Schließen

    Wünschen Sie nähere Informationen?

    Digitalhappen

    BaFin novelliert BAIT: konkretisierte Rahmenbedingungen für die IT- und Informationssicherheit in der Finanzbranche

    Home Blog IT Security

    Im August 2021 konkretisierte die BaFin das maßgebliche Regelwerk BAIT für eine sichere IT von Banken. Nun gelten noch präzisere, direkt umzusetzende Anforderungen an die Informationssicherheit.

    Die BaFin reagiert damit auf ständig wachsende Cyberrisiken und setzt die Leitlinien für IKT- und Sicherheitsrisikomanagement der europäischen Bankaufsichtsbehörde EBA um. Was die BAIT und ihre Neuerungen für Banken bedeuten, erklären wir in diesem Beitrag.

    Informationssicherheitsmanagement erhöht den Schutz vor virtuellen Bankräubern

    Panzerknacker waren gestern. Bankräuber des Cyberzeitalters nutzen immer komplexere Methoden, um Banken auszurauben. Datenschutz und IT-Sicherheit sind für die Finanzbranche darum wichtiger denn je. Das bestätigt eine Studie von YesWeHack, Europas führender Bug-Bounty-Plattform, vom Frühjahr 2022: Nur 7 Prozent der befragten Banken, Versicherungen und Finanzdienstleister aus der DACH-Region gaben an, in den letzten 12 Monaten von Cyberattacken verschont geblieben zu sein. 76 Prozent erlebten bis zu 20 Angriffe, elf Prozent zwischen 21 und 50 und vier Prozent sogar über 50 solcher Vorfälle. Umsatzstärkere Organisationen der Finanzwelt sind besonders begehrte Ziele.

    Ein weiteres Ergebnis der Studie: Die Methoden der Angreifer werden immer ausgeklügelter. Sie nutzen Schlupflöcher in Unternehmensprozessen, ergaunern Zugangsdaten durch geschickte Manipulation (Social Engineering) oder schleusen Schadprogramme in die Systeme der Finanzinstitute ein.

    Informationsrisikomanagement (IRM), Informationssicherheitsmanagement (ISM) sowie wirksame Mechanismen zur IT-Sicherheit sind daher für Banken und Finanzinstitute essenziell. Die Bedeutung dieser Anforderungen hat die BaFin nicht zuletzt mit der BAIT 2.0 Novelle sowie der aktuellen Konkretisierung unterstrichen.

    BAIT definieren Spielregeln für die IT-Sicherheit in der Finanzwelt

    Die Digitalisierung ist bei den Banken bereits seit vielen Jahren angekommen. IT-Governance und Informationssicherheit rückten in der globalisierten Finanzwelt mit ihren zahlreichen computerbasierten Transaktionen kontinuierlich in den Fokus. Die globale Finanzkrise 2007/2008 hatte Politik und Aufsichtsgremien wie die Bundesbank oder die BaFin aufgerüttelt. Neue Spielregeln für den Bankensektor mussten her, und Themen rund um die IT haben für die Aufsicht mittlerweile den gleichen Stellenwert wie das Kapital und die Liquidität eines Hauses.

    2017 veröffentlichte die BaFin als Ergänzung und Konkretisierung der „Mindestanforderungen an das Risikomanagement“ (MaRisk) in Bezug auf die IT-Sicherheit die erste Fassung der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT). Diese richten sich in erster Linie an die Geschäftsleitung und sollen die Erwartungshaltung der BaFin in Bezug auf die IT-Sicherheit von Banken darlegen und transparenter darstellen. Alle Ebenen – Governance, Steuerung und Betrieb der IT-Infrastruktur für die fachlichen sowie nichtfachlichen Abläufe – sowie verschiedene Unterbereiche (ANCOR-Link nach unten zu den neuen Kapiteln) werden darin berücksichtigt.

    Die BAIT sind ein zentraler Baustein für die IT-Aufsicht über den Bankensektor in Deutschland. Sie konkretisieren insbesondere die Forderungen von § 25a KWG nach internen Kontrollverfahren für das Risikomanagement, angemessener personeller und technisch-organisatorischer Ausstattung und einem angemessenen Notfallmanagement für IT-Systeme. Damit ergänzen und konkretisieren die BAIT die allgemeineren Ausführungen der MaRisk, v. a. in AT 7.

    Behandelt werden relevante Themen von der übergeordneten IT-Strategie über IT-Governance, Informationsrisikomanagement und Informationssicherheitsmanagement bis hin zu operativen Vorgaben etwa zu Rechtemanagement, IT-Projekten, Anwendungsentwicklung und IT-Betrieb. Im Zeitalter von Cloud-Computing, Serverfarmen und Outsourcing enthalten die Anforderungen der BAIT auch ein Kapitel „Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen“, welches sich reziprok mit der BaFin Orientierungshilfe zu Auslagerung an Cloud-Anbieter ergänzt. Zudem wurde 2018 in einer ersten Aktualisierung ein Kapitel zu kritischen Infrastrukturen hinzugefügt.

