26.11.2020: Neue BAIT verschärft IT-Sicherheitsanforderungen.

Keyboard und Schloss

Cybersicherheit ist eine zentrale Anforderung an die IT der Kreditinstitute. Um sich vor Cyberangriffen schützen zu können, ist ein sicherer IT-Betrieb zur Gewährleistung eines kontinuierlichen Geschäftsbetriebs von grundlegender Bedeutung. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und die Deutsche Bundesbank haben ihr Rundschreiben zu den Bankaufsichtlichen Anforderungen an die IT (BAIT) auf den Prüfstand gestellt, inwieweit Handlungsbedarf infolge der im November 2019 veröffentlichten Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) besteht. (Näheres zu den IKT-Leitlinien erfahren Sie in unserem Beitrag „IKT-Risiken rücken in den Fokus der Aufsicht.“ vom 07.02.2020) Man ist zu dem Schluss gekommen, dass weitreichende Ergänzungen bei den bestehenden Themen sowie Neuerungen der BAIT notwendig sind, um den aktuellen Risiken der Kreditinstitute im Zusammenhang mit der Informationsverarbeitung gerecht zu werden. Am 26.10.2020, parallel zur Konsultation der Mindestanforderungen für das Risikomanagement (MaRisk) (wir berichteten), wurde die Konsultationsphase zu den BAIT eröffnet. Stellungnahmen konnten bis zum 23.11.2020 eingereicht werden.

Mit den vorgenommenen Anpassungen der BAIT wird insbesondere das Ziel verfolgt, die operative Informationssicherheit zu stärken und das IT-Notfallmanagement zu verbessern. Dabei zeichnet sich ein höherer Detaillierungsgrad bei den neuen Anforderungen im Vergleich zu den bisherigen ab.

Die folgenden drei Kapitel sind neu hinzugekommen, auf die sich der Beitrag hauptsächlich beziehen wird:

Operative Informationssicherheit (Kapitel 5)

In diesem Kapitel werden die wesentlichen Elemente der operativen Informationssicherheit definiert. Mit dessen Hilfe sollen die Anforderungen des im Kapitel 4 der BAIT aufgeführten Informationssicherheitsmanagements umgesetzt werden. Institute müssen:

  • angemessene Überwachungs- und Steuerungsprozesse für IT-Risiken implementieren,

  • IT-Risikokriterien bestimmen, IT-Risiken identifizieren, Schutzbedarfe ermitteln sowie entsprechende Maßnahmen zur Risikobehandlung und -senkung festlegen,

  • Maßnahmen basierend auf der eigenen Informationssicherheitsleitlinie und -richtlinien ableiten und Prozesse etablieren,

  • die Gefährdungen des Informationsverbundes anhand der Auswertung sicherheitsrelevanter Informationen frühzeitig erkennen,

  • Regeln zur Identifizierung sicherheitsrelevanter Ereignisse definieren,

  • die Sicherheit der IT-Systeme sowohl regelmäßig als auch anlassbezogen überprüfen.

Mit der zuvor genannten Auswertung sicherheitsrelevanter Informationen ist die Analyse enormer Datenmengen unter Einsatz dafür geeigneter Verfahren verbunden. Diese Tatsache macht den Einsatz automatisierter IT-Systeme nahezu unumgänglich. Auch darauf wird im Konsultationsentwurf hingewiesen.

IT-Notfallmanagement (Kapitel 10)

Es werden die Anforderungen des AT 7.3 der MaRisk konkretisieret. Die Kreditinstitute haben:

  • Ziele zum Notfallmanagement zu definieren und einen davon abgeleiteten Notfallmanagementprozess aufzustellen. Die Ziele und Rahmenbedingungen des IT-Notfallmanagements werden davon abgeleitet.

