10.07.2017: Abschluss der Konsultationsphase zum Rundschreiben „Bankfachliche Anforderungen an die IT“ (BAIT) – ein kurzer Vergleich

Keyboard und Schloss

Bis zum 05. Mai 2017 stand das Rundschreiben „Bankfachliche Anforderungen an die IT“ (BAIT) zur Konsultation. Seit seiner Veröffentlichung durch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im März 2017 hatten Vertreter aus Kreditwirtschaft und Interessenverbänden die Möglichkeit, Stellung gegenüber der BaFin zum Entwurf zu beziehen.

Zur Erinnerung:

Alle von den regulatorischen Vorgaben betroffenen Institute haben übergeordnet dafür Sorge zu tragen, dass die Vertraulichkeit, Integrität, Verfügbarkeit, und Authentizität der im Hause verarbeiteten Informationen jederzeit sichergestellt ist. Ziel der BAIT ist es, die Erfüllung dieser Prämissen zu ermöglichen, indem sie dem Anwenderkreis auf Basis des § 25a Abs. 1 Kreditwesengesetz (KWG) einen definierten Handlungsrahmen vorgeben, innerhalb dessen die im Unternehmen eingesetzte IT risikoorientiert ausgestaltet werden kann. Da die BAIT die Vorgaben der Mindestanforderungen an das Risikomanagement (MaRisk) konkretisieren, sind sie immer in Verbindung mit diesen zu betrachten. Dem wird seitens des Regulators Rechnung getragen, dass jeder der BAIT-Themenbereiche die zugehörigen Textziffern der MaRisk einleitend referenziert. Zu den BAIT-Themenbereichen zählen:

  • IT-Strategie
  • IT-Governance
  • Informationsrisikomanagement
  • Informationssicherheitsmanagement
  • Benutzerberechtigungsmanagement
  • IT-Projekte & Anwendungsentwicklung
  • IT-Betrieb einschließlich Datensicherung
  • Auslagerungen und sonstiger Fremdbezug von
  • IT-Dienstleistungen

Stellungnahmen zum aktuellen BAIT-Entwurf

In der Konsultationsphase haben sich eine Reihe von Verbänden zu Wort gemeldet und ihre Stellungnahmen veröffentlicht. Dazu zählen unter anderem die Deutsche Kreditwirtschaft (DK), die kumuliert die Interessen der kreditwirtschaftlichen Spitzenverbände repräsentiert, die deutsche Börse Group, der GdW Bundesverband deutscher Wohnungs- und Immobilienunternehmen e.V. sowie der Bundesverband Informationswirtschaft, Telekommunikation und Neue Medien e.V. (bitkom).

Sie alle begrüßen die Absicht, die IT-spezifische Erwartungshaltung der Finanzaufsicht an die betroffenen Institute mit Hilfe der BAIT zu verdeutlichen. Da sie sich primär an die Geschäftsleitung richten, sind sie für nicht IT-Spezialisten entsprechend verständlich formuliert. Gleichwohl die BAIT in den Vorbemerkungen explizit die Wahrung des Proportionalitätsprinzips betonen, was ausdrücklich befürwortet wird, haben jedoch alle der oben genannten Verbände ihr Bedenken geäußert, dass im konkreten Anwendungsfall nicht ausreichend genug erläutert wird, welche Vorkehrungen seitens der Institute in Abhängigkeit von Größe, Art und Umfang ihres Geschäftsbetriebs getroffen werden können, um den Anforderungen gerecht zu werden. Darüber hinaus merken die Verbände der DK an, dass I. Tz. 2 BAIT im aktuellen Wortlaut fälschlicherweise nur „nach oben“ interpretiert werden könnte, wodurch sich die Umsetzung für kleinere Institute als schwierig, wenn nicht gar unmöglich erweist.

