Das Thema IT stellt einen Schwerpunkt in aufsichtsrechtlichen Sonderprüfungen dar – nicht zuletzt bei Unternehmen im Versicherungs- und Finanzwesen. Ziel dieses Vorgehens ist es, die IT-Sicherheit im Markt zu erhöhen und das IT-Risikobewusstsein der betroffenen Unternehmen zu schärfen. Im Abstand von jeweils etwa einem Jahr erließ die Bundesanstalt für Finanzdienstleistungsaufsicht (kurz BaFin) zwischen 2017 und 2019 daher mit BAIT, VAIT und KAIT besondere Anforderungen an die IT. Die entsprechenden Regulatoriken enthalten einen adaptiven und praxisorientierten Rahmen für die technisch-organisatorische Gestaltung der IT für Versicherungen, Banken und Kapitalverwaltungsgesellschaften. Mit einem Fokus auf das Management der IT-Ressourcen und auf das IT-Risikomanagement bringen sie nicht unerhebliche Anpassungen der internen Organisationsstruktur mit sich.
Die KAIT ist seit ihrer Veröffentlichung vor etwa einem halben Jahr für die regulierten Kapitalverwaltungsgesellschaften verpflichtend und Prüfungsgegenstand. In diesem Jahr ist zudem mit einem Entwurf zur Aktualisierung der BAIT zu rechnen. Ein guter Zeitpunkt um über Erfahrungen mit den Anforderungen der BaFin zu sprechen. Unsere IT-Security-Experten Kerstin Ritter und Dr. Christian Schwartz stellten sich unseren Fragen:
Christian, für keine der Anforderungen wurde von der BaFin eine offizielle Übergangsfrist definiert. Was bedeutet das für mich als betroffenes Unternehmen, was ist meine Deadline zur Implementierung?
Christian Schwartz: Das ist richtig, es wurde keine offizielle Übergangsfrist definiert. Das liegt daran, dass BAIT und KAIT von der BaFin nur als Konkretisierungen bestehender Anforderungen aus MaRisk (Mindestanforderungen an das Risikomanagement), KAMaRisk (Mindestanforderung an das Risikomanagement von Kapitalverwaltungsgesellschaften) und KWG (Kreditwesengesetz) angesehen werden und somit ohne entsprechende Umsetzungsfristen gültig sind. Für die Unternehmen heißt dies nicht, dass sie ausreichend Zeit haben, sie zu implementieren, weil ihnen keine Deadline gesetzt wurde. Es heißt stattdessen, dass sie – falls noch nicht geschehen- sofort damit starten sollten.
Anforderungen wie BAIT oder KAIT sind zudem lediglich Mindestanforderungen. Diese umzusetzen und zu klären, welche zusätzlichen Maßnahmen aufgrund der Größe oder des Risikopotentials des Instituts noch getroffen werden müssen, bringt einen enormen Aufwand mit sich. Wir haben die Erfahrung gemacht, dass im ersten Jahr nach der Veröffentlichung einer solchen Regulatorik nahezu kein Institut sämtliche Anforderungen vollständig und korrekt umgesetzt hatte. In den meisten Fällen sind zum jetzigen Zeitpunkt noch nicht alle Anforderungen prüfungssicher umgesetzt und dokumentiert.
Je nach Ausmaß der fehlenden Umsetzung kann die Bankenaufsicht bei einer bevorstehenden Prüfung Geldbußen oder eine Erhöhung des hinterlegten Eigenkapitals fordern oder sogar einen Entzug der Lizenz für das jeweilige Institut aussprechen. Daher meine Empfehlung: Starten Sie noch heute mit einer Analyse der Sie betreffenden Anforderungen!
Die KAIT beispielsweise bringt Anforderungen in acht Themengebieten mit sich. Zusätzlich rückt auch die Umsetzung der Anforderungen an die Nutzung von Cloud-Dienstleistern in den Prüfungsfokus. Kerstin, aus deiner Erfahrung, welches sind dabei die größten Herausforderungen für betroffene Unternehmen?
