Ein Gespräch über die KAIT – neue Anforderungen an die IT in Kapitalverwaltungsgesellschaften

usd AG News, Security Consulting

Die Flut an Regularien im IT- und Cyber-Security-Umfeld der Finanzindustrie nimmt keinen Abriss. Mit den KAIT kündigt die BaFin nun ein weiteres Regelwerk an. Dr. Christian Schwartz, Managing Consultant der usd AG, hat die Vorab-Veröffentlichung für uns unter die Lupe genommen und erläutert, was es damit auf sich hat.

Christian, Du bist Experte für Informationssicherheit in der Banken- und Finanzbranche und daher in Deiner Beratungstätigkeit mit vielen Regularien in Berührung. Nun kommen noch die KAIT dazu. Was ist das und warum braucht die Welt diese Ergänzung?

Christian Schwartz: Fangen wir doch erst einmal mit dem Zungenbrecher an, für den die Abkürzung KAIT steht: Es geht um die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT. Und ja, bereits heute gibt es zahlreiche Regularien in diesem Umfeld, die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der IT-Systeme und -Prozesse sicherstellen sollen. In der Praxis ist dann aber zu entscheiden, wie Anforderungen konkret umgesetzt werden sollen. Die KAIT sollen eben dieser Konkretisierung von Maßnahmen aus den Mindestanforderungen für das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk) dienen.

Wie ging das bisher ohne KAIT?

CS: Die konkrete Ausgestaltung der Maßnahmen erfolgte bisher durch Referenzieren auf internationale Standards wie die ISO/IEC 27002 oder wurde durch die Prüfpraxis getrieben. Um diese Maßnahmen nun für Kapitalverwaltungsgesellschaften zu konkretisieren, veröffentlichte die BaFin am 08.04.2019 eine Konsultationsfassung der KAIT.

Ab wann werden die Anforderungen verbindlich?

CS: Das ist schwer zu sagen. Ich schätze, es wird ähnlich verlaufen wie bei der Veröffentlichung der BAIT. Die KAIT orientieren sich an den
Bankaufsichtliche(n) Anforderungen an die IT (BAIT) und ergänzen diese in wesentlichen Punkten. Nach Ende der Konsultationsphase der BAIT im Mai 2017 wurde die endgültige Fassung im November 2017 veröffentlicht. Da die BAIT aus Sicht der BaFin nur bestehende Anforderungen darstellten, traten sie ohne Umsetzungsfrist – und ohne signifikante Änderungen im Vergleich zur Konsultationsfassung – in Kraft. Mit Blick auf diesen Verlauf, erwarte ich, dass die Kapitalverwaltungsgesellschaften die Anforderungen nach Veröffentlichungen sofort erfüllen müssen.

Richten sich die KAIT ausschließlich an Kapitalverwaltungsgesellschaften?

CS: Die KAIT richten sich hauptsächlich an durch die BaFin erlaubte Kapitalverwaltungsgesellschaften. Die Entwurfsfassung enthält in der Vorbemerkung konkrete Kriterien, die jedes betroffene Unternehmen individuell prüfen sollte. Aufgrund der inhaltlichen Nähe zu den BAIT und den VAIT (Versicherungsaufsichtliche Anforderungen an die IT) empfehle ich jedoch auch Finanzinstituten und Versicherungen, das Ergebnis der Konsultation zu verfolgen.

Wie kann sich eine betroffene Kapitalverwaltungsgesellschaft auf die Veröffentlichung der KAIT vorbereiten?

CS: Wir empfehlen diesen Unternehmen im ersten Schritt, die schon aus den BAIT bekannten Anforderungen im eigenen Haus zu verifizieren. Dazu sollte die Dokumentenlage zur Umsetzung der in den BAIT geforderten Maßnahmen geprüft und die Ergebnisse von Kontrollhandlungen genutzt werden, um weitere Verbesserungspotentiale zu identifizieren. Im Anschluss empfehle ich, die neuen Punkte der KAIT Entwurfsfassung zu prüfen. Spätestens nach Veröffentlichung der KAIT sollten konkrete Projekte zur Harmonisierung mit den finalen Anforderungen auf- und umgesetzt werden.

