Neues BAIT-Regelwerk: BaFin nimmt auch IT-Dienstleister in die Pflicht

Die Ansage des Finanzministeriums ist unmissverständlich. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) werde mit erweiterten hoheitlichen Befugnissen gegenüber Dritten ausgestattet, heißt es im Rahmen des Aktionsplans „Stärkung Bilanzkontrolle“ aus dem Herbst 2020.

Konkret heißt das, dass die Aufsicht deutlich mehr Bedeutung außerhalb des Finanzdienstleistungssektors erhält. „Die BaFin wird unmittelbare Eingriffsbefugnisse gegenüber Unternehmen erhalten, auf die wesentliche Bankfunktionen ausgelagert werden“, lässt das Finanzministerium verlauten. Die weit verbreitete Praxis des Outsourcings führe oft zu schwer feststellbaren Risiken. Sie sollen künftig besser von der BaFin identifiziert und kontrolliert werden können.

IT-Dienstleister rücken in den Fokus

Auf die neuen „Bankaufsichtlichen Anforderungen an die IT“ (BAIT), die die BaFin im Oktober 2020 zur Konsultation veröffentlicht hat, müssen sich entsprechend nicht nur Kreditinstitute vorbereiten. Auch ihre IT-Dienstleister sind gefragt, sich mit den neuen Regeln auseinander zu setzen.

Die Verwaltungsanweisungen, erstmals erschienen im November 2017, konkretisieren die Mindestanforderungen für das Risikomanagement (MaRisk) im Bereich der Informationstechnologie in den Banken. Eine Ergänzung erfolgte 2018 mit dem Modul KRITIS, die aktuelle Überarbeitung ist die erste umfassende Anpassung der BAIT. Sie wird voraussichtlich in der ersten Jahreshälfte 2021 ohne Übergangsfrist zur Anwendung kommen. Betroffenen Unternehmen ist daher eine zeitnahe Vorbereitung empfohlen.

Neue Aufsichtsthemen sowie Erweiterung der bestehenden

Verstärkt setzen die Aufseher mit den überarbeiteten BAIT unter anderem auf operative IT-Sicherheit, sowohl innerhalb von Systemen als auch an Schnittstellen, etwa beim Virenschutz oder bei Firewalls. Neue Regeln gelten für das IT-Notfallmanagement, dabei werden vermehrt auch die ausgelagerten Dienstleistungen in den Fokus rücken. Bei der Nutzung von Zahlungsdiensten spielen die PSD-2-Regeln und eine sichere Authentifizierung von Kunden eine wichtigere Rolle. Hinzu kommen Neuerungen in den Bereichen Informationsrisiko- und -sicherheitsmanagement. Die Anforderungen an Transparenz und Dokumentation werden noch einmal ausgebaut.

Die Umsetzung der neu hinzugekommenen und der erweiterten bankaufsichtlichen Anforderungen sorgt bei den betroffenen Unternehmen für erheblichen Aufwand. Neue Organisationseinheiten müssen etabliert, Prozesse und Reports verstetigt, Kontrollmechanismen eingeführt, Schnittstellen definiert werden.

Kreditinstitute als Vorreiter

Den Banken kommt dabei in der aufsichtsrechtlichen Behandlung eine Vorreiterfunktion zu. Auf die erste BAIT-Version folgten analoge Regelwerke für Versicherungen (VAIT, 2018) und für Asset Manager (KAIT, 2019). Die BAIT-Neuerungen können somit von Versicherern und Asset Managern bereits zur Vorbereitung auf anstehende Änderungen in ihren Bereichen verwendet werden.

Anpassung an Prüfungspraxis

Aus heiterem Himmel kommen die Änderungen der BAIT nicht. In der Praxis haben die BaFin-Prüfer in den vergangenen 18 Monaten bereits verstärkt ein Augenmerk auf die jetzt auch in der Richtlinie formulierten Aspekte gelegt. Auch künftig wird die BAIT an ein sich veränderndes Umfeld angepasst werden müssen. Denn durch technische Innovationen oder veränderte Geschäftsabläufe entwickeln sich neue Risiken. Die Prüfungspraxis der Aufsicht legt zunehmend einen Fokus auf diese Bereiche, bevor sie schließlich in den Regularien festgeschrieben werden.

Beispielsweise sind IT-Dienstleister auch in den vergangenen Jahren ins Visier der BaFin gerückt. Bei einigen dieser Unternehmen hat die Aufsicht bereits gezielte Prüfungen durchgeführt, um Mängel zu identifizieren und das Risikobewusstsein für die ordnungsgemäße Umsetzung der regulatorischen Anforderungen zu erhöhen.

Blick auf europäische Regulierung

Sinnvoll ist es für alle Betroffenen, auch die sogenannten ICT-Guidelines der Europäischen Bankenaufsicht EBA im Blick zu halten. Konkret kommen sie bisher zwar lediglich bei den „bedeutenden Kreditinstituten“ zum Tragen, die sich durch die Größe ihrer Bilanzsumme definieren. Doch die BAIT gleichen sich Schritt für Schritt regelmäßig dem europäischen Regelwerk für die größten Institute an.

Schließlich zeichnet sich schon ab, dass die Anpassungen nicht die letzten bleiben werden. Die extrem gewachsene Bedeutung des Homeoffice während der Covid-19-Pandemie mit den daraus resultierenden Schnittstellen ist nur ein beispielhaftes Thema, dem die BaFin-Prüfer derzeit verstärkt Aufmerksamkeit widmen. Ein unrechtmäßiger Download von Daten aus dem heimischen Büro kann dabei genauso zum Sicherheitsproblem werden wie die Grenzen der Netzwerkkapazität bei deutlich mehr VPN-Verbindungen. Weitere aufsichtliche Schwerpunkte der jüngsten Vergangenheit sind Datenverlust, Netzwerksegmentierung und Cloud-Computing.

Genau wie die Informationstechnologie sich unentwegt weiterentwickelt, müssen die Prüfer mit dieser Innovation Schritt halten. Damit bleiben auch die betroffenen Kreditinstitute und ihre IT-Dienstleister weiter gefordert.