Jetzt Mitglied werden
IT

BAIT – Bankaufsichtliche Anforderungen an die IT: Herausforderung und Chance

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagiert auf wachsende IT-Risiken mit den Bankaufsichtlichen Anforderungen an die IT (BAIT). Die BAIT stellen zukünftig strenge Anforderungen an die Geschäftsleitungen der Kreditinstitute und heben den Stellenwert der Informationstechnik auf eine strategische Ebene. Bei adäquater Umsetzung können sie einen positiven Wertbeitrag leisten.

Von Gerald Spiegel - 27. November 2017

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) reagiert auf wachsende IT-Risiken mit den Bankaufsichtlichen Anforderungen an die IT, kurz BAIT.

Advertorial

Die Bedeutung der Informationstechnik (IT) für Kreditinstitute ist in den vergangenen Jahrzehnten ständig gestiegen. Nahezu alle Geschäftsprozesse einer Bank laufen IT-basiert ab. Gleichzeitig steigt die Komplexität der IT aufgrund des technischen Fortschritts und der zunehmenden Digitalisierung: Neue Risiken entstehen, beispielsweise durch Cyber-Angriffe. Da Ausfall oder Fehlfunktion der Systeme zu enormen Schäden führen können, rückt das Thema Informationssicherheit verstärkt in den Fokus der Aufsicht. Mit den Bankaufsichtlichen Anforderungen an die IT existiert in Kürze ein praxisnaher Anforderungskatalog für die Ausgestaltung der IT. Die Veröffentlichung ist für 2017 angekündigt, und es wird eine Umsetzungsfrist von maximal einem Jahr erwartet. Wenngleich Regularien zunächst als leidige Pflicht gesehen werden, bieten die BAIT auch Chancen. So führen ein professionelles IT-Sicherheitsmanagement, eine sichere Softwareentwicklung und ein stabiler IT-Betrieb zu konkreten Wettbewerbsvorteilen.

Management-Sponsor aus der Geschäftsleitung

Um in den Genuss dieser Vorteile zu kommen, sollten Banken die Umsetzung zur Chefsache erklären. Die BAIT betreffen diverse (Fach-)Bereiche einer Bank und benötigen einen Management-Sponsor, vorzugsweise in der Geschäftsleitung. Für die Lokalisierung eines Umsetzungsprojektes gibt es keine Präferenz, jedoch legen die Themen nahe, den Verantwortlichen beim CIO, CISO oder im Organisationsbereich zu verorten.

Acht Themenfelder der BAIT und ihre Chancen für Banken

1. Mit der IT-Strategie soll die im Hinblick auf Personaleinsatz, Budget und Wirtschaftlichkeit geplante IT sichergestellt werden. In Zeiten knapper Personaldecken und IT-Budgets sollte die IT-Strategie als Steuerungsinstrument – u.a. der weiteren BAIT-Themenfelder – eine intrinsische Motivation eines jeden Instituts sein.
2. Die IT-Governance setzt die IT-Strategie unter Vermeidung von Interessenskonflikten um. Die Adjustierung der Kontroll- und Steuerungsaufwände an das erforderliche Maß bietet die Chance für mehr Effizienz und Transparenz.
3. Das Informationsrisikomanagement sollte die Grundlage aller Entscheidungsprozesse und insbesondere von Priorisierungen im IT-Bereich sein.
4. Das Informationssicherheitsmanagement in Orientierung an Standards (z.B. ISO 27001/2) bringt Prozessorientierung, kontinuierliche Verbesserung und klare Verantwortlichkeiten in die IT-Sicherheit.
5. Das Benutzerberechtigungsmanagement ist essentiell, um Datenpannen und Sabotage zu vermeiden. Mit den entsprechenden Prozessen und Technologien lassen sich die Betriebskosten senken.
6. Erprobte Vorgehensmodelle und angemessene Prozesse sorgen bei IT-Projekten und Anwendungsentwicklung für zügige und kontrollierte Umsetzung und mittels Test- und Abnahme für Qualität im Betrieb.
7. Die Forderungen für den IT-Betrieb bestehen in einer effektiven Bestandsverwaltung, einem Änderungsmanagement sowie sicherheitsrelevanten Nachbesserungen und dem Management von Störungen. Auch hier helfen Standards wie z.B. ITIL.
8. Die Auslagerung von IT-Dienstleistungen hat sich zu einer wesentlichen Säule des IT-Betriebs entwickelt. Der Regulator fordert daher eine Risikobewertung und ein wirksames Vertrags- und Leistungsmanagement.