    Die BAIT sind aber ausdrücklich „nach Regelungstiefe und -umfang nicht abschließender Natur“; Banken sind darüber hinaus weiterhin verpflichtet, bei der Ausgestaltung ihrer IT-Systeme und -Prozesse gängigen Standards zu folgen, z. B. dem „IT-Grundschutz“ des BSI. Im Generellen gilt die MaRisk für die Gesamtorganisation, während die BAIT konkretisierend für die Vorgaben wirkt. Die Interdependenz der Geltungsbereiche der verschiedenen Regularien (MaRisk, BAIT, KAIT, ZAIT, SOIT, die einheitlichen Regelwerke der EBA, die Orientierungshilfen der BaFin, uvm.) für jedes einzelne Projekt und jeden Dienstleister zu kennen, ist essenziell für den straffreien Bestand der Finanzorganisation.

    Einheitliche Vorgaben für den EU-Binnenmarkt

    Die zweite Novellierung der BAIT ist die Antwort der BaFin auf die neuen Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) für das Management von IKT- und Sicherheitsrisiken. Damit reagierte die EBA auf den FinTech-Aktionsplan der Europäischen Kommission. Infolgedessen wurden für das Finanzwesen im gesamten Binnenmarkt einheitliche Vorgaben eingeführt. In Deutschland waren die BaFin, die Deutsche Bundesbank sowie das Finanzministerium an der Ergänzung der BAIT beteiligt; neben den europäischen Vorgaben flossen auch Praxiserfahrungen in die Neuerungen ein.

    Das aktualisierte Rundschreiben mit zahlreichen Erweiterungen, Konkretisierungen und redaktionellen Änderungen legt noch höheren Wert auf Informationsrisiko- und Informationssicherheitsmanagement – die entsprechenden Kapitel sind jetzt deutlich umfangreicher. Drei Kapitel kamen neu hinzu: „Operative Informationssicherheit“, „IT-Notfallmanagement“ sowie „Kundenbeziehungen mit Zahlungsdienstnutzern“. Alle Änderungen der Novelle finden Sie in diesem Dokument.

    Informationssicherheit ist mehr als IT-Sicherheit

    Der BaFin war es wichtig, in den BAIT dem Ziel der „Informationssicherheit“ zu folgen und nicht dem enger gesteckten Ziel „IT-Sicherheit“, wie die Behörde in einem begleitenden Fachartikel erklärt.

    In einer Zeit wachsender Cyberkriminalität reicht der Schutz der klassischen IT-Infrastruktur und ihrer Komponenten nicht aus – das Handlungsfeld der Informationssicherheit schließt alle Unternehmensprozesse ein, die im Zusammenhang mit der Informationsverarbeitung stehen. Dazu müssen Verantwortlichkeiten für die Abläufe definiert und zugewiesen sowie die Rollen und Aufgaben des Informationssicherheits- und Informationsrisikomanagements benannt werden. Hier kommen auch die Fachbereiche mit ins Spiel. Deren Verantwortung ist es, den Schutzbedarf für ihre Prozesse zu ermitteln und zu dokumentieren. Zudem fordern die BAIT jetzt Programme zur Schulung und Sensibilisierung der Beschäftigten für das Thema Informationssicherheit.

    Informationssicherheit ist Chefsache

    Angesichts immer komplexerer Cyberbedrohungen müssen sich Finanzinstitute kontinuierlich über aktuelle Bedrohungen und Schwachstellen informieren und die Geschäftsleitung stets über die aktuelle Risikosituation auf dem Laufenden halten. Das Informationsrisikomanagement hat diese Ergebnisse zu berücksichtigen.

    Im Kapitel „Informationssicherheitsmanagement“ findet sich zudem die neue Forderung, eine Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit einzuführen. Diese Maßnahmen sind von der „operativen Informationssicherheit“ umzusetzen. Ihre Wirksamkeit und die Sicherheit der IT-Systeme sind regelmäßig und anlassbezogen zu überprüfen.

    Als probate Mittel nennen die BAIT Schwachstellenscans, Simulationen von Angriffen, Penetrationstest oder Abweichungsanalysen (Gap-Analysen). Das sind klassische Bestandteile professioneller Informationsmanagementsysteme (ISMS) gemäß ISO 27001, wie EWERK sie bereits seit Jahren erfolgreich für seine Kunden aus unterschiedlichen Branchen realisiert. Mehr dazu erfahren Sie in unserem Whitepaper „ISO 27001 und ISMS im Überblick“

    Informationssicherheit für die Finanzwelt: So hilft EWERK

    Die Einführung eines ISMS ist auch die Chance für mehr Transparenz in den Finanzinstituten, deckt es doch das gesamte Unternehmen und seine Prozesse ab. Geschäftsführung, Fachbereiche und IT-Abteilungen in Banken sind aber mit dem Thema Informationssicherheit häufig noch nicht sehr vertraut. EWERK verfügt bei der Planung und Realisierung von ISMS über eine jahrelange Expertise. ISMS-Consulting und Plattformen gehören zu unserem Kerngeschäft. Mit maßgeschneiderten Lösungen ermöglichen wir es Ihnen, die Compliance Anforderungen an Ihre IT kontinuierlich einzuhalten und aufrechtzuerhalten entsprechend der Risikobewertung umzusetzen und kontinuierlich compliant zu bleiben.