Und wie gehe ich vor, wenn meine Kapitalverwaltungsgesellschaft nicht den Anforderungen der BAIT unterliegt?

CS: Sollte das Unternehmen bislang noch keine Berührungspunkte mit den BAIT haben, sollte im Rahmen eines Soll-Ist-Vergleichs die Umsetzung der in den BAIT formulierten Anforderungen geprüft werden, um gegebenenfalls weitere Maßnahmen abzuleiten.

Welche neuen Punkte sind in den KAIT zusätzlich adressiert?

CS: In den KAIT finden sich – im Vergleich zu den BAIT – über zwanzig geänderte oder vollständig neue Anforderungen. Ich gehe nicht auf alle ein. Aus meiner Sicht bilden die folgenden Themenfelder die wohl relevantesten Neuerungen:

Eine der ersten großen Ergänzungen betrifft die Kommunikation der IT-Strategie. Hier wird zukünftig eine stärkere Kommunikation zum Aufsichtsorgan und in die Kapitalverwaltungsgesellschaften selbst gefordert. Zusätzlich soll sichergestellt werden, dass die in der IT-Strategie definierten Ziele so formuliert sind, dass ihre Erreichung überprüft werden kann.

Die KAIT adressieren außerdem die Prozesse zur Steuerung und Überwachung des Informationsrisikomanagements ganzheitlicher als die BAIT und stellen den Zusammenhang zwischen Risiken und Sollmaßnahmen klar.

Sehr konkrete Anforderungen werden im Kontext des Umgangs mit technischen Nutzern formuliert. Hier muss für alle technischen Nutzer ein Zentralverzeichnis gepflegt werden und die Person aufgeführt werden, die im Rahmen einer Rezertifizierung verantwortlich ist. Solche Maßnahmen sorgen in der Praxis im Allgemeinen für hohe Aufwände, sind aber – zum Beispiel nach einem Sicherheitsvorfall – von unschätzbarem Wert.

Neben diesen und weiteren wesentlichen Anforderungen enthalten die KAIT auch zahlreiche weitere Änderungen, welche keine substantiellen Ergänzungen darstellen, sondern vielmehr existierende Anforderungen verdeutlichen.

Wie sollte mit Projekten zur KAIT Harmonisierung umgegangen werden?

CS: Abhängig vom Ist-Zustand in der Kapitalverwaltungsgesellschaft bedeutet die Umsetzung der KAIT Abstimmungs-, Schulungs- und Implementierungsaufwände. Wenn zur Umsetzung der KAIT neue technische Systeme notwendig werden, zum Beispiel um eine vollständige Trennung von Produktiv- und Testsystemen zu erreichen oder eine Privileged Account Management Lösung einzuführen, sollten diese als IT-Projekte mit einer hohen Komplexität und Kritikalität betrachtet werden. Insbesondere, wenn die Fachbereiche bis jetzt im Sinne der KAIT nicht hinreichend in die Risikoprozesse involviert waren, ist damit zu rechnen, dass hier sowohl Prozesse angepasst als auch Mitarbeiter auf ihre neuen Aufgaben vorbereitet werden müssen.

Können auch Finanzinstitute, die nicht von den KAIT betroffen sind, etwas aus den neuen Anforderungen lernen?

CS: Die neu hinzugekommenen Anforderungen sind nicht spezifisch auf Risiken zugeschnitten, die nur Kapitalverwaltungsgesellschaften betreffen. Vielmehr führt die Umsetzung der Anforderungen zu einer Erhöhung des Sicherheitsniveaus. Unternehmen, die durch die BaFin reguliert werden und den BAIT oder VAIT unterliegen, sollten davon ausgehen, dass die nächsten Revisionen der BAIT oder VAIT analoge Anforderungen enthalten, und die dadurch entstehenden Aufwände frühzeitig einplanen.


Sie möchten sich möglichst frühzeitig auf diese Anforderungen vorbereiten? Benötigen Sie Unterstützung beim Soll-Ist-Vergleich oder wünschen Sie sich ein Training Ihrer Mitarbeiter zur Vorbereitung auf kommende Pflichten? Sprechen Sie uns gerne an.