leis­ter im euro­päi­schen Bin­nen­markt wur­den auf­grund der erfor­der­li­chen Umset­zung in natio­na­les Recht die BAIT sei­tens der BaFin auf Anpas­sungs- und Ergän­zungs­be­darf geprüft.

Hier­bei wur­den den BAIT die drei neuen Kapi­tel „Ope­ra­tive IT-Sicher­heit“, „IT-Not­fall­ma­na­ge­ment“ und „Kun­den­be­zie­hun­gen mit Zah­lungs­di­enst­nut­zern“ hin­zu­ge­fügt sowie Kon­k­re­ti­sie­run­gen und redak­tio­nelle Ände­run­gen in den Bestands­ka­pi­teln vor­ge­nom­men. Die Inhalte zum Kapi­tel „Kun­den­be­zie­hun­gen mit Zah­lungs­di­enst­nut­zern“ sol­len spä­ter im Rah­men eines sepa­ra­ten Rund­sch­rei­bens „Zah­lungs­di­ens­te­auf­sicht­li­che Anfor­de­run­gen an die IT“ (ZAIT) kon­sul­tiert wer­den und ansch­lie­ßend in der fina­len Fas­sung in die BAIT ein­f­lie­ßen.

Hin­weis: Die Kon­sul­ta­tion endete Ende Novem­ber 2020. Die finale Ver­öf­f­ent­li­chung wird im ers­ten Quar­tal 2021 erwar­tet. Wie bei der Ver­öf­f­ent­li­chung der BAIT 10/2017 ist auch dies­mal mit einem sehr kur­zen Umset­zungs­zei­traum zu rech­nen, da die Anfor­de­run­gen aus den EBA ICT Gui­de­li­nes sei­tens der Auf­sicht als „grund­sätz­lich bekannt“ vor­aus­ge­setzt wer­den.

Die Ban­k­auf­sicht­li­chen Anfor­de­run­gen an die IT sind künf­tig in fol­gende zwölf Kapi­tel unter­teilt:

Übersicht 1: Künftiger Aufbau der BAIT © Übersicht 1: Künftiger Aufbau der BAIT

Mit der Ein­füh­rung der neuen Kapi­tel „Ope­ra­tive Infor­ma­ti­ons­si­cher­heit“ und „IT-Not­fall­ma­na­ge­ment“ decken die BAIT künf­tig alle grund­le­gen­den The­men des IT-Grund­schut­zes ab. Die Anfor­de­run­gen sind somit nicht gänz­lich neu, wer­den aber nun durch die Auf­sicht ein­heit­lich und ver­bind­lich defi­niert. Dies sorgt auf Seite der Adres­sa­ten immer­hin für Klar­heit, was von der Auf­sicht bei der Aus­ge­stal­tung der IT-Sys­teme und der dazu­ge­hö­ri­gen IT-Pro­zesse kon­k­ret erwar­tet wird.

Hin­weis: Das in der Vor­be­mer­kung der BAIT genannte Prin­zip der dop­pel­ten Pro­por­tio­na­li­tät (vgl. AT 1 Tzn. 3, 5 und 7 sowie AT 2.1 Tz. 2 MaRisk) bezieht sich erfah­rungs­ge­mäß auf den Umfang und die Detail­liert­heit der Umset­zung der Anfor­de­run­gen. Grund­sätz­lich sind alle Anfor­de­run­gen der BAIT bei der Aus­ge­stal­tung der IT-Sys­teme und IT-Pro­zesse inhalt­lich zu berück­sich­ti­gen.

