Diese Anforderungen stellt die Bankaufsicht an die IT von Banken
Mit dem Rundschreiben „Bankaufsichtliche Anforderungen an die IT“ (BAIT) hat die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht im Jahr 2017 Vorgaben festgelegt, die Banken und Kreditinstitute in Bezug auf Informationssicherheit einhalten müssen. Mittlerweile umfassen die BAIT-Anforderungen insgesamt 12 Kapitel, die sowohl Governance als auch technische Maßnahmen beinhalten. Wir zeigen Ihnen, welche Schritte Sie als Finanzdienstleister unternehmen müssen, um die BAIT-Compliance zu gewährleisten.
Was ist BAIT?
2017 versendete die Bundesanstalt für Finanzdienstleistungen (BaFin) die erste Fassung der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT). Auf Grundlage von Paragraf 25a des Kreditwesengesetzes (KWG) werden Banken damit Pflichten bezüglich Risikomanagement und der Einrichtung interner Kontrollverfahren auferlegt.
BAIT konkretisiert die Anforderungen, die Finanzdienstleister in Bezug auf ihre Informationssicherheit erfüllen müssen. Diese beziehen sich lediglich auf Finanzunternehmen in Deutschland, wobei zu beachten ist, dass sich diese auch an internationale Regularien halten müssen.
Abzugrenzen ist BAIT von MaRisk, den Mindestanforderungen an das Risikomanagement. Es handelt sich dabei ebenfalls um ein Rundschreiben der BaFin, stammt jedoch bereits aus dem Jahr 2005 und befasst sich vor allem mit dem Thema Risikomanagement und geht nicht genauer auf IT-Sicherheit ein.
Aktuelle Änderungen an BAIT
Zwei Aktualisierungen ergänzen das ursprüngliche Rundschreiben von 2017. 2018 wurde es um Anforderungen an kritische Infrastrukturen ergänzt. Der neue Abschnitt enthält Maßnahmen zur Erreichung der KRITIS-Schutzziele. Ab dem Erreichen bestimmter Schwellenwerte gelten Banken als kritische Infrastruktur. Diese liegen bei 15 Millionen Transaktionen bei der Bargeldversorgung und bei 100 Millionen Transaktionen bei der Kontoführung. Durch die NIS2-Richtlinie gelten fortan auch Finanzunternehmen mit mehr als 50 Mitarbeitenden oder einem Jahresumsatz von mehr als 10 Millionen Euro als kritische Infrastruktur.
2021 kamen drei weitere neue Kapitel hinzu: Operative Informationssicherheit, IT-Notfallmanagement und Management der Beziehungen mit Nutzenden von Zahlungsdiensten. Sicherheitsmaßnahmen wurden weiter konkretisiert und Anforderungen zum Thema Outsourcing wurden ergänzt.
BAIT-Anforderungen im Überblick
Im Folgenden geben wir Ihnen einen Überblick über die 12 Kapitel von BAIT.
Zusätzlich dazu sind Unternehmen verpflichtet, sich an gängige Standards wie der ISO27001 anzupassen und die aktuelle Technik anzupassen.
BAIT-Anforderungen erfüllen mit dem BAYOOSOFT Access Manager
Durch automatisierte Lösungen lässt sich der organisatorische Aufwand, den die BAIT-Anforderungen mit sich bringen, reduzieren. Mit dem BAYOOSOFT Access Manager lassen sich Aufwände für den Abschnitt Identitäts- und Rechtemanagement begrenzen und trotzdem auditsicher abbilden. Er lässt sich einfach in bestehende Systeme integrieren und hilft dabei, Benutzerkonten und Zugriffsrechte zu verwalten und zu dokumentieren.