    Als Spezialist für das Thema Informationssicherheit in hochregulierten Branchen kann EWERK dabei helfen, eine sichere Plattform für ihre Geschäftsprozesse zu schaffen und die Novellierung der BAIT umzusetzen. Unsere Consultants unterstützen Sie bei der Bestandsaufnahme und erstellen gemeinsam mit Ihnen ein maßgeschneidertes Maßnahmenpaket: So realisieren wir ein ISMS, dass sich ganz an Ihren Anforderungen orientiert und sich individuell an Ihre Prozesse anpasst.

    EWERK ist seit 1995 Deutschlands IT-Dienstleister für kritische Infrastrukturen und erfüllt diverse Standards in Bezug auf Sicherheit. Wir verkaufen nicht einzelne IT-Produkte oder -Dienstleistungen, sondern bieten unseren Kunden eine Full-Service-Garantie von Beratungsleistungen über Softwareentwicklung und -modernisierung bis zum Aufbau und dem Betrieb von Infrastrukturen. Profitieren Sie dabei von Compliance-konformer Digitalisierung bestehender Geschäftsprozesse.

    Blockchain ist die Antwort. Noch Fragen?

    Jan 4, 2018 1:34:57 PM Ab jetzt in wahre Wertschöpfung investieren!

    Cloud ist nicht gleich Cloud (Update 20.08.2019)

    Oct 19, 2018 8:54:00 AM Was ist die Cloud – und gibt es überhaupt „die Cloud“? Tatsächlich existieren ganz unterschiedliche Verwendungszwecke. Wann ist Cloud-Computing sinnvoll? Wichtig ist die richtige Balance zwischen ...

    Digitalstrategie 2020: Weichenstellung fürs digitale Geschäftsmodell

    Oct 4, 2019 7:20:40 AM Haben Sie schon Vorsätze für 2020? Wir hätten ein paar Vorschläge für Ihre Digitalstrategie und digitalen Geschäftsmodelle. Und zeigen relevante Faktoren. 2020 naht und mit dem neuen Jahr beginnt ...

    MaRisk-Novelle: Stabilere Banken dank IT-Fokus

    Feb 15, 2018 11:28:00 AM Die Novelle der "Mindestanforderungen an das Risikomanagement" (MaRisk) für Finanzinstitute rückt IT-Risiken, Auslagerungen und Datenmanagement ins Blickfeld der Bankenaufsicht. Der Fokus auf IT ...

    Vier Top-Punkte: So identifizieren Sie den richtigen IT-Dienstleister

    Nov 15, 2019 8:08:41 AM Warum der IT-Dienstleister ein strategischer Partner sein muss. Wieso es um weit mehr als IT-Outsourcing geht. Sie stehen vor der Entscheidung, mit dem passenden IT-Dienstleister für Ihr Unternehmen ...

    Disruption der Automobilbranche: Das Auto ist keine Kamera

    Feb 17, 2017 9:00:00 AM In der Mobilitätsindustrie wird die Disruption erneut ganz anders verlaufen als beim Fotoapparat oder beim Mobiltelefon. Denn die Denkstrukturen der etablierten Autohersteller in Deutschland wandeln ...

    Smart City & OZG vereinen: Über ein digitales Bürgerportal zur ganzheitlichen Digitalstrategie

    Feb 9, 2021 11:00:00 AM Große Ideen, viel versprechende Chancen, digitale Potenziale – mit dem Thema Smart City lässt sich äußerst gut Buzzword-Bingo spielen. Kaum eine Stadt oder größere Kommune hat sich nicht schon mit ...

    IT-Sicherheitsgesetz 2.0: Die ultimative Checkliste für Unternehmen

    May 27, 2021 1:51:00 PM Am 23. April 2021 hat der Bundestag die Novelle des IT-Sicherheitsgesetzes mit den Stimmen der CDU/CSU und SPD verabschiedet. Das müssen Sie als betroffenes Unternehmen  jetzt tun: Unsere Checkliste ...

    IT-Sicherheit für Energieversorger: Umsetzung in der Praxis

    Apr 21, 2022 9:45:00 AM Bestmögliche IT-Sicherheit liegt für Energieversorger nicht nur im eigenen Interesse. Wir geben Tipps, wie EVUs die Security-Vorgaben für KRITIS-Betreiber praktisch umsetzen können.

    Innovationen katapultieren Unternehmen und Branchen in neue Dimensionen. Wir wissen, wie.

    Zur Sache: Rein formell ist ein Projekt mit der Abnahme und Entlastung beendet. Das dachten auch die Verantwortlichen des