Planung und Umsetzung der BAIT sollten kurzfristig starten

Auch wenn es sich bei den BAIT „nur“ um eine Konkretisierung bestehender Anforderungen handelt, ist davon auszugehen, dass in allen Instituten Nachbesserungsbedarf besteht, dessen Planung und Umsetzung bereits jetzt begonnen werden sollte. Eine vollständige Identifikation und Bewertung des Status quo mit dem vorrangigen Ziel, vorhandene Risiken aufzudecken, ist empfehlenswert. Danach schließt sich eine risikoorientierte Priorisierung der Handlungsfelder an, aus der sich ein institutsspezifischer Maßnahmenplan ableitet.
Dabei ist es wichtig, aktuelle regulatorische Vorgaben (u.a. BCBS239, 5. MaRisk-Novelle, Guidelines on ICT Risk Assessment under SREP) parallel im Blick zu haben, um Synergien zu heben.

Dr. Gerald Spiegel verfasste diesen Beitrag zusammen mit Dr. Hermann Hienz.

Lesen Sie auch

Der Computer analysiert, der Mensch entscheidet

Der Einsatz von Künstlicher Intelligenz hat das Potenzial,[…]

Thomas Belker

Künstliche Intelligenz als Use Case Factory: vom Management operativer Risiken lernen

Viele Herausforderungen der Gesamtbanksteuerung sind noch nicht gelöst.[…]

Lars Holzgraefe

Das gute Gefühl, alles unter Kontrolle zu haben

Klingt nach einer klassischen Fintech-Idee, kommt aber von[…]

Nils Brinkhoff

Das Blockchain Lab der Commerzbank

Vor zwei Jahren startete die Commerzbank zusammen mit[…]

Sören Hartung

„There is no such thing as a killer feature“

Auf dem Ein-Tages-Kongress "Digitale Transformation" am 10. April[…]

Philipp Scherber

„Technologie lässt Barrieren fallen“

An zwei Abenden in Köln und Berlin stellten[…]

Philipp Scherber

Digital Wealth Management im Drehstuhl

Am 18. Mai 2018 widmeten wir uns gemeinsam[…]

Philipp Scherber

Ausweg aus der Legacy-Falle

Advertorial: IT-Verantwortliche von Finanzunternehmen geraten zunehmend unter Druck:[…]

Thomas Hellweg

Die Zukunft ist fehlerfrei – Dortmunder Volksbank arbeitet erfolgreich mit helic ID

Eine schlechte Datenqualität kann sich heutzutage kein Unternehmen[…]

Patrick Paetzel

„Den Nachbearbeitungsaufwand so gering wie möglich gestalten“

Im Jahr 2015 kam es zu einer Sonderprüfung[…]

Christian Grosshardt

„Ohne Macher kommen Projekte nicht in Gang“

Der Erfolg von IT-Projekten ist zu einem Großteil[…]

Philipp Scherber

Die elektronische Signatur

Für eine verbesserte und kontrollierbare Kundekommunikation

Redaktion

Papierlos zu mehr Effizienz – und nebenbei Bäume retten

Die Bank of Montreal (BMO) setzt auf technologische[…]

Jochen Razum

Robotic Process Automation ist das neue Outsourcing für Banken

Banken in Deutschland entdecken Robotic Process Automation (RPA),[…]

Robert Scholze

Vom digitalen Assistenten zum virtuellen Bankberater

Künstliche Intelligenz hat Einzug in die Bankenwelt gehalten[…]

Sven Guhr

Vier Kriterien zur erfolgreichen Digitalisierung des Kreditantragsprozesses

Die Digitalisierung schreitet nicht nur im Kreditgeschäft mit[…]

Achim Himmelreich

Die CeBIT will neue Wege gehen

„d!conomy – no limits“ – unter diesem Motto[…]

Christian Grosshardt

Business Intelligence: So profitieren Banken von professioneller Datenverwertung

Zunehmende Regulierung, immer komplexere Prozesse und Disruption im[…]

Heiko Böhm

„Kreditwirtschaft hat noch keine Lösung gefunden“

Obwohl mittlerweile vielerlei Payment-Lösungen existieren, sind Bargeld und[…]

Christian Grosshardt

„Man muss als Bank vorne mit dabei sein“

Kreditinstitute stehen vor der täglichen Herausforderung, ihre Services[…]

Christian Grosshardt

Blockchain birgt großes Potential für Finanzdienstleister

„Blockchain wird die Art, wie weltweit Geschäfte gemacht[…]

Daniel Fernandez

„Gewaltiger Engpass entstanden“

Seit einiger Zeit sehen sich insbesondere die IT-Fachbereiche[…]

Christian Grosshardt

Digitaler Erfolgsfaktor für Banken: einfacher und schneller Kreditantrag

In Zeiten des Internetgeschäfts macht der Wunsch nach[…]

Cybercrime: Ein wesentliches Risiko?

