Spezielle Anforderungen an die IT für Kapitalverwaltungsgesellschaften

Am 8.4.2019 wurde der Ent­wurf des Rund­schrei­bens „Ka­pi­tal­ver­wal­tungs­auf­sicht­li­che An­for­de­run­gen an die IT“ (KAIT) zur Kon­sul­ta­tion ge­stellt.

Hinweis

Die KAIT sol­len ohne of­fi­zi­elle Überg­angs­frist, im Juni in Kraft tre­ten. Wie auch bei den BAIT und VAIT han­delt es sich bei den KAIT nicht um grund­le­gend neue An­for­de­run­gen, son­dern nur um eine Kon­kre­ti­sie­rung von be­ste­hen­den An­for­de­run­gen, die sich aus den Min­dest­an­for­de­run­gen an das Ri­si­ko­ma­nage­ment von Ka­pi­tal­ver­wal­tungs­ge­sell­schaf­ten (KAMa­Risk) er­ge­ben.

Be­trof­fen von die­sem Rund­schrei­ben sind KV­Gen im Sinne des § 17 KAGB, so­fern diese über eine Er­laub­nis nach dem KAGB verfügen. Aus­ge­nom­men sind u. a. re­gis­trierte KV­Gen nach § 44 KAGB oder ex­tern ver­wal­tete In­vest­ment­ge­sell­schaf­ten.

Ziel ist es „einen fle­xi­blen und pra­xis­na­hen Rah­men für die tech­ni­sch-or­ga­ni­sa­to­ri­sche Aus­stat­tung der KV­Gen – ins­be­son­dere für das Ma­nage­ment der IT-Res­sour­cen und für das IT-Ri­si­ko­ma­nage­ment“ vor­zu­ge­ben.

Die An­for­de­run­gen der KAIT ent­spre­chen in­halt­lich den BAIT und wer­den eben­falls für ins­ge­samt acht Be­rei­che de­fi­niert (siehe no­vus Fi­nanz­dienst­leis­tun­gen 1. Aus­gabe 2017, S. 8 bis 9). Die Auf­sicht hat in den KAIT je­doch erst­ma­lig fol­gende we­sent­li­che Re­ge­lun­gen for­mu­liert bzw. kon­kre­ti­siert, die über die Re­ge­lun­gen der BAIT hin­aus­ge­hen:

IT-Strategie

Ergänzend wird in den KAIT eine sinn­volle Überprüfbar­keit der Ziel­er­rei­chung gemäß der IT-Stra­te­gie ge­for­dert. Die Erst­ver­ab­schie­dung und ggf. Verände­rung der IT-Stra­te­gie sind dem Auf­sichts­or­gan zur Kennt­nis zu ge­ben. Wei­ter­hin wird eine in­terne Kom­mu­ni­ka­tion von Verände­run­gen der IT-Stra­te­gie ge­for­dert.

IT-Governance

Her­vor­zu­he­ben sind die kon­kre­ten An­for­de­run­gen an die Per­so­nal­aus­stat­tung und -Kom­pe­ten­zen im Be­reich IT so­wie an Um­fang und Qua­lität der tech­ni­sch-or­ga­ni­sa­to­ri­schen Aus­stat­tung. Die KV­Gen ha­ben si­cher­zu­stel­len, dass die IT-Ge­schäfts­ak­ti­vitäten auf Ba­sis von Or­ga­ni­sa­ti­ons­richt­li­nien be­trie­ben wer­den.

Über die Kon­kre­ti­sie­run­gen der BAIT hin­aus ge­hen die KAIT bei der Funk­ti­onsfähig­keit von Not­fallmaßnah­men. Diese sind re­gelmäßig zu tes­ten.

Informationsrisikomanagement

Zukünf­tig sind durch die KV­Gen Pro­zesse zu im­ple­men­tie­ren, wel­che IT-Ri­si­ko­kri­te­rien, die Iden­ti­fi­ka­tion von IT-Ri­si­ken, den Schutz­be­darf so­wie die Schutz­ziele iden­ti­fi­zie­ren, be­wer­ten, über­wa­chen und steu­ern. Wie bei den BAIT er­folgt die Er­mitt­lung des Schutz­be­darfs an­hand der Schutz­ziele In­te­grität, Verfügbar­keit, Ver­trau­lich­keit und Au­then­ti­zität. Eben­falls ist ein Sollmaßnah­men­ka­ta­log zur Um­set­zung der Schutz­ziele zu er­stel­len. Die KAIT stel­len je­den­falls noch­mals klar, dass bei der Fest­le­gung des Schutz­be­darfs und der Iden­ti­fi­zie­rung der Ri­si­ken auch die ver­blei­ben­den Rest­ri­si­ken zu berück­sich­ti­gen sind.

Informationssicherheitsmanagement

Als eine zen­trale Neue­rung für die KV­Gen de­fi­niert die KAIT die Einführung des Auf­ga­ben­ge­bie­tes ei­nes In­for­ma­ti­ons­si­cher­heits­be­auf­trag­ten (ISB). Der ISB ver­ant­wor­tet ne­ben der Wah­rung der In­for­ma­ti­ons­si­cher­heit in der KVG ins­be­son­dere vor dem Hin­ter­grund der Aus­la­ge­rung von IT-Dienst­leis­tun­gen diese auch ge­genüber Drit­ten. Die Funk­tion des ISB ist zur Ver­mei­dung von In­ter­es­sens­kon­flik­ten or­ga­ni­sa­to­ri­sch und pro­zes­sual un­abhängig aus­zu­ge­stal­ten. Diese Tätig­keit ist grundsätz­lich im ei­ge­nen Haus vor­zu­hal­ten. Eine Aus­la­ge­rung an Dritte ist nur in zwei kon­kre­ten Aus­nah­mefällen möglich.

