Die Finanzwelt ist in Bewegung und Digitalisierung wird stark vorangetrieben, während gleichzeitig die Risiken für Institute immer mehr zunehmen. IT und Digitalisierung stehen daher in diesem Jahr für Banken im Fokus zahlreicher regulatorischer Anforderungen. Aufbauend auf den Leitlinien der EBA zu ICT und Security Risk Management (ICT Guideline), stellte die BaFin nun Ende Oktober einen aktualisierten Entwurf des Rundschreibens „Bankaufsichtliche Anforderungen an die IT“ (kurz BAIT) zur Konsultation. Die bereits 2017 veröffentlichten BAIT formulieren feste Anforderungen an die IT-Sicherheit und die technisch-organisatorische Ausstattung mit Schwerpunkt auf IT-Ressourcen und IT-Risikomanagement. Mit dem Update werden einige Änderungen erwartet. Unsere Experten haben das Vorab-Rundschreiben für Sie unter die Lupe genommen.
Zusammenfassend lässt sich bei der ersten Durchsicht erkennen, dass bestehende Kapitel umbenannt und drei neue Kapitel aufgenommen wurden: „Operative Informationssicherheit“, „IT-Notfallmanagement“ und „Kundenbeziehungen mit Zahlungsdienstnutzern“. Die neu implementierten Forderungen basieren unter anderem auf der ICT Guideline und haben das Ziel, die BAIT an die neuen europäischen Vorgaben anzupassen.
Beim näheren Hinsehen finden sich zudem Aktualisierungen und Spezifizierungen innerhalb der bestehenden Forderungen, die wesentliche Auswirkungen auf die Arbeitsweise der Institute haben werden. Beispielsweise wurde in den Kapiteln IT-Strategie und Informationssicherheitsmanagement konkretisiert, dass sich die Notfallpläne bzw. Notfallkonzepte nicht mehr länger nur an Standards aus der IT orientieren, sondern nun an Standards der IT und Informationssicherheit.
Darüber hinaus haben wir nachfolgend die aus unserer Sicht relevantesten Änderungen in den jeweiligen Kapiteln für Sie aufbereitet:
(1) IT-Strategie
In der IT-Strategie einer Organisation werden übergreifende Ziele und zugehörige Maßnahmen an die Entwicklung der IT nachhaltig festgelegt.
In der neuen Fassung der BAIT wird unter anderem gefordert, strategische Ziele an die Informationssicherheit zu definieren. Dies kann anhand klarer Zieldefinitionen in der IT-Strategie erfolgen. Zudem wird explizit gefordert, Schulungen und Sensibilisierungsmaßnahmen durchzuführen, um die Informationssicherheit in die gesamte Organisation einzubinden. Die Umsetzung der Vorgabe lässt sich mittels Awareness-Portalen oder externen sowie internen Schulungsformaten realisieren (1.2.c). Eine Verdeutlichung wurde im Kontext des IT-Notfallmanagements vorgenommen. Wie oben beschrieben, sollen nicht nur IT-Belange, sondern auch Informationssicherheitsbelange berücksichtigt werden. Die Umsetzung der Vorgabe kann sich in einer Anpassung der IT-Strategie widerspiegeln, indem auch nicht IT-bezogene, weitergehende Aspekte berücksichtigt werden. Ggfs. müssen entsprechende Prozessbeschreibungen angepasst werden (1.2.e).
(2) IT-Governance
Die IT-Governance beschreibt die Steuerung und Überwachung der in der IT-Strategie festgelegten Ziele. Dies geschieht mit Hinblick auf den Betrieb und die Weiterentwicklung der IT-Systeme sowie IT-Prozesse.
In der neuen Fassung der BAIT wird hervorgehoben, neben der Personalausstattung auch andere (personelle, finanzielle und sonstige) Ressourcen zu berücksichtigen (2.3).
(3) Informationsrisikomanagement
Das Informationsrisikomanagement dient der Überwachung von Risiken sowie der Risikosteuerung mit Hinblick auf dem gesamten Informationsverbund sowie externe Risiken.
Neue Forderungen im Kontext des Informationsrisikomanagements ergeben sich insbesondere an die Fachabteilungen. Eigentümer von Informationen sind zugleich Eigentümer der Informationsrisiken (3.2). Diese verantworten die Ermittlung des Schutzbedarfs (3.4). Hierbei können Schulungen der Informationseigentümer und unterstützende Ausfüllhilfen zur Dokumentation und Feststellung sinnvoll sein. Ebenso müssen Prozesse angepasst werden, um bei Erkenntnissen von Bedrohungslagen geeignete Maßnahmen ergreifen zu können (3.10).
