de en
Nexia Ebner Stolz

Branchen

Novellierung der BAIT zur Umsetzung der EBA ICT Guidelines

Weitere Verschärfung der Anforderungen an die IT

Mit Rund­schrei­ben 10/2017 (BA) vom 6.11.2017 hatte die Ba­Fin erst­mals die „Bank­auf­sicht­li­chen An­for­de­run­gen an die IT“ (BAIT) veröff­ent­licht. Die BAIT in­ter­pre­tie­ren die ge­setz­li­chen An­for­de­run­gen des § 25a Abs. 1 Satz 3 Nrn. 4 und 5 KWG und ergänzen bzw. kon­kre­ti­sie­ren die mit Rund­schrei­ben 09/2017 (BA) no­vel­lier­ten Ma­Risk. Nach­dem die BAIT zu­letzt im Sep­tem­ber 2018 ak­tua­li­siert und um das neue The­men­ge­biet „Kri­ti­sche In­fra­struk­tu­ren“ ergänzt wur­den, er­folgte nun im Ok­to­ber 2020 die Kon­sul­ta­tion des Rund­schrei­bens „Bank­auf­sicht­li­che An­for­de­run­gen an die IT" (Kon­sul­ta­tion 13/2020). Diese wurde zeit­gleich mit der Kon­sul­ta­tion 14/2020 der Ma­Risk veröff­ent­licht und greift auch die dor­ti­gen An­pas­sun­gen in AT 7.2 und AT 7.3 auf.

Nach der Veröff­ent­li­chung der „EBA-Leit­li­nien für IKT und Si­cher­heits­ri­si­ko­ma­nage­ment“ (EBA ICT Gui­de­lines) durch die Eu­ropäische Ban­ken­auf­sichts­behörde (EBA) im No­vem­ber 2019 zur Schaf­fung ein­heit­li­cher An­for­de­run­gen an das Ma­nage­ment von In­for­ma­ti­ons­tech­nik und In­for­ma­ti­ons­si­cher­heit für Kre­dit­in­sti­tute, Wert­pa­pier­fir­men und Zah­lungs­dienst­leis­ter im eu­ropäischen Bin­nen­markt wur­den auf­grund der er­for­der­li­chen Um­set­zung in na­tio­na­les Recht die BAIT sei­tens der Ba­Fin auf An­pas­sungs- und Ergänzungs­be­darf geprüft.

Hier­bei wur­den den BAIT die drei neuen Ka­pi­tel „Ope­ra­tive IT-Si­cher­heit“, „IT-Not­fall­ma­nage­ment“ und „Kun­den­be­zie­hun­gen mit Zah­lungs­dienst­nut­zern“ hin­zu­gefügt so­wie Kon­kre­ti­sie­run­gen und re­dak­tio­nelle Ände­run­gen in den Be­stands­ka­pi­teln vor­ge­nom­men. Die In­halte zum Ka­pi­tel „Kun­den­be­zie­hun­gen mit Zah­lungs­dienst­nut­zern“ sol­len später im Rah­men ei­nes se­pa­ra­ten Rund­schrei­bens „Zah­lungs­diens­teauf­sicht­li­che An­for­de­run­gen an die IT“ (ZAIT) kon­sul­tiert wer­den und an­schließend in der fi­na­len Fas­sung in die BAIT ein­fließen.

Hin­weis: Die Kon­sul­ta­tion en­dete Ende No­vem­ber 2020. Die fi­nale Veröff­ent­li­chung wird im ers­ten Quar­tal 2021 er­war­tet. Wie bei der Veröff­ent­li­chung der BAIT 10/2017 ist auch dies­mal mit einem sehr kurzen Um­set­zungs­zeit­raum zu rech­nen, da die An­for­de­run­gen aus den EBA ICT Gui­de­lines sei­tens der Auf­sicht als „grundsätz­lich be­kannt“ vor­aus­ge­setzt wer­den.

Die Bank­auf­sicht­li­chen An­for­de­run­gen an die IT sind künf­tig in fol­gende zwölf Ka­pi­tel un­ter­teilt:

Übersicht 1: Künftiger Aufbau der BAIT © Übersicht 1: Künftiger Aufbau der BAIT

Mit der Einführung der neuen Ka­pi­tel „Ope­ra­tive In­for­ma­ti­ons­si­cher­heit“ und „IT-Not­fall­ma­nage­ment“ de­cken die BAIT künf­tig alle grund­le­gen­den The­men des IT-Grund­schut­zes ab. Die An­for­de­run­gen sind so­mit nicht gänz­lich neu, wer­den aber nun durch die Auf­sicht ein­heit­lich und ver­bind­lich de­fi­niert. Dies sorgt auf Seite der Adres­sa­ten im­mer­hin für Klar­heit, was von der Auf­sicht bei der Aus­ge­stal­tung der IT-Sys­teme und der da­zu­gehöri­gen IT-Pro­zesse kon­kret er­war­tet wird.