Hinweis

Die KAIT stim­men hier mit den BAIT übe­rein.

Benutzerberechtigungsmanagement

Im Rah­men des Be­nut­zer­be­rech­ti­gungs­ma­nage­ments wird kon­kre­ti­siert, dass Mit­ar­bei­ter aus­schließlich jene Be­rech­ti­gun­gen be­sit­zen dürfen, wel­che sie zur Ausübung Ih­rer Tätig­keit di­rekt benöti­gen. Spe­zi­fi­sche An­for­de­run­gen be­tref­fen in die­sem Zu­sam­men­hang bspw. die Er­stel­lung von Be­rech­ti­gungs­kon­zep­ten so­wie die di­rekte Zu­ord­nungsmöglich­keit ei­nes nicht per­so­na­li­sier­ten Be­nut­zers (z. B. tech­ni­scher Be­nut­zer) zu ei­ner han­deln­den Per­son.

Hinweis

Die rest­li­chen An­for­de­run­gen an das Ma­nage­ment der Be­nut­zer­be­rech­ti­gun­gen sind mit den An­for­de­run­gen der BAIT iden­ti­sch.

IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen)

In die­sem Ab­schnitt wer­den or­ga­ni­sa­to­ri­sche so­wie pro­zes­suale Vor­ge­hens­wei­sen spe­zi­fi­ziert. So sind IT-Pro­jekte und Verände­run­gen der IT-Sys­teme vor ih­rer Über­nahme in den pro­duk­ti­ven Be­trieb zu tes­ten und von den fach­lich so­wie auch von den tech­ni­sch zuständi­gen Mit­ar­bei­tern ab­zu­neh­men. Pro­duk­ti­ons- und Test­um­ge­bung sind da­bei grundsätz­lich von­ein­an­der zu tren­nen. Für die Ent­wick­lung neuer IT-Funk­tio­nen sind an­ge­mes­sene Pro­zesse fest­zu­le­gen. Diese ent­hal­ten Vor­ga­ben zur An­for­de­rungs­ent­wick­lung, zum Ent­wick­lungs­ziel, zur tech­ni­schen Um­set­zung, zur Qua­litäts­si­che­rung, so­wie zu Test, Ab­nahme und Frei­gabe.

Eben­falls wird klar­ge­stellt, dass diese An­for­de­run­gen und Kri­te­rien für die Ri­si­ko­iden­ti­fi­zie­rung, zur Er­mitt­lung des Schutz­be­darfs so­wie für die Ver­wen­dung von ge­trenn­ten Test- und Pro­duk­tiv­sys­te­men auch für von den Fach­be­rei­chen selbst ent­wi­ckelte An­wen­dun­gen (sog. in­di­vi­du­elle Da­ten­ver­ar­bei­tung, IDV) ein­zu­hal­ten sind.

IT-Betrieb (inkl. Datensicherung)

In die­sem Ab­schnitt wer­den Vor­ga­ben zum kon­kre­ten IT-Be­trieb ge­macht, die mit den BAIT übe­rein­stim­men.

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Von zen­tra­ler Be­deu­tung ist die De­fi­ni­tion, wann eine Aus­la­ge­rung vor­liegt und was un­ter den Be­griff der Aus­la­ge­rung fällt.

Da­von ab­zu­gren­zen ist der sons­tige Fremd­be­zug. We­sent­li­cher, ergänzen­der Punkt zu den BAIT ist, dass zum einen der iso­lierte Be­zug von han­delsübli­cher Stan­dard-Soft­ware als sons­ti­ger Fremd­be­zug ein­ge­stuft wird. Als Stan­dard-Soft­ware gilt hier eine Soft­ware, an der noch keine un­ter­neh­mens­ei­ge­nen An­pas­sun­gen (inkl. au­to­ma­ti­scher Up­dates und Patches) vor­ge­nom­men wur­den. Zum an­de­ren ist sons­ti­ger Fremd­be­zug die Per­so­nal­ge­stel­lung, also die Be­schäfti­gung bei einem Drit­ten un­ter Fort­set­zung des be­ste­hen­den Ar­beits­verhält­nis­ses, zu­guns­ten der KVG, so­fern auf den KVG-ei­ge­nen Sys­te­men nach Ein­wei­sung und un­ter Kon­trolle ge­ar­bei­tet wird.

Hinweis

Dies war bis­her ein Punkt, der in der Ver­gan­gen­heit in­ner­halb der Fi­nanz­bran­che zu Dis­kus­sio­nen geführt hat. Hier schaf­fen die KAIT ge­genüber den BAIT eine deut­li­che Kon­kre­ti­sie­rung und Klar­stel­lung.

Fazit

Die An­for­de­run­gen an die IT stei­gen, ein­her­ge­hend mit der Erhöhung des IT-Ri­si­ko­be­wusst­seins. Das hat die Ba­Fin be­reits mit den BAIT und den VAIT ver­deut­licht.

Die KAIT können als wei­te­rer Schritt der Kon­kre­ti­sie­rung und Aus­ge­stal­tung der be­ste­hen­den auf­sichts­recht­li­chen An­for­de­run­gen ge­se­hen wer­den. Es ist vor­stell­bar, dass die hier for­mu­lier­ten, wei­ter­ge­hen­den Kon­kre­ti­sie­run­gen in zukünf­tige Fas­sun­gen der BAIT und VAIT über­nom­men wer­den.