BAIT Novelle 2020

Überblick und Interpretation der möglichen Handlungsbedarfe

Aktueller Stand

Die Einführung der bankaufsichtlichen Anforderungen an die IT (BAIT) konkretisiert die Anforderungen an die IT, insbesondere die Umsetzung der MaRisk. Die BAIT ergänzt somit die MaRisk als Operationalisierung des §25 KWG, sowie die Umsetzung der Vorgaben der European Banking Authority (EBA). Die Guidelines on ICT and security risk management der EBA sind seit dem 30. Juni 2020 gültig, und wurden insbesondere im Hinblick auf den die Ziele des FinTech Action Planes der Europäischen Union ausgearbeitet: Stärkung innovativer Geschäftsmodelle, stärkere Resilienz gegenüber Cyber-Risiken und Integration von neuen Technologien. Die BAIT adressiert somit nicht nur etablierte Institute, sondern auch Startups mit weniger etablierten Prozessen, was einige Ausdetaillierungen innerhalb der BAIT erklärt.

Derzeit ist die Novelle der BAIT in Konsultation, die Veröffentlichung der finalen Fassung wird im ersten Quartal analog der Novelle der MaRisk erwartet. Auf Basis der Version zur Konsultation vom 26.10.2020 haben wir die Haupt-Handlungsbedarfe ausgearbeitet.

Änderungen im Bereich Strategie, Governance, Risikomanagement und Informationsmanagement

Analyse der Abhängigkeiten von Dritten, insbesondere Zentralbankfunktionen, Informations- und Telekommunikationsdienste und Versorgungsleistungen und Aufnahme in die IT Strategie als Teil der Mindestinhalte. Interessant ist hier der explizite Hinweis auf Telekommunikationsdienstleistungen, da insbesondere die Entwicklung der Abhängigkeiten betrachtet werden sollte. In Betracht gezogen werden sollte hier die Entwicklung von ansteigenden Home-Office Tätigkeiten, die Versorgungssicherheit und SLAs der Banken mit den ISPs greifen bei privaten Anschlüssen nicht und stellen ggf. Risiken dar.

  

        • Im Bereich Governance wurde die Ressourcenausstattung der IT explizit um die „qualitative personelle, finanzielle und sonstige Ressourcenausstattung“ erweitert. Diese musste bisher schon „angemessen“ für „aktuelle“ und „zukünftige“ Bedrohungslagen sein. Im Hinblick auf die Pandemielage sehen wir hier Handlungsbedarf in der Formulierung von Standardarbeitsplätzen im Bereich der mobilen Arbeit welche auch Backupoptionen zur Verbindung (z.B. über LTE) beinhalten und somit auch der Abhängigkeitsentwicklung der IT Strategie genügen. Die Anforderung der qualitativen finanziellen Ressourcenausstattung lässt sich über einen risikobezogenen Budgetierungsprozess umsetzen und nachweisen. Wir empfehlen hier unterjährige Adjustierungen auf Basis der aktuellen und voraussichtlichen Bedrohungslage.
        • Das Informationsrisikomanagement wurde im Bedarf Schutzbedarfsfeststellung und Schutzziele erweitert. Explizit wird der Eigentümer der Information als Verantwortlicher des Schutzbedarfes aufgeführt, während das Informationsrisikomanagement die Feststellung des Schutzbedarfes sowie die erforderliche Dokumentation überprüft. Wir empfehlen diese Änderungen in bestehende Business-Continuity Management (BCM) Systeme und Enterprise Architecture Management (EAM) Systeme aufzunehmen, und diese mit dem Risikomanagement systemtechnisch zu verbinden. Somit lassen sich auch die geforderten Ist-/Sollvergleiche zur Feststellung des Umsetzungsstandes von Maßnahmen systembezogen analysieren. Die Behandlung der Risiken ist zukünftig „kompetenzgerecht“ zu genehmigen, die Umsetzung könnte in unserer Interpretation durch den Aufbau eines mehrstufigen Genehmigungsprozesses welcher sich an der potentiellen Schadenshöhe orientiert erfolgen. Zukünftig sind neben den bekannten Bedrohungen „externe potentielle“ Bedrohungen mit in die Risikoanalyse einzubeziehen, diese sind jedoch nicht näher ausspezifiziert.
        • Die Leitlinie zum Informationssicherheitsmanagement ist zukünftig nicht nur regelmäßig zu prüfen und zu aktualisieren, sondern auch bei „wesentlichen Veränderungen der Rahmenbedingungen“. Die BaFin beschreibt externe sowie interne Rahmenbedingungen, wie Veränderungen in Systemen oder der Aufbau- und Ablauforganisation. Wir empfehlen hier die Ergänzung der Kontrollen im internen Kontrollsystem (IKS) des Institutes zur prozessualen Feststellungen von wesentlichen Veränderungen. Dies gibt dem Informationssicherheitbeauftragten auch die Möglichkeit die Einhaltung „anlassbezogen“ zu überprüfen, was zukünftig neu umzusetzen ist. Die Ergebnisse der Prüfungen könnten als Basis für den Aufbau von „Sensibilisierungs- und Schulungsprogrammen“ für die Informationssicherheit verwendet werden, welche zukünftig umzusetzen sind.
Operative Informationssicherheit

