Im August 2021 konkretisierte die BaFin das maßgebliche Regelwerk BAIT für eine sichere IT von Banken. Nun gelten noch präzisere, direkt umzusetzende Anforderungen an die Informationssicherheit.
Die BaFin reagiert damit auf ständig wachsende Cyberrisiken und setzt die Leitlinien für IKT- und Sicherheitsrisikomanagement der europäischen Bankaufsichtsbehörde EBA um. Was die BAIT und ihre Neuerungen für Banken bedeuten, erklären wir in diesem Beitrag.
Informationssicherheitsmanagement erhöht den Schutz vor virtuellen Bankräubern
Panzerknacker waren gestern. Bankräuber des Cyberzeitalters nutzen immer komplexere Methoden, um Banken auszurauben. Datenschutz und IT-Sicherheit sind für die Finanzbranche darum wichtiger denn je. Das bestätigt eine Studie von YesWeHack, Europas führender Bug-Bounty-Plattform, vom Frühjahr 2022: Nur 7 Prozent der befragten Banken, Versicherungen und Finanzdienstleister aus der DACH-Region gaben an, in den letzten 12 Monaten von Cyberattacken verschont geblieben zu sein. 76 Prozent erlebten bis zu 20 Angriffe, elf Prozent zwischen 21 und 50 und vier Prozent sogar über 50 solcher Vorfälle. Umsatzstärkere Organisationen der Finanzwelt sind besonders begehrte Ziele.
Ein weiteres Ergebnis der Studie: Die Methoden der Angreifer werden immer ausgeklügelter. Sie nutzen Schlupflöcher in Unternehmensprozessen, ergaunern Zugangsdaten durch geschickte Manipulation (Social Engineering) oder schleusen Schadprogramme in die Systeme der Finanzinstitute ein.
Informationsrisikomanagement (IRM), Informationssicherheitsmanagement (ISM) sowie wirksame Mechanismen zur IT-Sicherheit sind daher für Banken und Finanzinstitute essenziell. Die Bedeutung dieser Anforderungen hat die BaFin nicht zuletzt mit der BAIT 2.0 Novelle sowie der aktuellen Konkretisierung unterstrichen.
BAIT definieren Spielregeln für die IT-Sicherheit in der Finanzwelt
Die Digitalisierung ist bei den Banken bereits seit vielen Jahren angekommen. IT-Governance und Informationssicherheit rückten in der globalisierten Finanzwelt mit ihren zahlreichen computerbasierten Transaktionen kontinuierlich in den Fokus. Die globale Finanzkrise 2007/2008 hatte Politik und Aufsichtsgremien wie die Bundesbank oder die BaFin aufgerüttelt. Neue Spielregeln für den Bankensektor mussten her, und Themen rund um die IT haben für die Aufsicht mittlerweile den gleichen Stellenwert wie das Kapital und die Liquidität eines Hauses.
2017 veröffentlichte die BaFin als Ergänzung und Konkretisierung der „Mindestanforderungen an das Risikomanagement“ (MaRisk) in Bezug auf die IT-Sicherheit die erste Fassung der „Bankaufsichtlichen Anforderungen an die IT“ (BAIT). Diese richten sich in erster Linie an die Geschäftsleitung und sollen die Erwartungshaltung der BaFin in Bezug auf die IT-Sicherheit von Banken darlegen und transparenter darstellen. Alle Ebenen – Governance, Steuerung und Betrieb der IT-Infrastruktur für die fachlichen sowie nichtfachlichen Abläufe – sowie verschiedene Unterbereiche (ANCOR-Link nach unten zu den neuen Kapiteln) werden darin berücksichtigt.
Die BAIT sind ein zentraler Baustein für die IT-Aufsicht über den Bankensektor in Deutschland. Sie konkretisieren insbesondere die Forderungen von § 25a KWG nach internen Kontrollverfahren für das Risikomanagement, angemessener personeller und technisch-organisatorischer Ausstattung und einem angemessenen Notfallmanagement für IT-Systeme. Damit ergänzen und konkretisieren die BAIT die allgemeineren Ausführungen der MaRisk, v. a. in AT 7.
Behandelt werden relevante Themen von der übergeordneten IT-Strategie über IT-Governance, Informationsrisikomanagement und Informationssicherheitsmanagement bis hin zu operativen Vorgaben etwa zu Rechtemanagement, IT-Projekten, Anwendungsentwicklung und IT-Betrieb. Im Zeitalter von Cloud-Computing, Serverfarmen und Outsourcing enthalten die Anforderungen der BAIT auch ein Kapitel „Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen“, welches sich reziprok mit der BaFin Orientierungshilfe zu Auslagerung an Cloud-Anbieter ergänzt. Zudem wurde 2018 in einer ersten Aktualisierung ein Kapitel zu kritischen Infrastrukturen hinzugefügt.
Die BAIT sind aber ausdrücklich „nach Regelungstiefe und -umfang nicht abschließender Natur“; Banken sind darüber hinaus weiterhin verpflichtet, bei der Ausgestaltung ihrer IT-Systeme und -Prozesse gängigen Standards zu folgen, z. B. dem „IT-Grundschutz“ des BSI. Im Generellen gilt die MaRisk für die Gesamtorganisation, während die BAIT konkretisierend für die Vorgaben wirkt. Die Interdependenz der Geltungsbereiche der verschiedenen Regularien (MaRisk, BAIT, KAIT, ZAIT, SOIT, die einheitlichen Regelwerke der EBA, die Orientierungshilfen der BaFin, uvm.) für jedes einzelne Projekt und jeden Dienstleister zu kennen, ist essenziell für den straffreien Bestand der Finanzorganisation.
