BaFin

IT-Sicherheit: Aufsicht konkretisiert Anforderungen an die Kreditwirtschaft

Datum: 15.01.2018

Anfang November veröffentlichte die BaFin die Bankaufsichtlichen Anforderungen an die IT (BAIT, siehe BaFinJournal November 2017). Die BAIT sind nunmehr der zentrale Baustein der IT-Aufsicht für alle Kredit- und Finanzdienstleistungsinstitute in Deutschland. Sie richten sich an die Geschäftsleitungen der Unternehmen.

Auf dieser Seite:

Ziel der BAIT ist es, einen verständlichen und flexiblen Rahmen für das Management der IT-Ressourcen, des Informationsrisikos und der Informationssicherheit zu schaffen. Sie sollen auch dazu beitragen, das unternehmensweite IT-Risikobewusstsein in den Instituten und gegenüber den Auslagerungsunternehmen zu erhöhen. Auch die Erwartungen der Bankenaufsicht an die Institute in Bezug auf die Steuerung und Überwachung des IT-Betriebs – einschließlich des hierfür notwendigen Berechtigungsmanagements, der Anforderungen an das IT-Projektmanagement und die Anwendungsentwicklung – ist nunmehr transparent. Die BAIT adressieren insgesamt die Themenbereiche, die die Aufsicht aufgrund der Ergebnisse der IT-Prüfungspraxis als besonders wichtig einstuft.

Interpretation der Aufsichtsnormen

Die BAIT interpretieren – ebenso wie die Ende Oktober aktualisierten Mindestanforderungen an das Risikomanagement der Banken (MaRisk, siehe BaFinJournal November 2017) – die gesetzlichen Anforderungen des § 25a Absatz 1 Satz 3 Nummern 4 und 5 Kreditwesengesetz (KWG). Sie konkretisieren, was die Aufsicht unter einer angemessenen technisch-organisatorischen Ausstattung der IT-Systeme, unter besonderer Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts, versteht.

Da die Institute immer mehr IT-Services von Dritten beziehen, sowohl durch Auslagerungen von IT-Dienstleistungen als auch durch den sonstigen Fremdbezug, beziehen die BAIT auch den § 25b KWG in diese Interpretation ein. Durch den Verweis auf dezidierte Textziffern in den MaRisk wird der Bezug zu den allgemeinen bankaufsichtlichen Anforderungen an das Risikomanagement sichergestellt. Die BAIT adressieren insbesondere Themen, bei denen die Aufsicht bei IT-Prüfungen der vergangenen Jahre wesentliche Mängel identifiziert hat (siehe Grafik 1: Identifizierte IT-Mängel).

Grafik 1: Identifizierte IT-Mängel

Identifizierte IT-Mängel Abbildung: Identifizierte IT-Mängel; © BaFin Identifizierte IT-Mängel

Die BAIT sollen den Instituten dabei helfen, in Bezug auf die IT eine ordnungsgemäße Geschäftsorganisation sicherzustellen. Die prinzipienorientierten Anforderungen der BAIT sind jedoch nicht als vollständiger Anforderungskatalog anzusehen. Insoweit bleiben die Banken gemäß AT 7.2 MaRisk in der Pflicht, bei der Umsetzung der BAIT-Anforderungen auf gängige Standards abzustellen.

Darüber hinaus ist es evidentes Wesensmerkmal der BAIT, dass der Grundsatz der doppelten Proportionalität uneingeschränkt gilt. Dieser besagt, dass sowohl die Steuerungsinstrumente einer Bank als auch die Intensität der Überwachung durch die Bankenaufsicht proportional zu den Risiken der Bank sein sollen.

IT-Risikobewusstsein schärfen

Ein zentrales Ziel der BAIT ist, das IT-Risikobewusstsein in den Instituten und insbesondere in den Führungsebenen zu schärfen. Unter dem Begriff IT-Risiko versteht die Aufsicht alle Risiken für die Vermögens- und Ertragslage der Institute, die aufgrund von Mängeln entstehen, die das IT-Management beziehungsweise die IT-Steuerung, die Verfügbarkeit, Vertraulichkeit, Integrität und Authentizität der Daten, das interne Kontrollsystem der IT-Organisation, die IT-Strategie, -Leitlinien und -Aspekte der Geschäftsordnung oder den Einsatz von Informationstechnologie betreffen (siehe dazu auch BaFinJournal November 2013).