Banken sollten das Thema Informationssicherheit nicht nur der[…]

Gerald Spiegel

Der Schlüssel zum Erfolg liegt in der IT

Wenn Finanzinstitute wachsen, steigt nicht nur die Bilanzsumme.[…]

Elisabeth Schoss-Leppert

Wo bleibt Smart-Banking?

Die Digitale Agenda der Bundesregierung beschreibt die Grundsätze[…]

Florian Dreifus

Neue (digitale) Wege einer Traditionsbank

Digitalisierung bedeutet für viele eine Umstellung im prozessualen[…]

Michael C. Neubert

Digitale Vermögensverwaltung – Kunden-erfolg und MiFID II unter einem Dach

Digitalisierte Mehrwertdienstleistungen machen die Vermögensbetreuung auch im Retailbereich[…]

Mario Alves

„Es bedarf eines zentralen Kommunikationskonzepts“

Im 21. Jahrhundert leben und arbeiten wir in[…]

Christian Grosshardt

Die Gunst der Stunde

Als noch das Kerbholz oder der Ishango-Knochen zum[…]

Horst Liebscher

„Dialog statt Push-Kommunikation“

Social Business-Technologien können interne Unternehmensprozesse und externe Kommunikation[…]

Philipp Scherber

„Heutzutage muss man vielen Qualitätsaspekten genügen”

SDL ist weltweiter Marktführer für Übersetzungslösungen. Das Unternehmen[…]

Anna Stötzer

Kosten runter, Datensicherheit rauf und zufriedenere Mitarbeiter

Die Volksbank Freiburg hat ihre Druckerflotte konsolidiert. Kostendruck[…]

Julian Achleitner

Kosten- und Risikoreduzierung durch qualitativ hochwertige Kundendaten

Entity Resolution, also die Systematisierung, Verlinkung und Gruppierung[…]

Philipp Scherber

„If you can make it in Ansbach, you’ll make it anywhere.”

Cloud Computing, Safe Harbor, Privacy Shield und Blockchain[…]

Philipp Scherber

„Gemeinsam mit unseren Kunden deren Herausforderungen lösen.“

Security-Lösungen sind für jede Bank ein absolutes Muss.[…]

Julian Achleitner

Transaktionsklassifikation für die Kundenanalyse

Es gibt eine unglaubliche Menge an Kundendaten, welche[…]

Ronny Fuchs

EZB mit neuer Website

Die Europäische Zentralbank hat ihr Kommunikationsangebot einer Frischzellenkur[…]

Christian Grosshardt

„Bank geht heute nur, wenn man seine Daten auch entsprechend im Griff hat!“

Digitale Zeiten erfordern schnelles Handeln und eine noch[…]

Christian Grosshardt

„Positiver Wandel in der Projektmanagementkultur mit Softwareeinsatz“

Die Berlin Hyp AG ist auf großvolumige Immobilienfinanzierungen[…]

Julian Achleitner

„Aktionismus ohne ganzheitliche Strategie muss endlich aufhören!“

Gerne lassen Banken über ihre Marketingabteilung verlautbaren, dass[…]

Christian Grosshardt

Advertorial: Was Kunden wollen – Deutschlands Banken-IT im digitalen Umstyling

Banken-IT: Zwischen Software und Beratungsgespräch Vielfältig und modern:[…]

Christian Grosshardt

Datenschutz gilt nicht nur für Firewalls

In Zeiten von Cyber-Attacken und den dafür notwendigen[…]

Christian Grosshardt

Sind Banken bereits abgehängt?

Während Banken über die bestmögliche Umsetzung von Mobile-Payment-Lösungen[…]

Christian Grosshardt

Digitalisierung, aber wie?

Berlin, London und im Silicon Valley, hier entstehen[…]

Thorsten Hahn

„Es ist höchste Eisenbahn!“

Die Komplexität in der gesamten Banksteuerung hat sich[…]

Christian Grosshardt

Wem gehört die Zukunft?

Autor: Jaron Lanier Euro: 24,99 480 Seiten, gebunden[…]

Christian Grosshardt

Digitalisierung konsequent umsetzen, gerade bei alltäglichen Prozessen.

Die Digitalisierung hat uns alle und unser alltägliches[…]

Christian Grosshardt

„The Amazon moment for banking!“

Andauernd reden wir von der fortschreitenen Digitalisierung. Fakt[…]

Christian Grosshardt

Titelverteidigung – „MBVO.de“ gewinnt erneut

Und täglich grüßt das Murmeltier! Nachdem das Verbraucherportal[…]

Christian Grosshardt