Endlich: Die BaFin veröffentlichte am 3.11.2017 ein verbindliches Regelwerk über die bankaufsichtlichen Anforderungen an die IT (BAIT). Es konkretisiert das KWG sowie das erst kürzlich aktualisierte MaRisk-Rundschreiben und ist verbindlich. Ab sofort!
In dem 20-seitigen Schreiben nimmt die BaFin konkret Stellung zu Mindestanforderungen an die IT-Strategie und Governance, das Informationsrisiko- und Sicherheitsmanagement, Benutzerberechtigungsmanagement, Durchführung von IT-Projekten, IT-Betrieb inkl. Datensicherung und der Auslagerungen von IT-Dienstleistungen. BAIT ist nicht nur ein Ergebnis der Erfahrungen mit der Auslegung der Mindestanforderungen an das Risikomanagement (MaRisk) und dem Kreditwesengesetz (KWG), sondern zeugt auch von der fortgeschrittenen Digitalisierung im Bankenumfeld.
Unabhängige Funktion des Informationssicherheitsbeauftragten
Gleich zu Beginn stellt die BAIT-Richtlinie klar, dass die Verantwortung für die IT-Aufbau- und Ablauforganisation direkt bei der Geschäftsleitung liegt. Hierfür hat sie eine Informationssicherheitsleitlinie zu definieren. Zu ihrer Unterstützung und zur Vermeidung von Interessenskonflikten ist verbindlich, die organisatorisch und prozessual unabhängige Funktion eines Informationssicherheitsbeauftragten einzurichten.
Ein zentraler Aspekt im gesamten Regelwerk ist ein sicheres und nachvollziehbares IT-Management. So sind Benutzerberechtigungen nach konsistenten Prozessen und dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu vergeben. Funktionstrennungen sind zu wahren und Interessenskonflikte des Personals zu vermeiden. IT-Projekte und deren Auswirkungen sind im Vorfeld zu analysieren und Entwicklungen sind laufend mit der Geschäftsleitung abzustimmen. Das Verfahren zur Datensicherung (ohne Datenarchivierung) ist in einem entsprechenden Konzept festzuhalten.
Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
Dezidiert nennt die BaFin Anforderungen an den Fremdbezug (Auslagerung) von IT-Dienstleistungen. In einer Phase, in der es bei vielen Finanzdienstleistern üblich ist, bestimmte IT-Prozesse über Outsourcing zu betreiben, ist der Inhalt von besonderer Bedeutung. Eine aussagekräftigere Beschreibung ist also nur konsequent: IT-Dienstleistungen umfassen demnach alle Ausprägungen des Bezugs von IT, also die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung, über ein Netz bereitgestellte Dienste (Rechenleistung, Speicherplatz, Plattformen, Software) sowie Cloud-Dienstleistungen.
Mit der ergänzenden BAIT-Richtlinie bringt die Finanzaufsicht zu Papier, was sich in den letzten Jahren als Common Sense erwiesen hat. Das deckt sich zumindest mit unserer Erfahrung. Denn wir erleben häufig, dass ein Informationssicherheitsbeauftragter oder Chief Information Security Officer (CISO) daran beteiligt ist, wenn eine Lösung zum Schutz vertraulicher Informationen eingeführt wird. Auch fordern unsere Kunden im Bankenumfeld jährlich Bestätigungen und Nachweise von Brainloop als Cloud-Anbieter ein, die auf die MaRisk-Richtlinie zurückgehen.
Mit zertifizierten Anbietern zusammenarbeiten
Banken sollten auf jeden Fall auf Dienstleister und Cloud-Anbieter setzen, die über relevante Zertifizierungen verfügen. Wenn es um den Betrieb von Cloud-Lösungen geht, sind dies beispielsweise die ISO 27001 inkl. 27018 (Erweiterung zum Datenschutz) und die ISAE 3402 (zuvor SAS 70), mindestens Typ II. Darin werden Maßstäbe angelegt, der auch für die Institute Gradmesser ihrer technischen und organisatorischen Maßnahmen sind. Dadurch wird die Compliance mit bankaufsichtlichen Anforderungen sichergestellt.
Geschrieben von Carolin Becker