Das Erfordernis der Schaffung von Risikotransparenz und der Auseinandersetzung mit dem IT-Risiko auf allen Ebenen des Instituts zieht sich durch alle acht Themenmodule der BAIT und ist integraler Bestandteil der einzelnen IT-Anforderungen (siehe Grafik 2: Schärfung des IT-Risikobewusstseins durch die BAIT).

Grafik 2: Schärfung des IT-Risikobewusstseins durch die BAIT

Schärfung des IT-Risikobewusstseins durch die BAIT Abbildung: Schärfung des IT-Risikobewusstseins durch die BAIT; © BaFin Schärfung des IT-Risikobewusstseins durch die BAIT

IT-Strategie

In Bezug auf die IT-Strategie steht die Anforderung im Vordergrund, dass sich die Geschäftsleitung mit den strategischen Implikationen der verschiedenen Aspekte der IT für die Geschäftsstrategie regelmäßig auseinandersetzt. Hierzu gehören neben der Aufbau- und Ablauforganisation der IT und der Auslagerung von IT-Dienstleistungen auch beispielsweise der strategische Umgang mit der individuellen Datenverarbeitung (IDV) in den Fachbereichen.

Durch die Festlegung der IT-Strategie sowie durch daraus abgeleitete Maßnahmen zur Erreichung der Strategieziele, die institutsintern zu veröffentlichen sind, wird auch Klarheit über die Bedeutung der IT für die Durchführung der Bankgeschäfte geschaffen, die für das IT-Risikobewusstsein notwendig ist.

IT-Governance

Die Geschäftsleitung ist dafür verantwortlich, dass die Regelungen zur IT-Governance institutsintern und gegenüber Dritten wirksam umgesetzt werden. Sie hat auch dafür Sorge zu tragen, dass insbesondere das Informationsrisiko und das Informationssicherheitsmanagement, der IT-Betrieb und die Anwendungsentwicklung angemessen mit Personal ausgestattet sind.

Dies ist aus Sicht der Aufsicht wichtig, damit das Risiko einer qualitativen oder quantitativen Unterausstattung dieser Bereiche frühzeitig erkannt und möglichst umgehend behoben werden kann. Aus demselben Grund enthalten die BAIT die Anforderung, unvereinbare Tätigkeiten innerhalb der IT-Aufbau- und -Ablauforganisation zu vermeiden.

Informationsrisikomanagement

Das Institut hat im Rahmen des Managements der Informationsrisiken den jeweiligen Schutzbedarf zu ermitteln, auf dieser Grundlage Sollmaßnahmen festzulegen und diese mit den wirksam umgesetzten Maßnahmen zu vergleichen. Die daraus abgeleitete Transparenz der Risikosituation und die Akzeptanz des ermittelten Restrisikos durch die Geschäftsleitung ist die zentrale Anforderung zur Schärfung des IT-Risikobewusstseins im Institut und gegenüber IT-Dienstleistern.

Informationssicherheitsmanagement

Unter Berücksichtigung der festgestellten Risikosituation ist die Geschäftsleitung dafür verantwortlich, eine Informationssicherheitsleitlinie zu beschließen und intern zu veröffentlichen. Die im Rahmen des Informationsrisikomanagements definierten Schutzbedarfe sind durch Informationssicherheitsrichtlinien zu konkretisieren.

Der Informationssicherheitsbeauftragte ist darüber hinaus das zentrale Element für die Einhaltung und Überwachung der Informationssicherheit innerhalb des Instituts und gegenüber Dritten. Diese Funktion ist organisatorisch und prozessual unabhängig auszugestalten, so dass die Bewertung der Informationssicherheit frei von Interessenkonflikten erfolgen kann. Dies stärkt auch das IT-Risikobewusstsein der Geschäftsleitung und aller Beschäftigten im Institut.

Benutzerberechtigungsmanagement

Im Rahmen des Berechtigungsmanagements ist das Berechtigungskonzept schriftlich festzulegen und dabei das sogenannte Need-to-Know-Prinzip anzuwenden. Das Need-to-Know-Prinzip besagt, dass nur die Berechtigungen einzurichten sind, die für die Erfüllung einer konkreten Aufgabe benötigt werden. Dies trägt ebenfalls zur Verbesserung des IT-Risikobewusstseins bei.

Das gilt auch für den Rezertifizierungsprozess, in dem die eingeräumten Berechtigungen überprüft und damit auch Abweichungen vom Need-to-know-Prinzip aufgedeckt werden.

IT-Projekte und Anwendungsentwicklung

Bei der Steuerung und Überwachung von IT-Projekten sind insbesondere die Risiken im Hinblick auf die Dauer, den Ressourcenverbrauch und die Qualität zu berücksichtigen. Die Geschäftsleitung hat dafür Sorge zu tragen, dass eine Gesamtübersicht der IT-Projektrisiken und der Risiken erstellt wird, die sich aus den Abhängigkeiten verschiedener Projekte untereinander ergeben.