(4) Informationssicherheitsmanagement
Im Rahmen des Informationssicherheitsmanagements werden Vorgaben zur Informationssicherheit und zugehörige Prozessdefinitionen geschaffen, sowie die Umsetzung von Maßnahmen zur Einhaltung der festgelegten Schutzziele gesteuert.
Im Kontext des Informationssicherheitsmanagements wird eine ergänzende Richtlinie für physische Sicherheit gefordert. Neben der grundsätzlichen Regelung der Zutrittsberechtigungen müssen nun auch die Inbetriebnahme eines Zutrittssystems, die Konzeption von Sicherheitszonen oder die Begehung von Standorten bedacht werden (4.3). Ergänzend zu der bestehenden Vorgabe, Informationssicherheitsvorfällen nachzugehen, wird eine zeitnahe Aufarbeitung gefordert. Zielführend können hierfür die Erstellung geeigneter Prozesse, die Definition von Melde- und Eskalationswegen sowie die Einführung von „Lessons Learned“-Sessions sein (4.7). Eine weitere neue Forderung besteht im Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit. Die Umsetzung kann dabei etwa Testtätigkeiten im Rahmen der sicheren Softwareentwicklung oder Sicherheitsanalysen und Pentests umfassen (4.8).
(5) NEU Operative Informationssicherheit
Auf der Ebene der operativen Informationssicherheit werden Vorgaben des Informationssicherheitsmanagements in einer konkreten Ausgestaltung der IT-Systeme, den dazugehörigen IT-Prozessen sowie spezifischen Maßnahmen umgesetzt. In dem neuen Abschnitt zur operativen Informationssicherheit sind insgesamt sechs Vorgaben beschrieben.
Eine Forderung besteht in der sicheren und zentralen Aufbewahrung sowie zeitnahen und regelbasierten Auswertung von sicherheitsrelevanten Informationen. Die Umsetzung der Vorgaben resultiert in der Implementierung eines Security Information and Event Managements (SIEM) sowie der anschließenden Pflege des Regelwerks (5.1, 5.2, 5.3). Weiter wird gefordert, sicherheitsrelevante Ereignisse zeitnah zu analysieren und auf Informationssicherheitsvorfälle angemessen zu reagieren. Dies erfolgt typischerweise mit dem Betrieb eines Security Operations Centers (SOC) (5.4). Zusätzlich werden regelmäßige und anlassbezogene Sicherheitsüberprüfungen der IT-Systeme gefordert. Dies kann anhand von Pentests, Schwachstellenscans oder Red Teaming erfolgen (5.6).
(6) UMBENANNT Identitäts- und Rechtemanagement
Im Rahmen des Identitäts- und Rechtemanagement wird sichergestellt, dass nur berechtigten Personen Zugriffs-, Zugangs- und Zutrittsrechte für bestimmte Daten und IT-Systeme gewährt werden und dies standardisierten Prozessen und Kontrollen unterliegt.
In diesem Kapitel ergibt sich die neue Anforderung, zusätzlich die physische Sicherheit bei Berechtigungskonzepten zu berücksichtigen. Resultierend daraus ergibt sich eine notwendige Anpassung der bestehenden Berechtigungskonzepte ggfs. unter Berücksichtigung zuvor nicht bedachter Rollen mit physischen Zugriffsmöglichkeiten (6.2). Eine Anforderung wurde konkretisiert, wonach Zugangs- und Zugriffsberechtigungen auf allen Ebenen eines IT-Systems vorliegen können. Dies macht ggfs. Anpassungen der Berechtigungskonzepte erforderlich, wenn nicht alle Ebenen (z. B. Betriebssystem, Datenbank, Anwendung) bedacht wurden (6.2). Die Anforderung an die Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen wurden dahingehend angepasst, dass diese zeitnah bzw. unverzüglich zu erfolgen haben. Die Forderung bedingt Anpassungen in Prozessen, wie etwa dem Personalprozess, um eine missbräuchliche Verwendung der Berechtigung auch bei einer fristlosen Kündigung auszuschließen (6.4).
(7) IT-Projekte und Anwendungsentwicklung
Dieses Kapitel thematisiert die sichere Softwareentwicklung sowie eine zielführende und effektive Ausgestaltung von IT-Projekten.