Kerstin Ritter: Dazu muss ich etwas weiter ausholen, weil hier wirklich einiges zusammenkommt. Die Herausforderungen für die einzelnen Häuser variieren teilweise stark, abhängig davon, welche Bedeutung Informationssicherheit und Risikomanagement im Unternehmen bereits erhalten haben. Abhängig von den bereits implementierten Maßnahmen, dem Bewusstsein im Unternehmen und dem aktiven „Leben“ der Prozesse, fallen die acht Anforderungen mehr oder wenig umfangreich aus:
Im Bereich der IT-Strategie wird gefordert, dass die IT-Ziele aus der Geschäftsstrategie abgeleitet werden sollen. Diese sollen beschreiben, wie die IT zu der Geschäftsstrategie beitragen kann. Zusätzlich werden an dieser Stelle bereits Vorgaben für unterschiedliche Themengebiete wie Cloud Computing und Auslagerungsmanagement definiert, welche in den jeweiligen Prozessen entsprechend zu berücksichtigen sind. Aus meiner Erfahrung sollte man den Abstimmungsbedarf besonders bei solchen strategischen Dokumenten im Unternehmen nicht unterschätzen.
Für das Informationsrisikomanagement (IRM) ist bereits schon der Aufsatz, die Erstellung des Informationsverbundes mit allen Prozessen, IT-Assets und sonstigen Infrastrukturen, sowie deren Abhängigkeiten untereinander, eine komplexe Aufgabe, die Zeit und Ressourcen binden kann.
Des Weiteren müssen Prozesse und Ressourcen zur Steuerung eines Informationssicherheitsmanagements (ISM) etabliert werden. Auch diese Phase ist komplex und bei einer ausreichenden Integration in die bestehenden Unternehmensprozesse mit viel Abstimmungsaufwand verbunden. Nach erfolgreicher Implementierung sind Schritte zur unternehmensweiten Kommunikation mit Hinblick auf den Umgang mit Informationssicherheitsvorfällen zu unternehmen.
Ein Themengebiet, das immer wichtiger wird, sind Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen. Sobald ein Unternehmen IT-Services von Dienstleistern bezieht, müssen nicht nur eine Risikobewertung des Vorhabens durchgeführt werden, sondern viel mehr eine angemessene Steuerung und Kontrolle der Auslagerung erfolgen, denn die Verantwortung für den ausgelagerten Prozess bleibt im Unternehmen. Gerade bei bestehenden Auslagerungsverhältnissen fehlen meist die notwendigen Risikobewertungen und Kontrollmechanismen, sowie Prüfrechte.
Im Benutzerberechtigungsmanagement erfolgt die Erstellung von Berechtigungskonzepten für alle Anwendungen, es muss aber auch sichergestellt werden, dass die Berechtigungen frei von toxischen Konflikten vergeben werden. Die vergebenen Berechtigungen müssen danach einer regelmäßigen Überprüfung unterzogen werden und nicht mehr benötigte Berechtigungen müssen umgehend entzogen werden.
Im Bereich IT-Projekte und Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen) stellt die Aufsicht neue Anforderungen an das Change Management. Vor dem erstmaligen Einsatz müssen Anwendungen einem Test unterzogen werden, welcher in einer der Produktivumgebung in den wesentlichen Aspekten ähnlichen Testumgebung erfolgen muss. Eine weitere Herausforderung für viele Häuser ist die Erfassung und das Management von dezentral im Fachbereich entwickelten oder betriebenen Anwendungen. Die Anforderungen an individuelle Datenverarbeitungen dieser Anwendungen sind mittlerweile den Anforderungen unternehmensübergreifender Anwendungen gleichgestellt.
Die Verwaltung der Komponenten der IT-Systeme und Schnittstellen mit zugehörigen Bestandsangaben und vor allem deren regelmäßige Aktualisierung ist eine Herausforderung im Bereich des IT-Betriebs. Darüber hinaus sollte in einem Datensicherungskonzept festgelegt werden, welche Anwendungen in welchem Zyklus zu sichern sind, um Betriebsstörungen und Einschränkungen des operativen Geschäfts risikoorientiert zu minimieren.