Einheitliche Vorgaben für den EU-Binnenmarkt
Die zweite Novellierung der BAIT ist die Antwort der BaFin auf die neuen Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) für das Management von IKT- und Sicherheitsrisiken. Damit reagierte die EBA auf den FinTech-Aktionsplan der Europäischen Kommission. Infolgedessen wurden für das Finanzwesen im gesamten Binnenmarkt einheitliche Vorgaben eingeführt. In Deutschland waren die BaFin, die Deutsche Bundesbank sowie das Finanzministerium an der Ergänzung der BAIT beteiligt; neben den europäischen Vorgaben flossen auch Praxiserfahrungen in die Neuerungen ein.
Das aktualisierte Rundschreiben mit zahlreichen Erweiterungen, Konkretisierungen und redaktionellen Änderungen legt noch höheren Wert auf Informationsrisiko- und Informationssicherheitsmanagement – die entsprechenden Kapitel sind jetzt deutlich umfangreicher. Drei Kapitel kamen neu hinzu: „Operative Informationssicherheit“, „IT-Notfallmanagement“ sowie „Kundenbeziehungen mit Zahlungsdienstnutzern“. Alle Änderungen der Novelle finden Sie in diesem Dokument.
Informationssicherheit ist mehr als IT-Sicherheit
Der BaFin war es wichtig, in den BAIT dem Ziel der „Informationssicherheit“ zu folgen und nicht dem enger gesteckten Ziel „IT-Sicherheit“, wie die Behörde in einem begleitenden Fachartikel erklärt.
In einer Zeit wachsender Cyberkriminalität reicht der Schutz der klassischen IT-Infrastruktur und ihrer Komponenten nicht aus – das Handlungsfeld der Informationssicherheit schließt alle Unternehmensprozesse ein, die im Zusammenhang mit der Informationsverarbeitung stehen. Dazu müssen Verantwortlichkeiten für die Abläufe definiert und zugewiesen sowie die Rollen und Aufgaben des Informationssicherheits- und Informationsrisikomanagements benannt werden. Hier kommen auch die Fachbereiche mit ins Spiel. Deren Verantwortung ist es, den Schutzbedarf für ihre Prozesse zu ermitteln und zu dokumentieren. Zudem fordern die BAIT jetzt Programme zur Schulung und Sensibilisierung der Beschäftigten für das Thema Informationssicherheit.
Informationssicherheit ist Chefsache
Angesichts immer komplexerer Cyberbedrohungen müssen sich Finanzinstitute kontinuierlich über aktuelle Bedrohungen und Schwachstellen informieren und die Geschäftsleitung stets über die aktuelle Risikosituation auf dem Laufenden halten. Das Informationsrisikomanagement hat diese Ergebnisse zu berücksichtigen.
Im Kapitel „Informationssicherheitsmanagement“ findet sich zudem die neue Forderung, eine Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit einzuführen. Diese Maßnahmen sind von der „operativen Informationssicherheit“ umzusetzen. Ihre Wirksamkeit und die Sicherheit der IT-Systeme sind regelmäßig und anlassbezogen zu überprüfen.
Als probate Mittel nennen die BAIT Schwachstellenscans, Simulationen von Angriffen, Penetrationstest oder Abweichungsanalysen (Gap-Analysen). Das sind klassische Bestandteile professioneller Informationsmanagementsysteme (ISMS) gemäß ISO 27001, wie EWERK sie bereits seit Jahren erfolgreich für seine Kunden aus unterschiedlichen Branchen realisiert. Mehr dazu erfahren Sie in unserem Whitepaper „ISO 27001 und ISMS im Überblick“
Informationssicherheit für die Finanzwelt: So hilft EWERK
Die Einführung eines ISMS ist auch die Chance für mehr Transparenz in den Finanzinstituten, deckt es doch das gesamte Unternehmen und seine Prozesse ab. Geschäftsführung, Fachbereiche und IT-Abteilungen in Banken sind aber mit dem Thema Informationssicherheit häufig noch nicht sehr vertraut. EWERK verfügt bei der Planung und Realisierung von ISMS über eine jahrelange Expertise. ISMS-Consulting und Plattformen gehören zu unserem Kerngeschäft. Mit maßgeschneiderten Lösungen ermöglichen wir es Ihnen, die Compliance Anforderungen an Ihre IT kontinuierlich einzuhalten und aufrechtzuerhalten entsprechend der Risikobewertung umzusetzen und kontinuierlich compliant zu bleiben.
Als Spezialist für das Thema Informationssicherheit in hochregulierten Branchen kann EWERK dabei helfen, eine sichere Plattform für ihre Geschäftsprozesse zu schaffen und die Novellierung der BAIT umzusetzen. Unsere Consultants unterstützen Sie bei der Bestandsaufnahme und erstellen gemeinsam mit Ihnen ein maßgeschneidertes Maßnahmenpaket: So realisieren wir ein ISMS, dass sich ganz an Ihren Anforderungen orientiert und sich individuell an Ihre Prozesse anpasst.
EWERK ist seit 1995 Deutschlands IT-Dienstleister für kritische Infrastrukturen und erfüllt diverse Standards in Bezug auf Sicherheit. Wir verkaufen nicht einzelne IT-Produkte oder -Dienstleistungen, sondern bieten unseren Kunden eine Full-Service-Garantie von Beratungsleistungen über Softwareentwicklung und -modernisierung bis zum Aufbau und dem Betrieb von Infrastrukturen. Profitieren Sie dabei von Compliance-konformer Digitalisierung bestehender Geschäftsprozesse.