Bereits bei der Entwicklung von Anwendungen sind Vorkehrungen zu treffen, die die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der in diesem Programm zu verarbeitenden Daten sicherstellen. Diese Vorgaben dienen dazu, das Risiko einer versehentlichen Änderung oder einer absichtlichen Manipulation der Anwendung zu reduzieren.

Aus Sicht der BaFin ist es sinnvoll, IDV-Anwendungen, die die Fachbereiche entwickeln beziehungsweise betreiben, in Risikoklassen einzuteilen. Dies schafft institutsintern Transparenz über die Risiken, die aus dem Umgang mit diesen Anwendungen resultieren. Darüber hinaus erwartet die Aufsicht, dass das Institut alle IDV-Anwendungen, die insbesondere für bankgeschäftliche Prozesse, für die Risikosteuerung und -überwachung oder für Zwecke der Rechnungslegung Bedeutung haben, in einem zentralen Register führt.

IT-Betrieb

Die Berücksichtigung der Risiken, die aus veralteten IT-Systemen resultieren, trägt ebenfalls wesentlich zur Stärkung des IT-Risikobewusstseins bei. Möglich ist ein solches Produktlebenszyklus-Management jedoch nur, wenn die Komponenten der IT-Systeme inklusive der Bestandsangaben entsprechend verwaltet werden. Hierfür sollten die Institute grundsätzlich eine sogenannte Configuration Management Database (CMDB) nutzen.

Es sind geeignete Kriterien für die Information der Geschäftsleitung über ungeplante Abweichungen vom Regelbetrieb (Störungen), deren Ursachen, über die eingesetzten Notfallmaßnahmen zur Aufrechterhaltung beziehungsweise Wiederherstellung des Geschäftsbetriebs und über die Beseitigung der Mängel festzulegen. Dies ermöglicht es ihr, das IT-Risiko angemessen zu steuern.

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Auslagerungen von IT-Dienstleistungen haben die Anforderungen nach AT 9 der MaRisk zu erfüllen und sind per Risikoanalyse zu bewerten. Die Risiken aus dem sonstigen Fremdbezug von IT-Dienstleistungen sind ebenfalls zu bewerten, denn nur so können die vollständige Risikosituation ermittelt beziehungsweise Konzentrationsrisiken bei den IT-Dienstleistungen erkannt werden. Des Weiteren fließen die aus der Risikoanalyse abgeleiteten Maßnahmen in die Gestaltung der Verträge mit ein.

Hinweis:Keine Umsetzungsfrist

Da die BAIT keine neuen Anforderungen an die Institute beziehungsweise ihre IT-Dienstleister enthalten, sondern lediglich bereits bestehende Anforderungen erläutern oder konkretisieren, sind keine Umsetzungsfristen vorgesehen.

Weiterentwicklung der BAIT

Die modulare Struktur der BAIT gibt der Aufsicht die notwendige Flexibilität für Anpassungen oder Ergänzungen des Gesamtwerks, wenn dies künftig aufgrund neuer internationaler oder nationaler Anforderungen erforderlich werden sollte. Derzeit prüft sie beispielsweise, ob die wesentlichen Elemente der Cybersicherheit, die die G-7–Staaten im Oktober 2016 veröffentlichten, durch Anpassungen der BAIT umgesetzt werden können.

Des Weiteren wird die BaFin – in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) – gegebenenfalls ein spezielles Modul für Betreiber Kritischer Infrastrukturen im Sinne des § 2 Absatz 10 BSI-Gesetz (Kritis-Betreiber, siehe dazu auch BaFinJournal August 2017) in die BAIT aufnehmen. Dieses soll die Anforderungen beinhalten, die notwendig sind, um den Vorgaben des BSI-Gesetzes nachzukommen.

Die Ergänzung der BAIT um das Thema IT-Notfallmanagement inklusive Test- und Wiederherstellungsverfahren ist ebenfalls in Planung.

Die BaFin wird die BAIT demnächst auch in englischer Sprache veröffentlichen. Im Zuge der geplanten europaweiten Harmonisierung der bankaufsichtlichen Anforderungen an das Management von IT-Risiken wird sie die BAIT aktiv in den Diskussionsprozess einbringen.

Autoren

Renate Essler
Dr. Jens Gampe
BaFin-Referat für IT-Sicherheit bei Banken

Hinweis

Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback