Published On: 10. September 2024

Diese Anforderungen stellt die Bankaufsicht an die IT von Banken

Mit dem Rundschreiben „Bankaufsichtliche Anforderungen an die IT“ (BAIT) hat die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht im Jahr 2017 Vorgaben festgelegt, die Banken und Kreditinstitute in Bezug auf Informationssicherheit einhalten müssen. Mittlerweile umfassen die BAIT-Anforderungen insgesamt 12 Kapitel, die sowohl Governance als auch technische Maßnahmen beinhalten. Wir zeigen Ihnen, welche Schritte Sie als Finanzdienstleister unternehmen müssen, um die BAIT-Compliance zu gewährleisten.

Was ist BAIT?

2017 versendete die Bundesanstalt für Finanzdienstleistungen (BaFin) die erste Fassung der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT). Auf Grundlage von Paragraf 25a des Kreditwesengesetzes (KWG) werden Banken damit Pflichten bezüglich Risikomanagement und der Einrichtung interner Kontrollverfahren auferlegt.

BAIT konkretisiert die Anforderungen, die Finanzdienstleister in Bezug auf ihre Informationssicherheit erfüllen müssen. Diese beziehen sich lediglich auf Finanzunternehmen in Deutschland, wobei zu beachten ist, dass sich diese auch an internationale Regularien halten müssen.

Abzugrenzen ist BAIT von MaRisk, den Mindestanforderungen an das Risikomanagement. Es handelt sich dabei ebenfalls um ein Rundschreiben der BaFin, stammt jedoch bereits aus dem Jahr 2005 und befasst sich vor allem mit dem Thema Risikomanagement und geht nicht genauer auf IT-Sicherheit ein.

Aktuelle Änderungen an BAIT

Zwei Aktualisierungen ergänzen das ursprüngliche Rundschreiben von 2017. 2018 wurde es um Anforderungen an kritische Infrastrukturen ergänzt. Der neue Abschnitt enthält Maßnahmen zur Erreichung der KRITIS-Schutzziele. Ab dem Erreichen bestimmter Schwellenwerte gelten Banken als kritische Infrastruktur. Diese liegen bei 15 Millionen Transaktionen bei der Bargeldversorgung und bei 100 Millionen Transaktionen bei der Kontoführung. Durch die NIS2-Richtlinie gelten fortan auch Finanzunternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Millionen Euro als kritische Infrastruktur.

2021 kamen drei weitere neue Kapitel hinzu: Operative Informationssicherheit, IT-Notfallmanagement und Management der Beziehungen mit Nutzenden von Zahlungsdiensten. Sicherheitsmaßnahmen wurden weiter konkretisiert und Anforderungen zum Thema Outsourcing wurden ergänzt.

BAIT-Anforderungen im Überblick

Im Folgenden geben wir Ihnen einen Überblick über die 12 Kapitel von BAIT.

  • IT-Strategie

    Die Geschäftsleitung muss eine nachhaltige IT-Strategie festlegen, die Ziele und konkrete Maßnahmen zur Erreichung beinhaltet. Dazu gehört unter anderem das Festlegen von Zuständigkeiten, ein Notfallmanagement, sowie einige weitere Punkte.

     

  • IT-Governance

    Hierbei geht es um die Umsetzung und Einhaltung der IT-Strategie. Die Verantwortung liegt auch hier bei der Geschäftsleitung. Sie muss dafür Sorge tragen, dass Vorgaben umgesetzt werden und die Verantwortlichen dafür mit den notwendigen Ressourcen ausgestattet sind.

     

  • Informationsrisikomanagement

    Dazu gehört die Einrichtung von angemessenen Überwachungs- und Steuerungsprozessen, um die Sicherheit von Daten zu gewährleisten. Außerdem müssen mögliche Schwachstellen regelmäßig geprüft werden.

     

  • Informationssicherheitsmanagement

    Hierunter fallen Maßnahmen, um IT-Sicherheit nachhaltig in einer Organisation zu verankern. Es muss eine Leitlinie beschlossen und intern kommuniziert werden. Zur Umsetzung braucht es entsprechende Richtlinien, Prozesse und einen Informationssicherheitsbeauftragten.

