Newsletter

Donnerstag,

Die BaFin macht IT-Sicherheit zur Chefsache

Die Bonner Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) formuliert ihre klare Erwartungshaltung an die IT-Sicherheit von Kreditinstituten. Sie fordert damit von Finanzdienstleistern umfassende Maßnahmen zur IT-Sicherheit. Die Bankaufsichtlichen Anforderungen an die IT (BAIT) sind schon in Kraft. Die Konsultationsphase für ein entsprechendes Papier für die Versicherungsbranche ist bereits angekündigt.


Die BaFin ist fleißig.

 

Nach den bereits recht spezifisch formulierten Mindestanforderungen an das Risikomanagement von Banken (MaRisk) bzw. Mindestanforderungen an die Geschäftsorganisationen von Versicherern (MaGo), hat die BaFin mit den BAIT nochmals einen deutlichen Schritt in die Detaillierung von Anforderungen an die Informationstechnologie der Banken gemacht. Es ist zu erwarten, dass sehr bald Versicherungsaufsichtliche Anforderungen an die IT (VAIT) mit sehr ähnlichem Wortlaut in Bonn veröffentlicht werden. Die Konsultationsphase hierzu ist bereits angekündigt. Dies unterstreicht die Sichtweise der Aufsicht, dass im Umgang mit Informationen und deren elektronischer Verarbeitung besondere Risiken stecken, welche beide Finanzdienstleistungsbranchen durch entsprechende Maßnahmen beherrschbarer machen müssen.

 

Die Aufsicht stellt daher an die Finanzdienstleister bezüglich des Umgangs mit ihren bekanntlich hochsensiblen Informationen hohe Anforderungen:

 

siehe Abb. 1

 

IT-Strategie

In einer IT-Strategie sollen Ziele und der Weg zu deren Erreichung formuliert werden. Es muss ein Prozess zur Erstellung der IT-Strategie dokumentiert sein. Mindestinhalte der IT-Strategie sind u.a. die Entwicklung der IT-Aufbau- und Ablauforganisation sowie der IT-Auslagerungen, die Zuordnung von IT-Standards und die Einbindung der Informationssicherheit. Des Weiteren müssen die IT-Architektur, Aussagen zum Notfallmanagement und zu den selbstentwickelten IT-Systemen in der IT-Strategie formuliert sein.

 

IT Governance

Die IT-Governance muss eine zeitnahe Anpassung der IT-Prozesse gewährleisten und für eine angemessene Personalausstattung sorgen. Für den Abbau von Interessenskonflikten schreibt die BAIT eine organisatorische Trennung von IT-Entwicklung und IT-Betrieb bis auf Bereichsebene vor. Für die Steuerung der IT muss die Geschäftsleitung qualitative und quantitative Kriterien formulieren, die entsprechend überwacht werden.

 

Informationsrisikomanagement

Das System des Managements von Informationsrisiken muss organisatorisch definiert und verankert sein. Hinzu kommt die Anforderung eines permanent aktuellen Überblicks über den Informationsverbund, der aus zusammengehörigen Informationen, Prozessen, IT-Systemen sowie Netz- und Gebäudestrukturen besteht. Für den Informationsverbund sind Schutzbedarfe zu ermitteln, zu dokumentieren (Sollmaßnahmenkatalog) und sicherzustellen. Auf Basis dieser Strukturen ist eine durchgehende Risikobetrachtung und -bewertung mit der Ableitung risikoreduzierender Maßnahmen durchzuführen und ebenfalls entsprechend zu dokumentieren.

 

Informationssicherheitsmanagement

Für die Durchführung des Informationssicherheitsmanagements ist in erster Linie ein explizit zu bestellender Informationssicherheitsbeauftragter verantwortlich. Er sorgt für die Aufsetzung und Durchführung des Informationsmanagementprozesses und gestaltet im Einklang mit den zugehörigen Strategien die Informationssicherheitsleitlinie, die vom Gesamtvorstand beschlossen werden muss. Weiterhin koordiniert er die aus der Informationssicherheitsleitlinie zu entwickelnden Informationssicherheitsrichtlinien für diverse informationstechnologische Bereiche, welche auf dem aktuellen Stand der Technik gehalten werden müssen. Grundsätzlich lässt sich die Funktion des Informationssicherheitsbeauftragten nicht outsourcen.

