BAIT – Bankaufsichtliche Anforderungen an die IT: Herausforderung und Chance

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagiert auf wachsende IT-Risiken mit den Bankaufsichtlichen Anforderungen an die IT (BAIT). Die BAIT stellen zukünftig strenge Anforderungen an die Geschäftsleitungen der Kreditinstitute und heben den Stellenwert der Informationstechnik auf eine strategische Ebene. Bei adäquater Umsetzung können sie einen positiven Wertbeitrag leisten.


Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagiert auf wachsende IT-Risiken mit den Bankaufsichtlichen Anforderungen an die IT, kurz BAIT.

Advertorial

Die Bedeutung der Informationstechnik (IT) für Kreditinstitute ist in den vergangenen Jahrzehnten ständig gestiegen. Nahezu alle Geschäftsprozesse einer Bank laufen IT-basiert ab. Gleichzeitig steigt die Komplexität der IT aufgrund des technischen Fortschritts und der zunehmenden Digitalisierung: Neue Risiken entstehen, beispielsweise durch Cyber-Angriffe. Da Ausfall oder Fehlfunktion der Systeme zu enormen Schäden führen können, rückt das Thema Informationssicherheit verstärkt in den Fokus der Aufsicht. Mit den Bankaufsichtlichen Anforderungen an die IT existiert in Kürze ein praxisnaher Anforderungskatalog für die Ausgestaltung der IT. Die Veröffentlichung ist für 2017 angekündigt, und es wird eine Umsetzungsfrist von maximal einem Jahr erwartet. Wenngleich Regularien zunächst als leidige Pflicht gesehen werden, bieten die BAIT auch Chancen. So führen ein professionelles IT-Sicherheitsmanagement, eine sichere Softwareentwicklung und ein stabiler IT-Betrieb zu konkreten Wettbewerbsvorteilen.

Management-Sponsor aus der Geschäftsleitung

Um in den Genuss dieser Vorteile zu kommen, sollten Banken die Umsetzung zur Chefsache erklären. Die BAIT betreffen diverse (Fach-)Bereiche einer Bank und benötigen einen Management-Sponsor, vorzugsweise in der Geschäftsleitung. Für die Lokalisierung eines Umsetzungsprojektes gibt es keine Präferenz, jedoch legen die Themen nahe, den Verantwortlichen beim CIO, CISO oder im Organisationsbereich zu verorten.

Acht Themenfelder der BAIT und ihre Chancen für Banken

1. Mit der IT-Strategie soll die im Hinblick auf Personaleinsatz, Budget und Wirtschaftlichkeit geplante IT sichergestellt werden. In Zeiten knapper Personaldecken und IT-Budgets sollte die IT-Strategie als Steuerungsinstrument – u.a. der weiteren BAIT-Themenfelder – eine intrinsische Motivation eines jeden Instituts sein.
2. Die IT-Governance setzt die IT-Strategie unter Vermeidung von Interessenskonflikten um. Die Adjustierung der Kontroll- und Steuerungsaufwände an das erforderliche Maß bietet die Chance für mehr Effizienz und Transparenz.
3. Das Informationsrisikomanagement sollte die Grundlage aller Entscheidungsprozesse und insbesondere von Priorisierungen im IT-Bereich sein.
4. Das Informationssicherheitsmanagement in Orientierung an Standards (z.B. ISO 27001/2) bringt Prozessorientierung, kontinuierliche Verbesserung und klare Verantwortlichkeiten in die IT-Sicherheit.
5. Das Benutzerberechtigungsmanagement ist essentiell, um Datenpannen und Sabotage zu vermeiden. Mit den entsprechenden Prozessen und Technologien lassen sich die Betriebskosten senken.
6. Erprobte Vorgehensmodelle und angemessene Prozesse sorgen bei IT-Projekten und Anwendungsentwicklung für zügige und kontrollierte Umsetzung und mittels Test- und Abnahme für Qualität im Betrieb.
7. Die Forderungen für den IT-Betrieb bestehen in einer effektiven Bestandsverwaltung, einem Änderungsmanagement sowie sicherheitsrelevanten Nachbesserungen und dem Management von Störungen. Auch hier helfen Standards wie z.B. ITIL.
8. Die Auslagerung von IT-Dienstleistungen hat sich zu einer wesentlichen Säule des IT-Betriebs entwickelt. Der Regulator fordert daher eine Risikobewertung und ein wirksames Vertrags- und Leistungsmanagement.

Planung und Umsetzung der BAIT sollten kurzfristig starten

Auch wenn es sich bei den BAIT „nur“ um eine Konkretisierung bestehender Anforderungen handelt, ist davon auszugehen, dass in allen Instituten Nachbesserungsbedarf besteht, dessen Planung und Umsetzung bereits jetzt begonnen werden sollte. Eine vollständige Identifikation und Bewertung des Status quo mit dem vorrangigen Ziel, vorhandene Risiken aufzudecken, ist empfehlenswert. Danach schließt sich eine risikoorientierte Priorisierung der Handlungsfelder an, aus der sich ein institutsspezifischer Maßnahmenplan ableitet.
Dabei ist es wichtig, aktuelle regulatorische Vorgaben (u.a. BCBS239, 5. MaRisk-Novelle, Guidelines on ICT Risk Assessment under SREP) parallel im Blick zu haben, um Synergien zu heben.

Dr. Gerald Spiegel verfasste diesen Beitrag zusammen mit Dr. Hermann Hienz.