Endlich: Die BaFin veröffentlichte am 3.11.2017 ein verbindliches Regelwerk über die bankaufsichtlichen Anforderungen an die IT (BAIT). Es konkretisiert das KWG sowie das erst kürzlich aktualisierte MaRisk-Rundschreiben und ist verbindlich. Ab sofort!

In dem 20-seitigen Schreiben nimmt die BaFin konkret Stellung zu Mindestanforderungen an die IT-Strategie und Governance, das Informationsrisiko- und Sicherheitsmanagement, Benutzerberechtigungsmanagement, Durchführung von IT-Projekten, IT-Betrieb inkl. Datensicherung und der Auslagerungen von IT-Dienstleistungen. BAIT ist nicht nur ein Ergebnis der Erfahrungen mit der Auslegung der Mindestanforderungen an das Risikomanagement (MaRisk) und dem Kreditwesengesetz (KWG), sondern zeugt auch von der fortgeschrittenen Digitalisierung im Bankenumfeld.

Unabhängige Funktion des Informationssicherheitsbeauftragten

Gleich zu Beginn stellt die BAIT-Richtlinie klar, dass die Verantwortung für die IT-Aufbau- und Ablauforganisation direkt bei der Geschäftsleitung liegt. Hierfür hat sie eine Informationssicherheitsleitlinie zu definieren. Zu ihrer Unterstützung und zur Vermeidung von Interessenskonflikten ist verbindlich, die organisatorisch und prozessual unabhängige Funktion eines Informationssicherheitsbeauftragten einzurichten.

Ein zentraler Aspekt im gesamten Regelwerk ist ein sicheres und nachvollziehbares IT-Management. So sind Benutzerberechtigungen nach konsistenten Prozessen und dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) zu vergeben. Funktionstrennungen sind zu wahren und Interessenskonflikte des Personals zu vermeiden. IT-Projekte und deren Auswirkungen sind im Vorfeld zu analysieren und Entwicklungen sind laufend mit der Geschäftsleitung abzustimmen. Das Verfahren zur Datensicherung (ohne Datenarchivierung) ist in einem entsprechenden Konzept festzuhalten.

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Dezidiert nennt die BaFin Anforderungen an den Fremdbezug (Auslagerung) von IT-Dienstleistungen. In einer Phase, in der es bei vielen Finanzdienstleistern üblich ist, bestimmte IT-Prozesse über Outsourcing zu betreiben, ist der Inhalt von besonderer Bedeutung. Eine aussagekräftigere Beschreibung ist also nur konsequent: IT-Dienstleistungen umfassen demnach alle Ausprägungen des Bezugs von IT, also die Bereitstellung von IT-Systemen, Projekte/Gewerke oder Personalgestellung, über ein Netz bereitgestellte Dienste (Rechenleistung, Speicherplatz, Plattformen, Software) sowie Cloud-Dienstleistungen.

Mit der ergänzenden BAIT-Richtlinie bringt die Finanzaufsicht zu Papier, was sich in den letzten Jahren als Common Sense erwiesen hat. Das deckt sich zumindest mit unserer Erfahrung. Denn wir erleben häufig, dass ein Informationssicherheitsbeauftragter oder Chief Information Security Officer (CISO) daran beteiligt ist, wenn eine Lösung zum Schutz vertraulicher Informationen eingeführt wird. Auch fordern unsere Kunden im Bankenumfeld jährlich Bestätigungen und Nachweise von Brainloop als Cloud-Anbieter ein, die auf die MaRisk-Richtlinie zurückgehen.

Mit zertifizierten Anbietern zusammenarbeiten

Banken sollten auf jeden Fall auf Dienstleister und Cloud-Anbieter setzen, die über relevante Zertifizierungen verfügen. Wenn es um den Betrieb von Cloud-Lösungen geht, sind dies beispielsweise die ISO 27001 inkl. 27018 (Erweiterung zum Datenschutz) und die ISAE 3402 (zuvor SAS 70), mindestens Typ II. Darin werden Maßstäbe angelegt, der auch für die Institute Gradmesser ihrer technischen und organisatorischen Maßnahmen sind. Dadurch wird die Compliance mit bankaufsichtlichen Anforderungen sichergestellt.


Compliance


This could also be of interest:

FINMA setzt bei Outsourcing auf mehr Selbstverantwortung

Ab dem 1. April 2018 gelten in der Schweiz für alle Banken, Effektenhändler und Versicherungen neue aufsichtsrechtliche Anforderungen beim Umgang mit der Auslagerung von Dienstleistungen.…

Brainloop erfüllt neueste Finma-Anforderungen

Die Finma überwacht als Schweizerische Finanzmarktaufsicht alle im Finanzmarkt tätigen Anbieter. Bis zuletzt war Brainloop hier erfolgreich nach den Finma-Anforderungen aus dem Jahr 2008 geprüft.…

Informationssicherheit oder, wenn die interne Revision auf brisante Infos stößt

In der Theorie ist es einfach: Unternehmen müssen sich – wie grundsätzlich jeder Einzelne von uns auch – bei ihren Geschäftsprozessen an Gesetze halten und…

Newsletter

Niederlassungen

Brainloop Aktiengesellschaft
Mühldorfstraße 8a
81671 München
Germany
+49 (0) 89 444 699 0