  • ein Notfallkonzept mit Geschäftsfortführungs- und Wiederherstellungsplänen zu erstellen,

  • bei Auslagerung von zeitkritischen Aktivitäten und Prozessen ihr Notfallkonzept mit dem Notfallkonzept des Auslagerungsunternehmens aufeinander abzustimmen,

  • die Angemessenheit und Wirksamkeit des Notfallkonzeptes regelmäßig zu überprüfen,

  • Notfallszenarien für zeitkritische Aktivitäten und Prozesse zu berücksichtigen

  • auf Basis des Notfallkonzepts für alle IT-Systeme, die zeitkritische Aktivitäten und Prozesse unterstützen, IT-Notfallpläne zu erstellen. Diese umfassen Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne, festgelegte Parameter (z.B. Recovery Time) und Abhängigkeiten (z.B. notwendige Ressourcen).

  • die Wirksamkeit der IT-Notfallpläne mindestens jährlich mithilfe von IT-Notfalltests zu prüfen,

  • IT-Testkonzept zu erstellen, um Abhängigkeiten zwischen IT-System angemessen berücksichtigen zu können.

  • nachzuweisen, dass auch bei einem Ausfall eines Rechenzentrums zeitkritische Aktivitäten erbracht werden können.

Kundenbeziehungen mit Zahlungsdienstnutzern (Kapitel 11)

Diese neuen Anforderungen richten sich an Zahlungsdienstleister im Sinne des § 1 Abs. 1 Satz 2 ZAG. Die Inhalte des Kapitels werden in einem separaten Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT“ (ZAIT) zur Konsultation gestellt und zu einem späteren Zeitpunkt in die BAIT aufgenommen.

Weitere relevante Änderungen

Im Bereich des Informationsrisikomanagements (Kapitel 3) wurden vereinzelte Anpassungen vorgenommen. So muss das Informationsrisikomanagement den durch den Eigentümer der Information ermittelten Schutzbedarf und dessen Dokumentation kontrollieren. Institute sind zukünftig dazu angehalten sich regelmäßig über Bedrohungen ihrer Informationsverbünde zu informieren und sofern betroffen Maßnahmen zu ergreifen, um auf die neue Bedrohungslage zu reagieren.

Hinsichtlich des Informationssicherheitsmanagements (Kapitel 4) ist neu hinzukommen, dass Institute eine Richtlinie zum Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit vorhalten müssen. Ferner soll ein zu etablierendes Sensibilisierungs- und Schulungsprogramm die Einhaltung der Vorgaben des Informationssicherheitsmanagements gewährleisten. Beides muss dabei einer ständigen Prüfung unterzogen werden.

Beim IT-Betrieb (Kapitel 8) sind die Institute nun aufgefordert, den aktuellen Leistungs- und Kapazitätsbedarf der IT-Systeme zu erheben, den zukünftigen Leistungs- und Kapazitätsbedarf abzuschätzen sowie die Leistungserbringung zu planen und zu überwachen, um Engpässe frühzeitig erkennen und ihnen gegensteuern zu können.

Nächste Schritte

Die neu geschaffenen Themenbereiche erzeugen einen sehr hohen Dokumentations- und Umsetzungsaufwand bei den Instituten. Um den genannten Anforderungen zu genügen müssen neue Prozesse geschaffen und in die bestehende Prozesslandkarte integriert werden, zusätzliche Meldeberichte geschaffen sowie neue Kontrollmechanismen eingeführt und Schnittstellen implementiert werden.

Wir empfehlen, eine zielgerichtete GAP-Analyse zu den Neuerungen der BAIT im Unternehmen durchzuführen, um Lücken aufdecken, erforderliche Maßnahmen ableiten und den benötigten Ressourcenaufwand ermitteln zu können. Mit unseren weitreichenden Erfahrungen aus regulatorischen Projekten können wir Sie bei der Umsetzung der neuen BAIT-Anforderungen unterstützen.

 

Quelle: BaFin


 

Ansprechpartner

Natalie Wolf
Consulant

Kontakt


 

Zurück