BAIT sollen IT-Risikobewusstsein erhöhen

-
29. Mai 2017
-
Stefan Hirschmann

Mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) kommt auf das OpRisk-Management und andere risikotangierte Stabstellen in den Kreditinstituten eine Menge Arbeit zu. Die BAIT sollen die Mindestanforderungen an das Risikomanagement (MaRisk) konkretisieren, deren fünfte Novelle vor der Tür steht. Die Veröffentlichung des BAIT-Rundscheibens ist für Mitte 2017 geplant, wie Dr. Jens Gampe (Foto unten) von der Finanzaufsicht BaFin im Rahmen des OpRisk-Forums 2017 in Köln verriet. Mit den BAIT will die Bankenaufsicht einen flexiblen und praxisnahen Rahmen insbesondere für das Management der IT-Ressourcen und das IT-Risikomanagement schaffen. Das unternehmensweite IT-Risikobewusstsein im Institut und gegenüber den Auslagerungsunternehmen soll erhöht und die Erwartungshaltung der Aufsicht an die Banken transparenter gestaltet werden.
Die prinzipienorientierten Anforderungen tragen dem Proportionalitätsprinzip Rechnung und ermöglichen den Instituten somit eine risikoorientierte Umsetzung. Die BAIT gliedern sich in insgesamt acht Module, die nach Regulierungstiefe und -umfang nicht abschließender Natur sind. Die konkrete Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse obliegt immer noch den Kreditinstituten. Die BaFin empfiehlt aber, einschlägige Standards zu berücksichtigen (z.B. Grundschutzkatalog des deutschen Bundesamtes für Sicherheit in der Informationstechnik und ISO/IEC 2700X).

IT-Strategie
Im Detail muss die Geschäftsleitung eine IT-Strategie festlegen, in der u.a. eine strategische Entwicklung der IT-Aufbau- und Ablauforganisation sowie der dazugehörigen IT-Prozesse sowie der IT-Auslagerungsstrategie dargelegt wird. Dies umfasst eine Beschreibung der Rolle, der Positionierung und des Selbstverständnisses der IT im Hinblick auf Personaleinsatz, Budget und Wirtschaftlichkeit im Unternehmen. Darüber hinaus hat eine Zuordnung der gängigen Standards zu erfolgen, an denen sich das Institut orientiert, sowie die Erstellung eines Zielbilds der IT-Architektur in Form eines Überblicks über die Anwendungslandschaft. Es müssen Eckpunkte der Informationssicherheitsorganisation enthalten sein sowie Aussagen zum Notfallmanagement und zu den in den Fachbereichen selbst betriebenen bzw. entwickelten IT-Systemen.

IT-Governance
Die Geschäftsleitung ist auch dafür verantwortlich, dass die Regelungen zur IT-Governance wirksam umgesetzt werden. Damit ist die gesamte Struktur zur Steuerung und Überwachung der IT-Systeme und -Prozesse auf Basis der IT-Strategie gemeint. Hierfür haben Banken ausreichend Personal vorzuhalten und in der Ablauforganisation Interessenkonflikte zu vermeiden.

Informationsrisikomanagement
Beim Informationsrisikomanagement muss eine Methodik zur Ermittlung des Schutzbedarfs erkennbar sein, vor allem im Hinblick auf die Schutzziele Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität. Dazu gehören auch Risikoanalysen hinsichtlich Schadenspotenzial und Schadenshäufigkeit. Restrisiken sind in den Prozess des Managements der operationellen Risiken zu überführen. Der Begriff „Restrisiken“ impliziert jedoch nach Ansicht der Banken, dass jegliche Risiken – also auch sehr unwahrscheinliche oder solche mit geringem Schadenspotenzial – aktiv gesteuert werden müssten, was dem Grundgedanken der MaRisk widerspricht.
Der Anspruch dieses Moduls ist, dass Risiken mit IT-Bezug ebenfalls im Risikomanagement der Institute zu berücksichtigen sind und Bestandteile zum Management dieser Risiken aufgezeigt werden. Einzelne IT-Risiken können aber in Zusammenhang mit Risiken anderer Bereiche stehen, z.B. Personal-, Prozess-, Rechtsrisiken. IT-Risiken fließen als Teil des operationellen Risikos (OpRisk) und nicht als eigenständige Kategorie in die Risikosteuerungs- und -controllingprozesse des Instituts insgesamt ein. Dabei dürfte eine einheitliche Behandlung aller operationellen Risiken auch mit Blick auf übergreifende Risikosteuerungsmaßnahmen sinnvoll sein.

Informationssicherheitsmanagement
Das Informationssicherheitsmanagement definiert Soll-Anforderungen sowie Prozesse der Informationssicherheit und sorgt für deren Umsetzung. Es folgt einem fortlaufenden Prozess, der die Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und Verbesserung umfasst.

 