Hin­weis: Das in der Vor­be­mer­kung der BAIT ge­nannte Prin­zip der dop­pel­ten Pro­por­tio­na­lität (vgl. AT 1 Tzn. 3, 5 und 7 so­wie AT 2.1 Tz. 2 Ma­Risk) be­zieht sich er­fah­rungs­gemäß auf den Um­fang und die De­tail­liert­heit der Um­set­zung der An­for­de­run­gen. Grundsätz­lich sind alle An­for­de­run­gen der BAIT bei der Aus­ge­stal­tung der IT-Sys­teme und IT-Pro­zesse in­halt­lich zu berück­sich­ti­gen.

Das neue Ka­pi­tel 5 „Ope­ra­tive In­for­ma­ti­ons­si­cher­heit“ setzt die An­for­de­run­gen aus Ka­pi­tel 4 „In­for­ma­ti­ons­si­cher­heits­ma­nage­ment“ funk­tio­nal in die Pra­xis um:

  • Im­ple­men­tie­rung von an­ge­mes­se­nen In­for­ma­ti­ons­si­cher­heitsmaßnah­men und -pro­zes­sen: Schwach­stel­len­ma­nage­ment, Netz­werk­seg­men­tie­rung und -kon­trolle, si­chere Kon­fi­gu­ra­tion und Härtung der IT-Sys­teme, Ein­satz von Kryp­to­gra­phie, mehr­stu­fi­ger Schutz der IT-Sys­teme, Pe­rime­ter­schutz
  • Frühzei­tige Iden­ti­fi­zie­rung von Gefähr­dun­gen des In­for­ma­ti­ons­ver­bun­des durch Pro­to­kol­lie­rung und re­gel­ba­sierte Aus­wer­tun­gen so­wie fo­ren­si­sche Ana­ly­sen
  • Se­cu­rity In­ci­dent Event Ma­nage­ment (SIEM) zur zeit­na­hen Ana­lyse und Re­ak­tion auf si­cher­heits­re­le­vante Er­eig­nisse, ggf. Ein­rich­tung ei­nes Se­cu­rity Ope­ra­ti­ons Cen­ters (SOC)
  • Re­gelmäßige Si­cher­heitsüberprüfun­gen durch Ab­wei­chungs­ana­ly­sen, Schwach­stel­len­scans, Pe­ne­tra­ti­ons­tests und Si­mu­la­tio­nen von An­grif­fen

Hier hat­ten die In­sti­tute bis­her mehr Freiräume. Nun gibt es kon­krete Vor­ga­ben zur Aus­ge­stal­tung der In­for­ma­ti­ons­si­cher­heits­pro­zesse, die je­doch bei der in­sti­tuts­spe­zi­fi­schen Um­set­zung durch­aus Her­aus­for­de­run­gen mit sich brin­gen können. Ins­be­son­dere der Auf­bau ei­nes SIEM und des­sen Ska­lie­rung auf die in­di­vi­du­el­len Ge­ge­ben­hei­ten so­wie die De­fi­ni­tion sinn­vol­ler re­gel­ba­sier­ter Aus­wer­tun­gen zur Iden­ti­fi­zie­rung von Gefähr­dun­gen er­for­dert i. d. R. spe­zi­elle Kennt­nisse.

Das neue Ka­pi­tel 10 „IT-Not­fall­ma­nage­ment“ war sei­tens der Ba­Fin schon länger an­gekündigt und kon­kre­ti­siert die An­for­de­run­gen des eben­falls no­vel­lier­ten AT 7.3 Ma­Risk:

  • Er­stel­lung ei­nes Not­fall­kon­zepts mit IT-Not­fallplänen für alle IT-Sys­teme, die zeit­kri­ti­sche Ak­ti­vitäten und Pro­zesse un­terstützen
  • Wie­der­an­lauf-, Not­be­triebs- und Wie­der­her­stel­lungspläne für alle zeit­kri­ti­schen Ak­ti­vitäten und Pro­zesse
  • Fest­le­gung der kri­ti­schen Pa­ra­me­ter (Wie­der­an­lauf­zeit / RTO, max. Da­ten­ver­lust / RPO) un­ter Berück­sich­ti­gung von Abhängig­kei­ten von vor- und nach­ge­la­ger­ten Ge­schäfts­pro­zes­sen
  • Durchführung min­des­tens jähr­li­cher IT-Not­fall­tests für alle IT-Sys­teme, die zeit­kri­ti­sche Ak­ti­vitäten und Pro­zesse un­terstützen
  • Ein­rich­tung ei­nes aus­rei­chend ent­fern­ten (re­dun­dan­ten) Re­chen­zen­trums für den Not­be­trieb bis zur Wie­der­her­stel­lung des IT-Nor­mal­be­triebs.