     

  • Operative Informationssicherheit

    Dies beinhaltet konkrete technische Schritte, um die Absicherung digitaler Arbeitsabläufe sicherzustellen. So können relevante Sicherheitsvorfälle erkannt und entsprechende Maßnahmen eingeleitet werden. Auch simulierte Angriffe werden durchgeführt, um die Sicherheit zu testen.

     

  • Identitäts- und Rechtemanagement

    Hier wird sichergestellt, dass nur berechtigte Nutzende auf IT-Systeme und sensible Daten zugreifen können. BAIT erfordert ein Berechtigungskonzept nach dem Least-Privilege-Prinzip. Außerdem müssen Änderungen bei Nutzenden und Berechtigungen dokumentiert werden. Entsprechende Softwarelösungen können hierbei unterstützen.

     

  • IT-Projekte und Anwendungsentwicklung

    Vor wesentlichen Veränderungen an Systemen wird eine Auswirkungsanalyse erforderlich. Daten müssen weiterhin geschützt werden und es müssen Methoden zum Testen von Anwendungen definiert werden.

     

  • IT-Betrieb

    Organisationen müssen den Standort ihrer Systeme und Eigentümer genau dokumentieren. So behalten sie den Überblick über Programme und Komponenten.

     

  • Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

    Vor der Verwendung von externer Software und Services wie Cloud-Diensten muss eine Risikobewertung erfolgen, welche regelmäßig überprüft werden muss.

     

  • IT-Notfallmanagement

    Es muss ein Notfallkonzept erarbeitet werden, welches die Wiederherstellung und die Geschäftsfortführung während Notfällen abdeckt. Entsprechenden Abhängigkeiten innerhalb der IT-Systeme und zu externen Dienstleistern sind dabei zu berücksichtigen.

     

  • Management der Beziehungen mit Zahlungsdienstnutzenden

    Zahlungsdienstnutzende müssen über mögliche Sicherheitsrisiken informiert werden und es muss ihnen die Möglichkeit eingeräumt werden, bestimmte Funktionen anzupassen. Institute müssen den Nutzenden beratend zur Seite stehen und entsprechende Kanäle zur Kommunikation einrichten.

     

  • Kritische Infrastrukturen

    Dieser Abschnitt gilt nur für diejenigen Organisationen, die als kritische Infrastruktur eingestuft wurden. Diese müssen das KRITIS-Schutzziel und Notfallmaßnahmen beachten. Auch im Notfall muss der Zahlungsverkehr sowie die Bargeldversorgung aufrechterhalten werden.

     

Zusätzlich dazu sind Unternehmen verpflichtet, sich an gängige Standards wie der ISO27001 anzupassen und die aktuelle Technik anzupassen.

BAIT-Anforderungen erfüllen mit dem BAYOOSOFT Access Manager

Durch automatisierte Lösungen lässt sich der organisatorische Aufwand, den die BAIT-Anforderungen mit sich bringen, reduzieren. Mit dem BAYOOSOFT Access Manager lassen sich Aufwände für den Abschnitt Identitäts- und Rechtemanagement begrenzen und trotzdem auditsicher abbilden. Er lässt sich einfach in bestehende Systeme integrieren und hilft dabei, Benutzerkonten und Zugriffsrechte zu verwalten und zu dokumentieren.

Mehr Informationssicherheit durch unseren Access Manager

Ihre Lösung rund um Fileserver, SharePoint, Active Directory und Drittsysteme – Vom Standardisieren der Benutzer- und Berechtigungsverwaltung bis hin zur Unterstützung bei der Versorgung mit IT-Diensten: Optimieren Sie mit dem BAYOOSOFT Access Manager ganze Prozessketten und reduzieren Sie nachhaltig die operativen Aufwände, während Sie gleichzeitig die Informationssicherheit steigern.

BAYOOSOFT Access Manager

Ihr Unternehmen ist auf der Suche nach einem starken Partner für Management Software Lösungen?

Nehmen Sie jetzt Kontakt zu uns auf und wir stellen Ihnen unverbindlich unsere Produkte vor. 

Klingt spannend? Teilen Sie diesen Beitrag doch mit Ihrem Netzwerk.