Erstmalig finden sich das Kapitel „operative Informationssicherheit“ in der BAIT, welches den steigenden Cyberrisiken Rechnung trägt:

        • Es sind angemessene Überwachungs- und Steuerungsprozesse inklusive der IT Risikokriterien, des Schutzbedarfes etc. einzurichten, und IT Systeme nach gängigen Standards auszurichten. Als Standards im Sinne der BAIT sehen wir insbesondere die Vorgaben des BSI, welche insbesondere im EAM zu dokumentieren sind.
        • Für die Umsetzung des operativen Informationssicherheit in Verbindung mit dem IT Risikomanagement ein regelbasiertes Framework, welches sowohl organisatorische Regelungen (z.B. Vergabe von Berechtigungen) als auch technisch umzusetzende Regelungen (Meldung des Ausbleibens von Protokolldaten) beinhalten. Die technischen Regelungen empfehlen wir punktuell mit Schwellwerten und Kritikalitätsstufen zu ergänzen, insbesondere die in der BAIT ausdrücklich genannten „vermehrten nicht autorisierten Zugriffe“, was die zusätzlich geforderte „zeitnahe Analyse und Reaktion“ durch die Vorpriorisierung vereinfacht.
        • Generell ist die Sicherheit der IT Systeme zukünftig „regelmäßig., anlassbezogen und unter Vermeidung von Interessenkonflikten“ zu untersuchen. Die Thematik der Interessenkonflikte, welcher auch im Bereich Strategie behandelt wird, ist aus der MaRisk übernommen. Risiken aus Interessenkonflikten sehen wir insbesondere beim Einsatz von unterschiedlichen Dienstleistern im Sinne einer Auslagerung (MaRisk AT9) innerhalb eines Systems, sowohl in der Anwendungsentwicklung als auch im Betrieb. Wir empfehlen hier die Überprüfung der Sourcing-Strategie insbesondere bei Business-kritischen Systemen.
Weitere Änderungen

Das Kapitel des Benutzerberechtigungsmanagements wurde in Identitäts- und Rechtemanagement umbenannt, und enthält weiterhin im Wesentlichen Anforderungen an die Benutzerberechtigungen und die technischen und organisatorischen Maßnahmen zur Umsetzung und Sicherstellung der Berechtigungsstrukturen.

Das Teil der IT-Projekte und Anwendungsentwicklung operationalisiert die oben beschrieben Anforderungen der Risikobasierten Projektsteuerung sowie die erweiterten Dokumentationspflichten insbesondere im Hinblick auf die personelle und finanzielle Ausstattung. Wesentliche Änderung ist die Neudefinition des Begriffes Anwendungsentwicklung, welcher vorher die Erstellung von Software für „bankfachliche Prozesse“, und zukünftig „Geschäfts- und Unterstützungsprozesse“ umfasst. Eine mögliche Interpretation ist dass zukünftig jegliche Softwareerstellung welche mindestens die Level 1 und Level 2 Prozesse der Institute umfasst unter die Definition der Anwendungsentwicklung der BAIT fällt, und nicht auf Kernbanksysteme beschränkt ist. Die Anforderungsdokumente können zukünftig um ein Product Backlog ergänzt werden, was die BAIT-konforme Dokumentation der agilen Entwicklung von Software insbesondere für FinTechs wesentlich erleichtert.

Empfehlung

Vernetzte Systeme für Risk, BCM, ISMS, EAM

Wir gehen aktuell davon aus dass es noch kleinere Änderungen in Details der BAIT gibt, die wesentlichen Veränderungen im Bereich des Informationsrisikomanagements sowie der operativen Informationssicherheit Bestand haben. Die neuen Änderungen zwingen die Institute zu einer stärkeren Vernetzung der Systeme, insbesondere in den Bereichen Risk, BCM, EAM, IKS und ISMS um die ganzheitliche Betrachtung von Risiken, Vorfällen, Systemen, Schutzbedarfen etc. zu ermöglichen.

Einführung & Optimierung risikobasiertes Supplier-Management

Durch die neue Komponenten der Abhängigkeitsbetrachtung sowie der Interessenkonflikte, welche auch Teil der sich aktuell in Konsultation befindlichen MaRisk Novelle sind, kommt das Thema Auslagerung und Supplier-Management stärker in den Fokus. Aus unserer Sicht besteht im Bereich Auslagerung unmittelbar Handlungsbedarf, da sich identifizierte Risiken z.B. durch Interessenkonflikte aufgrund der in der Praxis beobachteten oftmals mehrjährigen vertraglichen Bindung der Auslagerungen sowie der notwendigen Wissenstransformation nur schwierig oder unter hohen Kosten kurzfristig auflösen lassen. Wir sehen in der Einführung eines risikobasierten Suppliermanagements nicht nur die rechtskonforme Umsetzung der BAIT, sondern erhebliche langfristige Einsparpotentiale welche durch die Bündelung der Einkaufsleistung und der Einführung von auf Qualitätsstufen basierenden Leistungskatalogen erreicht werden.