In­halt­lich bie­tet die­ses Ka­pi­tel we­nig Über­ra­schun­gen, da Not­fall­pro­zesse schon seit­her so­wohl gemäß AT 7.3 Ma­Risk als auch aus Ei­gen­in­ter­esse vor­zu­hal­ten sind und das grundsätz­li­che Vor­ge­hen aus dem BSI Stan­dard 100-4 „Not­fall­ma­nage­ment“ hinläng­lich be­kannt ist. Neu sind die zwin­gend jähr­li­che Durchführung von Not­fall­tests zeit­kri­ti­scher IT-Sys­teme und die Vor­gabe zur Ein­rich­tung ei­nes „aus­rei­chend ent­fern­ten“ Not­fall-Re­chen­zen­trums. Letz­tere For­mu­lie­rung birgt durch­aus Dis­kus­si­ons­po­ten­zial.

Hin­weis: Die Um­set­zung der An­for­de­run­gen hin­sicht­lich der ope­ra­ti­ven In­for­ma­ti­ons­si­cher­heit und des IT-Not­fall­ma­nage­ments in die Pra­xis ist er­fah­rungs­gemäß zeit- und kos­ten­in­ten­siv (abhängig vom be­reits er­reich­ten Rei­fe­grad). Dies be­trifft ins­be­son­dere die The­men SIEM, SOC und Not­fall-Re­chen­zen­trum. In der Re­gel dürfte auch ex­ter­nes Know-how zur Um­set­zung er­for­der­lich sein. Bei den vor­ge­nann­ten The­men wird im Übri­gen nicht nur das Um­set­zungs­pro­jekt das IT-Bud­get be­las­ten, son­dern vor­aus­sicht­lich auch der künf­tige Re­gel­be­trieb.

Im Fol­gen­den sind die we­sent­li­chen Ände­run­gen in den be­ste­hen­den Ka­pi­teln der BAIT zu­sam­men­ge­fasst:

Themenbereich

Änderung der Anforderungen (Auszug)

IT-Strategie

- Expliziter Hinweis auf AT 7.2 Tz. 2 MaRisk: Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten

- Zuordnung gängiger Standards auch auf Bereiche der Informationssicherheit explizit erforderlich

- Es sind Aussagen zur Schulung und Sensibilisierung zur Informationssicherheit erforderlich

IT-Governance

- Lediglich redaktionelle Änderungen

Informationsrisiko-management

- Konkretisierung der Definition des Informationsverbundes: geschäftsrelevante Informationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme, IT-Prozesse, Netz- und Gebäudeinfrastrukturen, Abhängigkeiten von und Schnittstellen zu Dritten

- Es ist auf die Angemessenheit des Sollmaßnahmenkatalogs zu achten.

- Das Informationsrisikomanagement hat die Soll-Ist-Vergleiche zu koordinieren und zu überwachen.

- Die Behandlung der Risiken ist kompetenzgerecht zu genehmigen.

- Laufende Überwachung der Bedrohungslage und Schwachstellenprüfung/-bewertung

Ergreifen wirksamer technischer und organisatorischer Maßnahmen

Informationssicherheitsmanagement

- Betonung der Gesamtverantwortung der Geschäftsleitung für die Informationssicherheit

- Richtlinie für physische Sicherheit (z. B. Perimeter- und Gebäudeschutz) erforderlich

- Informationssicherheitsvorfälle sind zeitnah zu analysieren (Abgrenzung von Störungen)

- Richtlinie für Test und Überprüfung der Maßnahmen zum Schutz der Informationssicherheit erforderlich

- Kontinuierliches Sensibilisierungs- und Schulungsprogramm der Mitarbeiter für Informationssicherheit mit Lernerfolgskontrolle

Identitäts- und Rechtemanagement

- Umbenennung von Benutzerberechtigungsmanagement in Identitäts- und Rechtemanagement

- Konkretisierung des Sparsamkeitsgrundsatzes bei der Berechtigungsvergabe („Need-to-know“ und „Least-Privilege“)

- Jegliche Zugriffs-, Zugangs- und Zutrittsrechte auf Bestandteile bzw. zu Bestandteilen des Informationsverbundes sollten standardisierten Prozessen und Kontrollen unterliegen.