Das neue Kapi­tel 5 „Ope­ra­tive Infor­ma­ti­ons­si­cher­heit“ setzt die Anfor­de­run­gen aus Kapi­tel 4 „Infor­ma­ti­ons­si­cher­heits­ma­na­ge­ment“ funk­tio­nal in die Pra­xis um:

  • Imp­le­men­tie­rung von ange­mes­se­nen Infor­ma­ti­ons­si­cher­heits­maß­nah­men und -pro­zes­sen: Schwach­s­tel­len­ma­na­ge­ment, Netz­werk­s­eg­men­tie­rung und -kon­trolle, sichere Kon­fi­gu­ra­tion und Här­tung der IT-Sys­teme, Ein­satz von Kryp­to­gra­phie, mehr­stu­fi­ger Schutz der IT-Sys­teme, Peri­me­ter­schutz
  • Früh­zei­tige Iden­ti­fi­zie­rung von Gefähr­dun­gen des Infor­ma­ti­ons­ver­bun­des durch Pro­to­kol­lie­rung und regel­ba­sierte Aus­wer­tun­gen sowie foren­si­sche Ana­ly­sen
  • Secu­rity Inci­dent Event Mana­ge­ment (SIEM) zur zeit­na­hen Ana­lyse und Reak­tion auf sicher­heits­re­le­vante Ereig­nisse, ggf. Ein­rich­tung eines Secu­rity Ope­ra­ti­ons Cen­ters (SOC)
  • Regel­mä­ß­ige Sicher­heits­über­prü­fun­gen durch Abwei­chungs­ana­ly­sen, Schwach­s­tel­len­s­cans, Pene­t­ra­ti­ons­tests und Simu­la­tio­nen von Angrif­fen

Hier hat­ten die Insti­tute bis­her mehr Frei­räume. Nun gibt es kon­k­rete Vor­ga­ben zur Aus­ge­stal­tung der Infor­ma­ti­ons­si­cher­heit­s­pro­zesse, die jedoch bei der insti­tuts­spe­zi­fi­schen Umset­zung durch­aus Her­aus­for­de­run­gen mit sich brin­gen kön­nen. Ins­be­son­dere der Auf­bau eines SIEM und des­sen Ska­lie­rung auf die indi­vi­du­el­len Gege­ben­hei­ten sowie die Defini­tion sinn­vol­ler regel­ba­sier­ter Aus­wer­tun­gen zur Iden­ti­fi­zie­rung von Gefähr­dun­gen erfor­dert i. d. R. spe­zi­elle Kennt­nisse.

Das neue Kapi­tel 10 „IT-Not­fall­ma­na­ge­ment“ war sei­tens der BaFin schon län­ger ange­kün­digt und kon­k­re­ti­siert die Anfor­de­run­gen des eben­falls novel­lier­ten AT 7.3 MaRisk:

  • Erstel­lung eines Not­fall­kon­zepts mit IT-Not­fall­plä­nen für alle IT-Sys­teme, die zeit­kri­ti­sche Akti­vi­tä­ten und Pro­zesse unter­stüt­zen
  • Wie­der­an­lauf-, Not­be­triebs- und Wie­der­her­stel­lungs­pläne für alle zeit­kri­ti­schen Akti­vi­tä­ten und Pro­zesse
  • Fest­le­gung der kri­ti­schen Para­me­ter (Wie­der­an­lauf­zeit / RTO, max. Daten­ver­lust / RPO) unter Berück­sich­ti­gung von Abhän­gig­kei­ten von vor- und nach­ge­la­ger­ten Geschäft­s­pro­zes­sen
  • Durch­füh­rung min­des­tens jähr­li­cher IT-Not­fall­tests für alle IT-Sys­teme, die zeit­kri­ti­sche Akti­vi­tä­ten und Pro­zesse unter­stüt­zen
  • Ein­rich­tung eines aus­rei­chend ent­fern­ten (redun­dan­ten) Rechen­zen­trums für den Not­be­trieb bis zur Wie­der­her­stel­lung des IT-Nor­mal­be­triebs.

Inhalt­lich bie­tet die­ses Kapi­tel wenig Über­ra­schun­gen, da Not­fall­pro­zesse schon seit­her sowohl gemäß AT 7.3 MaRisk als auch aus Eigen­in­ter­esse vor­zu­hal­ten sind und das grund­sätz­li­che Vor­ge­hen aus dem BSI Stan­dard 100-4 „Not­fall­ma­na­ge­ment“ hin­läng­lich bekannt ist. Neu sind die zwin­gend jähr­li­che Durch­füh­rung von Not­fall­tests zeit­kri­ti­scher IT-Sys­teme und die Vor­gabe zur Ein­rich­tung eines „aus­rei­chend ent­fern­ten“ Not­fall-Rechen­zen­trums. Letz­tere For­mu­lie­rung birgt durch­aus Dis­kus­si­ons­po­ten­zial.

