BaFin plant Mitte 2017 die Veröffentlichung der BAIT: Geschäftsleitung wird mehr in die Pflicht genommen

Die IT-Prüfungen der BaFin in den Banken sind noch nicht zufriedenstellend. Letzte Woche wurde in Bonn eine „Konkretisierung der MaRisk durch ein Rundschreiben zu Bankaufsichtlichen Anforderungen an die IT (BAIT)“ vorgestellt.

Die BAIT soll Mitte des Jahres 2017 veröffentlicht werden und das IT-Risikobewusstsein in den Instituten erhöhen. Darüber hinaus soll mehr Transparenz über die Erwartungshaltung der Aufsichtsbehörden geschaffen werden.

Die BaFin reagiert damit darauf, dass mit der Digitalisierung die Anzahl der schützenswerten Güter gewachsen ist. Nicht nur Geldvermögen und persönliche Daten, sondern inzwischen auch der Zugriff auf Dienstleistungen gehören inzwischen dazu.

Formell handelt es sich um ein Rundschreiben zur

  • Präzisierung von §25a Abs. 1 KWG und §25b KWG und einer
  • Konkretisierung der MaRisk mit einem analogen Aufbau und Verweisen.

Die Anforderungen der MaRisk und von gängigen Standards bleiben durch die BAIT unberührt. Sie beinhaltet die folgenden Themengebiete:

  1. IT-Strategie,
  2. IT-Governance,
  3. Informationsrisko-Management,
  4. Informationssicherheits-Management,
  5. Benutzerberechtigungs-Management,
  6. IT-Projekte und Anwendungsentwicklung,
  7. IT-Betrieb (inkl. Datensicherung) sowie
  8. Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen.

Insbesondere die Geschäftsführungen der Institute sollen mit diesem Rundschreiben weiter für die IT und deren Risiken bei einem unsachgemäßen Einsatz sensibilisiert werden. Ein „Zurücklehnen“ oder das Prinzip der Hoffnung reicht bei zunehmender Digitalisierung und der verbundenen damit Öffnung der Prozesse nach Außen nicht mehr aus. Felix Hufeld, Präsident der BaFin hat es am Jahresanfang so formuliert: „Denn was heute als sicher gilt, kann morgen schon Einfallstor für Cyberangriffe sein. Wir fordern diese Sicherheit ein und verlangen von den Unternehmen, diese Sicherheit auch von ihren IT-Dienstleistern und Zulieferern einzufordern.

Für die Institute bedeutet es bereits heute, sich mit dem Entwurf auseinanderzusetzen. Er sollte nicht als weitere Regulierung gesehen werden. Vielmehr ist es eine Hilfestellung, Schäden durch mangelhaft eingesetzte IT zu vermeiden.

Einen guten Überblick bietet diese Präsentation der BaFin.