- Dies betrifft den Zugang zu IT-Systemen und IT-Anwendungen, den Datenzugriff sowie Zutrittsrechte zu Räumen in Abhängigkeit vom ermittelten Schutzbedarf (Rechenzentrum!)

- Zugriffsberechtigungen sind auf allen Ebenen zu betrachten (Betriebssysteme, Datenbanken, Anwendungen)

- Auch technische User sind explizit ins Berechtigungskonzept aufzunehmen.

- Unverzügliche Deaktivierung / Löschung von Berechtigungen bei Ausscheiden von Mitarbeitern

- Starke Authentifizierung im Falle von Fernzugriffen

IT-Projekte, Anwendungsentwicklung

- Festlegung organisatorischer Grundlagen für IT-Projekte (Mindestinhalte)

- Verantwortlich für Erhebung, Bewertung, Genehmigung von Anforderungen sowie für die Definition von Akzeptanz- und Testkriterien und die Durchführung der Abnahmetests sind die Fachbereiche!

- Die Integrität des Quellcodes ist während Entwicklung, Test und Betrieb sicherzustellen.

- Maßnahmen zum Schutz der Informationen schließen auch Penetrationstests ein.

IT-Betrieb

- Erhebung, Planung und Überwachung des Kapazitätsbedarfs und der Leistung der IT-Systeme

- Definition von Standardprozessen bei Störungen

- Empfehlung des Einsatzes standardisierter Incident- und Problemmanagement-Lösungen

Auslagerungen und IT-Dienstleistungen

- Lediglich redaktionelle Änderungen

- Aber Beachtung der Auswirkung der Änderungen in AT 9 MaRisk auf IT-Auslagerungen erforderlich:

- Schriftlicher Auslagerungsvertrag

- Definition von KPI für die Dienstleistungsgüte

- Spezifizierung der Informations- und Prüfrechte (auch Zugangsrechte zu Verwaltung und Rechenzentrum!)

- Regelungen zu Werten und Verhaltenskodex

- Datenschutzrechtliche Bestimmungen

- Umsetzung von Notfallkonzepten

Zentraler Auslagerungsbeauftragter

Kritische Infrastrukturen

- Lediglich redaktionelle Änderungen

Ins­ge­samt wird in der vor­lie­gen­den BAIT-No­velle die Ver­ant­wor­tung der Ge­schäfts­lei­tung für die In­for­ma­ti­ons­tech­nik und die In­for­ma­ti­ons­si­cher­heit be­tont. Die An­for­de­run­gen er­for­dern eine ge­samt­bank­weite Be­trach­tung der The­men und keine fo­kus­sierte IT-Sicht. Dies wird vor dem Hin­ter­grund der zu­neh­men­den Di­gi­ta­li­sie­rung der Ge­schäfts­mo­delle und der stei­gen­den Be­dro­hung durch Cy­ber-An­griffe zu­neh­mend wich­ti­ger. Die Er­wei­te­run­gen und Ergänzun­gen in den BAIT be­tref­fen im Übri­gen auch die IT-Dienst­leis­ter von Ban­ken und Fi­nanz­dienst­leis­tern und hier­bei ins­be­son­dere Re­chen­zen­trums­dienst­leis­ter, bei de­nen rech­nungs­le­gungs­re­le­vante Da­ten ver­ar­bei­tet und ver­wal­tet wer­den. Auch diese müssen ihre Pro­zesse überprüfen und ge­ge­be­nen­falls Maßnah­men er­grei­fen, um im Rah­men be­ste­hen­der Aus­la­ge­run­gen die für sie eben­falls gel­ten­den re­gu­la­to­ri­schen Vor­ga­ben zu erfüllen.

Hin­weis: Die er­wei­ter­ten An­for­de­run­gen der BAIT sind be­reits jetzt bei auf­sichts­recht­li­chen IT-Son­derprüfun­gen im Fo­kus der Prüfer. Die Neue­run­gen und Kon­kre­ti­sie­run­gen soll­ten da­her möglichst kurz­fris­tig in die IT-Pro­zesse und IT-Ver­fah­ren in­te­griert wer­den. Auf­grund der zu er­war­ten­den kurzen Um­set­zungs­frist ist es sinn­voll, kurz­fris­tig eine Gap-Ana­lyse durch­zuführen, um die in­sti­tuts­spe­zi­fi­schen Hand­lungs­be­darfe frühzei­tig zu er­ken­nen. Ent­spre­chende Um­set­zungs­pro­jekte soll­ten für 2021 ge­plant und zeit­nah be­gon­nen wer­den, um Fest­stel­lun­gen durch IT-Re­vi­sion und Jah­res­ab­schlussprüfer so­wie ge­ge­be­nen­falls der Auf­sicht möglichst zu ver­mei­den.

nach oben