Hin­weis: Die Umset­zung der Anfor­de­run­gen hin­sicht­lich der ope­ra­ti­ven Infor­ma­ti­ons­si­cher­heit und des IT-Not­fall­ma­na­ge­ments in die Pra­xis ist erfah­rungs­ge­mäß zeit- und kos­ten­in­ten­siv (abhän­gig vom bereits erreich­ten Rei­fe­grad). Dies betrifft ins­be­son­dere die The­men SIEM, SOC und Not­fall-Rechen­zen­trum. In der Regel dürfte auch exter­nes Know-how zur Umset­zung erfor­der­lich sein. Bei den vor­ge­nann­ten The­men wird im Übri­gen nicht nur das Umset­zung­s­pro­jekt das IT-Bud­get belas­ten, son­dern vor­aus­sicht­lich auch der künf­tige Regel­be­trieb.

Im Fol­gen­den sind die wesent­li­chen Ände­run­gen in den beste­hen­den Kapi­teln der BAIT zusam­men­ge­fasst:

Themenbereich

Änderung der Anforderungen (Auszug)

IT-Strategie

- Expliziter Hinweis auf AT 7.2 Tz. 2 MaRisk: Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten

- Zuordnung gängiger Standards auch auf Bereiche der Informationssicherheit explizit erforderlich

- Es sind Aussagen zur Schulung und Sensibilisierung zur Informationssicherheit erforderlich

IT-Governance

- Lediglich redaktionelle Änderungen

Informationsrisiko-management

- Konkretisierung der Definition des Informationsverbundes: geschäftsrelevante Informationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme, IT-Prozesse, Netz- und Gebäudeinfrastrukturen, Abhängigkeiten von und Schnittstellen zu Dritten

- Es ist auf die Angemessenheit des Sollmaßnahmenkatalogs zu achten.

- Das Informationsrisikomanagement hat die Soll-Ist-Vergleiche zu koordinieren und zu überwachen.

- Die Behandlung der Risiken ist kompetenzgerecht zu genehmigen.

- Laufende Überwachung der Bedrohungslage und Schwachstellenprüfung/-bewertung

Ergreifen wirksamer technischer und organisatorischer Maßnahmen

Informationssicherheitsmanagement

- Betonung der Gesamtverantwortung der Geschäftsleitung für die Informationssicherheit

- Richtlinie für physische Sicherheit (z. B. Perimeter- und Gebäudeschutz) erforderlich

- Informationssicherheitsvorfälle sind zeitnah zu analysieren (Abgrenzung von Störungen)

- Richtlinie für Test und Überprüfung der Maßnahmen zum Schutz der Informationssicherheit erforderlich

- Kontinuierliches Sensibilisierungs- und Schulungsprogramm der Mitarbeiter für Informationssicherheit mit Lernerfolgskontrolle

Identitäts- und Rechtemanagement

- Umbenennung von Benutzerberechtigungsmanagement in Identitäts- und Rechtemanagement

- Konkretisierung des Sparsamkeitsgrundsatzes bei der Berechtigungsvergabe („Need-to-know“ und „Least-Privilege“)

- Jegliche Zugriffs-, Zugangs- und Zutrittsrechte auf Bestandteile bzw. zu Bestandteilen des Informationsverbundes sollten standardisierten Prozessen und Kontrollen unterliegen.

- Dies betrifft den Zugang zu IT-Systemen und IT-Anwendungen, den Datenzugriff sowie Zutrittsrechte zu Räumen in Abhängigkeit vom ermittelten Schutzbedarf (Rechenzentrum!)

- Zugriffsberechtigungen sind auf allen Ebenen zu betrachten (Betriebssysteme, Datenbanken, Anwendungen)

- Auch technische User sind explizit ins Berechtigungskonzept aufzunehmen.