Foto: Dr.  Jens Gampe, Kompetenzcenter IT-Sicherheit, Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Jede Bank muss einen Informationssicherheitsbeauftragten benennen, dessen Funktion die Verantwortung für die Wahrnehmung aller Belange der Informationssicherheit innerhalb des Instituts und gegenüber Dritten umfasst. Er ist organisatorisch und prozessual unabhängig und darf nicht ausgelagert werden. Dadurch soll sichergestellt werden, dass die in der IT-Strategie, der Informationssicherheitsrichtlinie und den Informationssicherheitskonzepten des Instituts niedergelegten Ziele und Maßnahmen sowohl intern als auch gegenüber Dritten transparent gemacht und deren Einhaltung überprüft und überwacht werden. Der Informationssicherheitsbeauftragte muss u.a. die Informationssicherheitskonzepte  erstellen und fortschreiben sowie die entsprechenden Prozesse in der Bank steuern und koordinieren. IT-Vorfälle müssen an die Geschäftsleitung berichtet werden. Bei kleinen Banken darf die Funktion des Informationssicherheitsbeauftragten mit anderen Funktionen im Institut kombiniert werden. Verbundinstitute ohne wesentliche eigenbetriebene IT mit einem gleichgerichteten Geschäftsmodell und gemeinsamen IT-Dienstleistern können einen gemeinsamen Informationssicherheitsbeauftragten bestellen.
Eine Beschränkung der Möglichkeit auf kleine Institute, die Funktion mit anderen Funktionen im Institut kombinieren zu dürfen, halten vielen Banken allerdings für nicht sachgerecht. Denn mitunter hängt der Aufgabenumfang weniger von der Größe eines Instituts ab, sondern maßgeblich von den Geschäftsaktivitäten und davon, wie komplex die IT ist und in welchem Umfang dieses eigenentwickelte und -betriebene IT-Systeme einsetzt. Ein zutreffenderes Kriterium bezogen auf die Funktion wäre, so ein Vorschlag der Deutschen Kreditwirtschaft (DK), ob der Aufgabenumfang der Funktion eine Vollzeitstelle auslastet. Ferner sind heute auch Ausgestaltungen der Funktion geübte Praxis, bei denen mehrere Mitarbeiter an den Aufgaben der Funktion mitwirken, sodass auch bei mittleren bis größeren Instituten die Funktion des Informationssicherheitsbeauftragen mit anderen Funktionen kombiniert werden kann, ohne dass es zu einem Qualitätsverlust bei der Erfüllung der Aufgaben kommt. Die MaRisk enthalten zudem keine ressourcenbezogenen Vorgaben.

Benutzerberechtigungsmanagement
Ein Benutzerberechtigungsmanagement stellt sicher, dass der Zugang zum Informationsverbund und die den Benutzern eingeräumten Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht. Hierzu sind diverse Regelungen in den MaRisk bereits enthalten. Die Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung von IT-Berechtigungen haben durch Genehmigungs- und Kontrollprozesse sicherzustellen, dass die Vorgaben eingehalten werden.

IT-Projekte, Anwendungsentwicklung
Vorgaben enthalten die BAIT auch für IT-Projekte, die angemessen zu steuern und zu überwachen sind. Wesentliche IT-Projekte und IT-Projektrisiken müssen der Geschäftsleitung regelmäßig berichtet werden. Dabei könnte der Maßstab der Berichterstattung der Compliance-Funktion, des zentralen Auslagerungsmanagements oder der Risikocontrolling-Funktion zum OpRisk-Reporting herangezogen werden, wo die MaRisk eine mindestens jährliche Berichterstattung an die Geschäftsleitung vorsehen.

IT-Betrieb
Der IT-Betrieb hat die Erfüllung der Anforderungen, die sich aus der Umsetzung der Geschäftsstrategie ergeben, wirksam zu unterstützen. Die Komponenten der IT-Systeme sowie deren Beziehungen zueinander sind in geeigneter Weise zu verwalten. Die hierzu erfassten Bestandsangaben sind regelmäßig und anlassbezogen zu aktualisieren. Für die Anwendungsentwicklung sind zudem angemessene Prozesse festzulegen, die u.a. Vorgaben zum Entwicklungsziel, zur technischen Umsetzung sowie zu Test, Abnahme und Freigabe enthalten.
Jede neu entwickelte bzw. veränderte Anwendung muss vor Produktivsetzung unter diversen Stressbelastungsszenarien getestet werden. Die Durchführung von fachlichen Abnahmetests verantwortet der für die Anwendung zuständige Fachbereich. Testumgebungen zur Durchführung der Abnahmetests haben in für den Test wesentlichen Aspekten der Produktionsumgebung zu entsprechen. Testaktivitäten und Testergebnisse sind zu dokumentieren. Schließlich müssen für alle Endnutzer Arbeitsanweisungen erstellt werden, deren Einhaltung zu kontrollieren ist.

Auslagerung und Fremdbezug von IT-Dienstleistungen
Die Verträge über den sonstigen Fremdbezug von IT-Dienstleistungen sind strategisch analog zu den IT-Auslagerungsverträgen zu steuern. Für jeden sonstigen Fremdbezug von IT-Dienstleistungen ist eine Risikobewertung durchzuführen. Außerdem müssen Risikobewertungen für jeden Fremdbezug von IT-Dienstleistungen durchgeführt werden.

Fazit
Das IT-Risikobewusstsein zu erhöhen, ist zweifelsfrei ein berechtigtes Anliegen der Bankenaufsicht, zumal externe Dienstleister – zu denen auch die FinTechs zählen – in zunehmendem Maße die Abarbeitung von Backofficeprozessen bewerkstelligen oder auch die komplette IT übernehmen.
Mit den BAIT fokussiert die Bankenaufsicht den Bereich IT künftig noch stärker als bisher und konkretisiert damit Anforderungen aus der MaRisk-Novelle. Betroffen sind praktisch alle IT-orientierten Stellen im Unternehmen sowie das Risikomanagement- und die Compliance-Funktion. Allen voran ist jedoch die Geschäftsleitung gefordert. Die Institute müssen sich frühzeitig und umfassend mit diesen neuen Anforderungen vertraut machen und ggf. noch bestehende Schwachstellen identifizieren.
Genauer betrachtet sind viele Punkte der BAIT nicht neu, sondern aus den MaRisk und dem KWG bekannt. Gleichwohl ist es insbesondere für kleinere Institute ein deutlich erhöhter Aufwand, umfangreiche Dokumentationen zu erstellen und Prozesse zu definieren. Es bleibt abzuwarten, wie die Aufsicht das Proportionalitätsprinzip in der Praxis anwenden wird.