In Hinblick auf IT-Projekte und Anwendungsentwicklung wurden die Vorgaben an organisatorische Grundlagen für IT-Projekte präzisiert. So müssen etwa Informationssicherheitsanforderungen oder die Steuerung der Projektrisiken explizit berücksichtigt werden. Die geforderten Grundlagen müssen ggfs. in bestehende Prozesse des IT-Projektmanagements integriert werden (7.2). Die geforderten Mindestinhalte in Anforderungsdokumenten wurden explizit um Informationssicherheitsanforderungen und weitere nicht funktionale Anforderungen erweitert. Richtlinien und Prozessbeschreibungen im Kontext der IT-Anforderungsmanagements bedürfen ggfs. einer Anpassung (7.7). Im Rahmen von Anwendungstestes sind risikoorientierte Pentests durchzuführen, um den Schutz der Informationen zu gewährleisten (7.11).
(8) IT-Betrieb
In diesem Kapitel werden unterstützende IT-Maßnahmen, die den ordnungsgemäßen Ablauf der Geschäftsprozesse ermöglichen sollen, behandelt.
Im Kapitel IT-Betrieb wurden die Anforderungen an Bestandsangaben der IT-Systeme präzisiert. Demnach muss u.a. für sämtliche IT-Systeme der Schutzbedarf vorliegen (8.2). Ergänzend zu der bestehenden Anforderung, Change-Management-Prozesse umzusetzen, wird die Berücksichtigung zeitkritischer Änderungen an IT-Systemen gefordert. Dies kann eine Anpassung oder Erweiterung des Change-Management-Prozesses erfordern (8.5).
(9) Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen
In diesem Kapitel werden Vorgaben für den Bezug von IT-Dienstleistungen gemacht. Das Kapitel beinhaltet keine wesentlichen Änderungen.
Unserer Einschätzung nach wurden keine wesentlichen Änderungen an diesem Kapitel vorgenommen.
(10) NEU IT-Notfallmanagement
In diesem Kapitel werden Vorgaben einer geplanten und koordinierten Reaktion auf IT-Notfälle beschrieben, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Die BaFin widmet diesem wichtigen Themenfeld nun ein eigenständiges Kapitel.
Neben der Erstellung und der regelmäßigen Überprüfung der Notfallkonzepte ist auch ein Nachweis der Wirksamkeit und Angemessenheit dieser zu erbringen. Dies bedeutet in der Praxis die Koordination und Durchführung von kontrollierten und geplanten Notfalltests, bei denen das jeweilige Notfallkonzept angewandt wird (10.1). Im Rahmen der Notfalltests werden IT-Testkonzepte gefordert, die auch das Testen technischer Prozesse (z. B. Zutritts- und Zugriffsmanagement) umfassen. Hierzu müssen alle IT-Systeme, welche zeitkritische Aktivitäten und Prozesse unterstützen, bestimmt werden. Für solche IT-Systeme sind entsprechende IT-Testkonzepte anzufertigen (10.4). Ebenfalls wird gefordert, den Ausfall eines gesamten Rechenzentrums zu berücksichtigen. Entsprechend müssen weitere Standorte für den Rechenzentrumsbetrieb oder ergänzende Cloud-Technologien bedacht werden (10.5).
(11) NEU Kundenbeziehungen mit Zahlungsdienstnutzern
Dieses neu aufgenommene Kapitel richtet sich an Institute, die Zahlungsdienste im Sinne des §1 Abs. 1 Satz 2 des Zahlungsdiensteaufsichtsgesetzes erfüllen.
Die Inhalte werden zunächst innerhalb einer Konsultation der „Zahlungsdiensteaufsichtlichen Anforderungen an die IT“ (ZAIT) diskutiert und danach in die finale Fassung der BAIT aufgenommen.
(12) Kritische Infrastrukturen
In diesem Kapitel werden Anforderungen zum Erreichen des KRITIS-Ziels mittels spezifischen Umsetzungsvorgaben präzisiert.
Unserer Einschätzung nach wurden keine wesentlichen Änderungen an diesem Kapitel vorgenommen.
Quelle: Aktuelle Fassung des Rundschreibens „Bankaufsichtliche Anforderungen an die IT (BAIT), veröffentlicht 26.10.2020 durch die Bundesanstalt für Finanzdienstleistungsaufsicht [https://www.bafin.de/SharedDocs/Downloads/DE/Konsultation/2020/dl_kon_13_20_BAIT.pdf?__blob=publicationFile&v=4]