Die personelle Ausgestaltung in einer Organisation ist unter Berücksichtigung von Funktionstrennungskonflikten am Stand der Technik sowie an der aktuellen und zukünftigen Bedrohungslage auszurichten. IT-Governance bedeutet allerdings auch die Festlegung und Überwachung von quantitativen und qualitativen Kriterien zur Steuerung des IT-Betriebs und der IT-Weiterentwicklung, beispielsweise Anhand von KPIs oder Vorgaben.
Ein Unternehmen möchte sich nun entsprechend vorbereiten oder es steht sogar eine Sonderprüfung gem. §44 KWG unmittelbar bevor. Ganz grob, Kerstin welches Vorgehen würdest du empfehlen?
Kerstin Ritter: Im Falle, dass eine bankenaufsichtsrechtliche Sonderprüfung ins Haus steht, gilt es, die Anforderungen nicht nur unter Zeitdruck strukturiert und effizient, sondern auch prüfungssicher umzusetzen und vor allem zu dokumentieren.
Den Anfang sollte dabei immer eine GAP-Analyse bzw. Ist-Analyse der IT-Struktur und aller Dokumentationen, Richtlinien, Vorgaben und Arbeitsanweisungen im Unternehmen bilden. Die daraus abgeleiteten bzw. sogar konkret identifizierten Findings, müssen nun in einem „Behebungsplan“ unter Berücksichtigung ihrer risikobasierten Priorität und unter Beachtung von Abhängigkeiten bearbeitet werden. Hierfür sollte zwingend ein Projekt aufgesetzt werden, um die Abarbeitung der Feststellungen nachvollziehbar zu machen.
In der ersten Phase der Umsetzung würde ich mich dann auf die hochpriorisierten Aktivitäten zur Behebung eines schweren Findings bzw. auf Maßnahmen mit großer Auswirkung auf die Organisation und mit langer Umsetzungsdauer konzentrieren. Wenn möglich würde ich parallel versuchen, sogenannte „Quick-Wins“ zu realisieren. Quick-Wins sind solche Aktivitäten, die mit geringem Abstimmungsaufwand oder sogar vollständig in kurzer Zeit aus der Projektorganisation umgesetzt werden können.
Zur Koordination innerhalb des Unternehmens müssen Projektmitarbeiter und zu beteiligende Organisationseinheiten aus dem Unternehmen identifiziert werden. Das ist besonders wichtig, um zu gewährleisten, dass die beschlossenen Maßnahmen auch im Unternehmen umsetzbar sind und ausreichende Ressourcen für Abstimmung und Implementierung vorhanden sind. Bei einem solchen Projekt ist es essentiell, dass die Notwendigkeit und Bedeutung für das Unternehmen klar und umfangreich kommuniziert werden und das Commitment aus dem Management vorliegt.
Eine große Rolle bei der Implementierung der Anforderungen spielt die doppelte Proportionalität. Diese bietet großen Interpretationsspielraum. Christian, was ist damit gemeint?
Christian Schwartz: Die doppelte Proportionalität sieht vor, dass beispielsweise bei der BAIT sowohl die Steuerungsinstrumente einer Bank als auch die Intensität der Überwachung durch die Bankenaufsicht proportional zu den Risiken der Bank sein sollten. Dies lässt den betroffenen Instituten als auch den beauftragten Beratungsunternehmen einen großen Interpretationsspielraum.
Hier ist es für die Institute wichtig, den richten Partner zur Implementierung zu wählen: Die Anforderungen der BAIT beispielsweise wurden bereits im Rahmen regulatorischer Harmonierungsprojekte in verschiedenen anderen Finanzinstituten implementiert. Hierdurch liegen Erfahrungswerte und Best Practices vor, auf die zurückgegriffen werden kann und die ggf. auf das Unternehmen übertragbar sind. Hat man zudem noch einen Partner, der das benötigte Expertenwissen aus der Informationssicherheit mit den fachlichen Kompetenzen in den BAIT oder KAIT relevanten Themengebieten kombinieren kann, ist man perfekt beraten.