Gemäß II Tz. 19, 23 BAIT hat jedes Institut einen Informationssicherheitsbeauftragten zu benennen, der regelmäßig, jedoch mindestens quartalsweise, und anlassbezogen der Geschäftsleitung berichtet. Dieser Turnus wird sowohl von DK als auch GdW mit Blick auf kleinere Institute als viel zu hoch eingestuft. Beide Verbände plädieren dafür, die quartalsweise Berichterstattung durch eine jährliche zu ersetzen.

Ferner wird eine einheitliche, sowohl für BAIT als auch MaRisk geltende Terminologie und eine klare Abgrenzung der verwendeten Begrifflichkeiten voneinander gefordert, da sich aktuell nach Aussage der genannten Verbände Unklarheiten oder gar Widersprüche ergeben, die Spielraum für Fehlinterpretationen lassen. Während beispielsweise in den MaRisk in Bezug auf die Vergabe von IT-Berechtigungen vom „need-to-know“ Prinzip (AT 7.2 Tz. 2 MaRisk) die Rede ist, verwenden die BAIT im selben Zusammenhang das „Prinzip der minimalen Rechtevergabe“ (II. Tz. 25 BAIT).

Da zur Erfüllung der IT-spezifischen Vorgaben sowohl BAIT als auch MaRisk herangezogen werden müssen, letztere jedoch noch nicht in einer rechtskräftigen Fassung veröffentlicht sind, fordern die Verbände den Zeitpunkt des Inkrafttretens der BAIT genau zu definieren. Darüber hinaus sind angemessene Übergangsfristen festzulegen, da die BAIT weitreichende Anforderungen definieren, deren Umsetzung je nach Institut unterschiedlich hohen Aufwand bedeuten.

Abgesehen von den gemeinsamen Kritikpunkten haben einzelne Verbände Bedenken geäußert, die sie im Zusammenhang mit der Umsetzung für sich sehen. Diese unterstreichen erwartungsgemäß die Interessen und Besonderheiten der Unternehmen, die sich in diesen Verbänden organisieren. Beispielsweise beantragt der GdW explizit von den Regelungen der MaRisk und den BAIT ausgenommen zu werden. Dies begründet er damit, dass den ihm angehöhrenden Genossenschaften aufgrund ihres eingeschränkten bankwirtschaftlichen Erlaubnisbereiches mit dem CRD IV – Umsetzungsgesetz ein eigener Institutstyp (Wohnungsunternehmen mit Spareinrichtung – WumS) zugesprochen und dieser im KWG in einem eigenen Unterabschnitt verankert wurde. Der DK fordert, dass analog auch mit MaRisk und BAIT so vorgegangen und die organisatorischen Pflichten der WumS entsprechend ihrer Geschäftsstruktur in beiden Regularien konkretisiert werden sollte.

Mit Bezug auf II Tz. 19 BAIT schlägt die Deutsche Börse Group zusätzlich zur Benennung des Informationssicherheitsbeauftragten sogar die Aufnahme von Vorgaben in die BAIT zur Bildung eines Computer Emergency Response Teams (CERT) unter Wahrung des Proportionalitätsprinzips vor. Dieses Team soll anstelle des Informationssicherheitsbeauftragten als zentrale Anlaufstelle dienen, um Sicherheitsvorfälle zu melden, und erst dann an ihn Bericht erstatten, wenn sich ein materieller Schaden für das Institut ergibt. In diesem Zusammenhang schlägt der bitkom auch eine abgewandelte Definition des Begriffes Informationssicherheitsvorfall nach II Tz. 22 BAIT vor, die konkrete Beispiele liefert.

Inwieweit die zuvor genannten Forderungen und Änderungswünsche berücksichtigt werden, bleibt abzuwarten. Fakt ist: Der Regulierungsdruck wird sich im IT-Bereich durch die BAIT weiter intensivieren. Kreditinstitute sollten sich daher frühzeitig mit den neuen Anforderungen vertraut machen.

Impavidi unterstützt Ihr Institut bei der Identifikation möglicher Schwachstellen und begleitet Sie sowohl bei der Implementierung BAIT-konformer Prozesse als auch beim Aufbau der notwendigen Dokumentation.


 

Zurück