- Unverzügliche Deaktivierung / Löschung von Berechtigungen bei Ausscheiden von Mitarbeitern

- Starke Authentifizierung im Falle von Fernzugriffen

IT-Projekte, Anwendungsentwicklung

- Festlegung organisatorischer Grundlagen für IT-Projekte (Mindestinhalte)

- Verantwortlich für Erhebung, Bewertung, Genehmigung von Anforderungen sowie für die Definition von Akzeptanz- und Testkriterien und die Durchführung der Abnahmetests sind die Fachbereiche!

- Die Integrität des Quellcodes ist während Entwicklung, Test und Betrieb sicherzustellen.

- Maßnahmen zum Schutz der Informationen schließen auch Penetrationstests ein.

IT-Betrieb

- Erhebung, Planung und Überwachung des Kapazitätsbedarfs und der Leistung der IT-Systeme

- Definition von Standardprozessen bei Störungen

- Empfehlung des Einsatzes standardisierter Incident- und Problemmanagement-Lösungen

Auslagerungen und IT-Dienstleistungen

- Lediglich redaktionelle Änderungen

- Aber Beachtung der Auswirkung der Änderungen in AT 9 MaRisk auf IT-Auslagerungen erforderlich:

- Schriftlicher Auslagerungsvertrag

- Definition von KPI für die Dienstleistungsgüte

- Spezifizierung der Informations- und Prüfrechte (auch Zugangsrechte zu Verwaltung und Rechenzentrum!)

- Regelungen zu Werten und Verhaltenskodex

- Datenschutzrechtliche Bestimmungen

- Umsetzung von Notfallkonzepten

Zentraler Auslagerungsbeauftragter

Kritische Infrastrukturen

- Lediglich redaktionelle Änderungen

Ins­ge­s­amt wird in der vor­lie­gen­den BAIT-Novelle die Ver­ant­wor­tung der Geschäfts­lei­tung für die Infor­ma­ti­ons­tech­nik und die Infor­ma­ti­ons­si­cher­heit betont. Die Anfor­de­run­gen erfor­dern eine gesamt­bank­weite Betrach­tung der The­men und keine fokus­sierte IT-Sicht. Dies wird vor dem Hin­ter­grund der zuneh­men­den Digi­ta­li­sie­rung der Geschäfts­mo­delle und der stei­gen­den Bedro­hung durch Cyber-Angriffe zuneh­mend wich­ti­ger. Die Erwei­te­run­gen und Ergän­zun­gen in den BAIT betref­fen im Übri­gen auch die IT-Dienst­leis­ter von Ban­ken und Finanz­di­enst­leis­tern und hier­bei ins­be­son­dere Rechen­zen­trums­di­enst­leis­ter, bei denen rech­nungs­le­gungs­re­le­vante Daten ver­ar­bei­tet und ver­wal­tet wer­den. Auch diese müs­sen ihre Pro­zesse über­prü­fen und gege­be­nen­falls Maß­nah­men erg­rei­fen, um im Rah­men beste­hen­der Aus­la­ge­run­gen die für sie eben­falls gel­ten­den regu­la­to­ri­schen Vor­ga­ben zu erfül­len.

Hin­weis: Die erwei­ter­ten Anfor­de­run­gen der BAIT sind bereits jetzt bei auf­sichts­recht­li­chen IT-Son­der­prü­fun­gen im Fokus der Prü­fer. Die Neue­run­gen und Kon­k­re­ti­sie­run­gen soll­ten daher mög­lichst kurz­fris­tig in die IT-Pro­zesse und IT-Ver­fah­ren inte­griert wer­den. Auf­grund der zu erwar­ten­den kur­zen Umset­zungs­frist ist es sinn­voll, kurz­fris­tig eine Gap-Ana­lyse durch­zu­füh­ren, um die insti­tuts­spe­zi­fi­schen Hand­lungs­be­darfe früh­zei­tig zu erken­nen. Ent­sp­re­chende Umset­zung­s­pro­jekte soll­ten für 2021 geplant und zeit­nah begon­nen wer­den, um Fest­stel­lun­gen durch IT-Revi­sion und Jah­res­ab­schluss­prü­fer sowie gege­be­nen­falls der Auf­sicht mög­lichst zu ver­mei­den.

nach oben