 

siehe Abb. 2

 

Benutzerberechtigungsmanagement

Das Benutzerberechtigungsmanagement fußt auf einem Benutzerberechtigungskonzept, welches nach dem Need-to-know-Prinzip zu erstellen ist und nur die Rechte einräumt, die tatsächlich seitens der User zur Aufgabenerfüllung benötigt werden. Der Prozess zum Benutzerberechtigungsmanagement sollte aus den Unterprozessen Einrichtung, Änderung, Deaktivierung und Löschung bestehen. Des Weiteren sollte ein Prozess der Rezertifizierung definiert sein, der in vorgegebenen Zeitabständen überprüft, ob Berechtigungspakete einer Anpassung bedürfen. Die Dokumentation dieser Vorgänge hat revisionssicher und die Überwachung unabhängig von der Organisation der User zu erfolgen.

Diese Vorgaben sind weitestgehend in den meisten Häusern bereits Standard.

 

IT-Entwicklung und IT-Betrieb

Ebenfalls bereits bestehender Standard ist, dass IT-Projekte organisatorisch geregelt sind und durch ein Portfoliomanagement gesteuert werden. Gleiches gilt für die Beachtung des Schutzbedarfes und der Vorgaben zu Dokumentation und Systemtests.

Die BAIT verlangen darüber hinaus das Vorhalten eines aktuellen Anwendungsregisters und ein implementiertes IT-Lebenszyklusmanagement. Auch eine besondere Überwachung von Privilegierten (beispielsweise Administratoren) wird gefordert.

 

Auslagerungen

Auch für sämtliche Auslagerungen von Prozessen, Dienstleistungen und Ressourcen der IT ist eine Risikoanalyse obligatorisch, die mit entsprechenden Ausfall- und Rückholszenarien ausgestattet sein muss. Die Ergebnisse der Risikoanalysen halten Einzug in die Gesamtbetrachtung der operationellen Risiken des Hauses. Insgesamt gelten für sämtliche Bereiche, die von der BAIT geregelt werden, turnusmäßige und spontane (ad hoc) Berichtspflichten gegenüber dem Vorstand.

 

Es ist also damit zu rechnen, dass die BaFin die Umsetzung der Vorgaben aus den BAIT umgehend in den Kanon ihrer Prüfungsinhalte mit aufnehmen wird, womit die Finanzdienstleister bei der Vorbereitung auf die sogenannten 44er bzw. 294er Prüfungen zu rechnen haben.

 

Was lehrt uns das?

 

1. Die BaFin zieht die Daumenschrauben weiter an und erhöht die Regelungstiefe in die Geschäftsabläufe der Finanzdienstleister deutlich.

 

2. Die Nachfolgezyklen der versicherungsregulatorischen Standards zu denen der Banken werden immer enger. Waren es bei MaRisk und MaGo noch fünf Jahre, werden es bei den BAIT und den erwarteten „VAIT“ voraussichtlich keine 12 Monate sein.

 

3. Es lohnt, sich auf die Veränderungen vorzubereiten.

 

 

Wir können weiterhin gespannt sein, womit die BaFin die Häuser noch überraschen wird.

 

Sprechen Sie uns an. Wir helfen Ihnen.

 

Ihr Ansprechpartner und Autor des Artikels, Ingo G. Ignatzi, ist Senior Managing Consultant bei FINCON. Er bringt über 18 Jahre Projekterfahrung mit – davon 14 Jahre als Management Consultant. Seit mehreren Jahren mit dem Thema Anweisungswesen vertraut, ist er jetzt bei FINCON für den Themenbereich > Regulatorisches Prozessmanagement verantwortlich, welcher Finanzdienstleister bei der Umsetzung der regulatorischen Anforderungen gem. MaRisk bzw. MaGo unterstützt.

 

Lassen Sie uns jetzt reden.

Sie haben direkt Fragen? Dann füllen Sie einfach unser Kontaktformular aus.
Mit "*" gekennzeichnete Angaben sind Pflichtangaben.

Rufen Sie uns an

 

Rufen Sie uns an

 

Tel: +49 40 650565-0

Hamburg

Dorotheenstraße 64

22301 Hamburg

 

Tel: +49 40 650565-0

Fax: +49 40 650565-25

 

Berlin

Am Borsigturm 29

13507 Berlin

 

Tel: +49 30 2532150-0

Fax: +49 30 2532150-25

Bremen

Otto-Lilienthal-Str. 29

28199 Bremen

 

Tel: +49 421 80072-0

 

Frankfurt / Main

Kastor-Tower, 20. Etage
Platz der Einheit 1
60327 Frankfurt/Main

 

Tel: +49 69 9511664-88
Fax: +49 69 9511664-25

Köln

Sachsenring 69
50677 Köln

 

Tel: +49 221 937097-0
Fax: +49 221 937097-20

München

c/o acondas GmbH

Innere Wiener Strasse 5
81667 München

Münster

Langeworth 91
48159 Münster

 

Tel: +49 251 28711-19
Fax: +49 251 28711-18