Cyber Security & IT-Governance

Neues BAIT-Regelwerk: BaFin nimmt auch IT-Dienstleister in die Pflicht

Die BaFin bereitet schärfere Anforderungen für die Informationstechnologie von Banken vor.

Die Ansage des Finanzministeriums ist unmissverständlich. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) werde mit erweiterten hoheitlichen Befugnissen gegenüber Dritten ausgestattet, heißt es im Rahmen des Aktionsplans „Stärkung Bilanzkontrolle“ aus dem Herbst 2020.

Konkret heißt das, dass die Aufsicht deutlich mehr Bedeutung außerhalb des Finanzdienstleistungssektors erhält. „Die BaFin wird unmittelbare Eingriffsbefugnisse gegenüber Unternehmen erhalten, auf die wesentliche Bankfunktionen ausgelagert werden“, lässt das Finanzministerium verlauten. Die weit verbreitete Praxis des Outsourcings führe oft zu schwer feststellbaren Risiken. Sie sollen künftig besser von der BaFin identifiziert und kontrolliert werden können.

IT-Dienstleister rücken in den Fokus

Auf die neuen „Bankaufsichtlichen Anforderungen an die IT“ (BAIT), die die BaFin im Oktober 2020 zur Konsultation veröffentlicht hat, müssen sich entsprechend nicht nur Kreditinstitute vorbereiten. Auch ihre IT-Dienstleister sind gefragt, sich mit den neuen Regeln auseinander zu setzen.

Die Verwaltungsanweisungen, erstmals erschienen im November 2017, konkretisieren die Mindestanforderungen für das Risikomanagement (MaRisk) im Bereich der Informationstechnologie in den Banken. Eine Ergänzung erfolgte 2018 mit dem Modul KRITIS, die aktuelle Überarbeitung ist die erste umfassende Anpassung der BAIT. Sie wird voraussichtlich in der ersten Jahreshälfte 2021 ohne Übergangsfrist zur Anwendung kommen. Betroffenen Unternehmen ist daher eine zeitnahe Vorbereitung empfohlen.

Neue Aufsichtsthemen sowie Erweiterung der bestehenden

Verstärkt setzen die Aufseher mit den überarbeiteten BAIT unter anderem auf operative IT-Sicherheit, sowohl innerhalb von Systemen als auch an Schnittstellen, etwa beim Virenschutz oder bei Firewalls. Neue Regeln gelten für das IT-Notfallmanagement, dabei werden vermehrt auch die ausgelagerten Dienstleistungen in den Fokus rücken. Bei der Nutzung von Zahlungsdiensten spielen die PSD-2-Regeln und eine sichere Authentifizierung von Kunden eine wichtigere Rolle. Hinzu kommen Neuerungen in den Bereichen Informationsrisiko- und -sicherheitsmanagement. Die Anforderungen an Transparenz und Dokumentation werden noch einmal ausgebaut.

Die Umsetzung der neu hinzugekommenen und der erweiterten bankaufsichtlichen Anforderungen sorgt bei den betroffenen Unternehmen für erheblichen Aufwand. Neue Organisationseinheiten müssen etabliert, Prozesse und Reports verstetigt, Kontrollmechanismen eingeführt, Schnittstellen definiert werden.

Kreditinstitute als Vorreiter

Den Banken kommt dabei in der aufsichtsrechtlichen Behandlung eine Vorreiterfunktion zu. Auf die erste BAIT-Version folgten analoge Regelwerke für Versicherungen (VAIT, 2018) und für Asset Manager (KAIT, 2019). Die BAIT-Neuerungen können somit von Versicherern und Asset Managern bereits zur Vorbereitung auf anstehende Änderungen in ihren Bereichen verwendet werden.

Anpassung an Prüfungspraxis

Aus heiterem Himmel kommen die Änderungen der BAIT nicht. In der Praxis haben die BaFin-Prüfer in den vergangenen 18 Monaten bereits verstärkt ein Augenmerk auf die jetzt auch in der Richtlinie formulierten Aspekte gelegt. Auch künftig wird die BAIT an ein sich veränderndes Umfeld angepasst werden müssen. Denn durch technische Innovationen oder veränderte Geschäftsabläufe entwickeln sich neue Risiken. Die Prüfungspraxis der Aufsicht legt zunehmend einen Fokus auf diese Bereiche, bevor sie schließlich in den Regularien festgeschrieben werden.

Beispielsweise sind IT-Dienstleister auch in den vergangenen Jahren ins Visier der BaFin gerückt. Bei einigen dieser Unternehmen hat die Aufsicht bereits gezielte Prüfungen durchgeführt, um Mängel zu identifizieren und das Risikobewusstsein für die ordnungsgemäße Umsetzung der regulatorischen Anforderungen zu erhöhen.

Blick auf europäische Regulierung

Sinnvoll ist es für alle Betroffenen, auch die sogenannten ICT-Guidelines der Europäischen Bankenaufsicht EBA im Blick zu halten. Konkret kommen sie bisher zwar lediglich bei den „bedeutenden Kreditinstituten“ zum Tragen, die sich durch die Größe ihrer Bilanzsumme definieren. Doch die BAIT gleichen sich Schritt für Schritt regelmäßig dem europäischen Regelwerk für die größten Institute an.

Schließlich zeichnet sich schon ab, dass die Anpassungen nicht die letzten bleiben werden. Die extrem gewachsene Bedeutung des Homeoffice während der Covid-19-Pandemie mit den daraus resultierenden Schnittstellen ist nur ein beispielhaftes Thema, dem die BaFin-Prüfer derzeit verstärkt Aufmerksamkeit widmen. Ein unrechtmäßiger Download von Daten aus dem heimischen Büro kann dabei genauso zum Sicherheitsproblem werden wie die Grenzen der Netzwerkkapazität bei deutlich mehr VPN-Verbindungen. Weitere aufsichtliche Schwerpunkte der jüngsten Vergangenheit sind Datenverlust, Netzwerksegmentierung und Cloud-Computing.

Genau wie die Informationstechnologie sich unentwegt weiterentwickelt, müssen die Prüfer mit dieser Innovation Schritt halten. Damit bleiben auch die betroffenen Kreditinstitute und ihre IT-Dienstleister weiter gefordert.

 

Weiterlesen

Cyber Security & IT-Governance

Thema vertiefen

IT Compliance-Management

Die Digitalisierung, der zunehmende Einsatz von Cloud-basierten Geschäftslösungen und die Vernetzung von Daten, Objekten und Systemen durch komplexe IT-Infrastrukturen und Geschäftsprozesse, eröffnen für die Finanzbranche enorme Chancen. Informationswerte werden immer stärker zur Grundlage der Wertschöpfung. Sie sind ein wesentlicher Bestandteil zur Erreichung der Unternehmensziele.

Zugleich birgt dieser technische Wandel aber auch unvorhersehbare Risiken und bietet Cyberkriminellen neue Angriffsflächen. Denn mit dem wachsenden Potenzial für die Finanzbranche nehmen auch die Möglichkeiten für Hacker zu: Sie professionalisieren ihre Angriffe, indem sie Werkzeuge und eine zunehmende Zahl potenzieller Angriffsvektoren weiterentwickeln. Deswegen führen gezielte Attacken mit Phishing zu höheren Erfolgsquoten für Angreifer und größeren Schadenssummen bei den Opfern.

Thema vertiefen

KPMG verwendet Cookies, die für die Funktionalität und das Nutzerverhalten auf der Website notwendig sind. Durch die Nutzung der Website stimmen Sie dem Einsatz von Cookies zu, wie sie in der Datenschutzerklärung von KPMG im Detail ausgeführt ist.

Schließen