Schließen

    Wünschen Sie nähere Informationen?

    Digitalhappen

    MaRisk-Novelle: Stabilere Banken dank IT-Fokus

    Home Blog IT Architecture

    Die Novelle der "Mindestanforderungen an das Risikomanagement" (MaRisk) für Finanzinstitute rückt IT-Risiken, Auslagerungen und Datenmanagement ins Blickfeld der Bankenaufsicht. Der Fokus auf IT trägt zur Stabilität des Finanzsektors bei. Was die Neuerungen bringen und wieso IT so wichtig wird, skizzieren André Mertel und Christian Dietzmann in diesem Blogartikel.

    Finanzinstitute unterliegen dem Bundesamt für Finanzdienstleistungen (BaFin) - und das hat in seiner letzten Novelle der "Mindestanforderungen an das Risikomanagement" vom vergangenen Herbst einen deutlichen Schwerpunkt auf IT gelegt. Die Arbeit der CIOs im Bankenwesen wird damit endlich gestärkt.

    Doch was bedeutet die Novelle ganz konkret? Die IT-Berater André Mertel und Christian Dietzmann werfen einen Blick auf die ersten Erfahrungen und wagen Prognosen, worauf Finanzinstitute in Zukunft besonders achten müssen.

    Fokus IT-Risiken: Business-Impact-Analyse wird zum Muss

    Die MaRisk fordern von Finanzinstituten zukünftig zentrale Risikoüberwachungs- und Risikosteuerungsprozesse für IT-Risiken - und umfassen neuerdings auch Sicherheitsanalysen selbst entwickelter Software.
    Um ein Steuerungssystem einzuführen, empfiehlt sich im ersten Schritt eine Schutzbedarf-Analyse. Zudem sollten Finanzinstitute mittels einer Business-Impact-Analyse (BIA) der Geschäftsprozesse und IT-Systeme Sicherheitsanforderungen ableiten. Im Zuge der BIA erhält man zudem einen Überblick der im Alltag gelebten Prozesse und benötigten Ressourcen sowie der Auswirkungen von IT-Systemen auf Geschäftsprozesse. Auf diese Weise können Institute unternehmenskritische Prozesse und Systeme identifizieren und entsprechende Sicherheitsmaßnahmen ableiten. Im Anschluss können Banken die Maßnahmen und Ressourcenanforderungen in die Geschäftsfortführungs- und Wiederanlaufpläne des Notfallkonzepts implementieren. So werden Schäden bei Systemausfällen oder -unterbrechungen so gering wie möglich gehalten - die Institute rüsten sich für Krisenzeiten.

    Resultat: Das Ergebnis sollte ein aktueller IT-Bebauungsplan sein, um die Auswirkungen spezieller IT-Systeme auf die Geschäftsprozesse bemessen zu können. Generell müssen IT-Systeme und -Prozesse mittels gängiger Standards wie der Informationssicherheits-Norm ISO 27001 ausgestaltet sein und etwa ein Berechtigungsmanagement zur Vermeidung von Interessenkonflikten einführen. Zusätzlich sollten Finanzinstitute zum Beispiel geschäftskritische Plattformen in das Notfallkonzept integrieren und Maßnahmen zum Umgang mit entsprechenden Notfallszenarien definieren.

    Fokus Auslagerung: Klarheit beim Betrieb von Software durch Dritte

    Ein weiteres zentrales Element der MaRisk ist der Fremdbetrieb von Software und die Auslagerung ganzer Geschäftsprozesse. Läuft ein Prozess extern ab, gilt dies immer als Auslagerung. Für große Finanzinstitute mit hohem Outsourcing-Anteil ist daher ein sogenanntes Auslagerungsmanagement verpflichtend. Denn die Übernahme des Regelbetriebs durch den Dienstleister muss von Beginn an durch geeignete Governance-Strukturen, Kompetenzen und ein geregeltes Projekt-Reporting sichergestellt werden. Service Level Agreements (SLAs) regeln, wann und wie Leistungen zu erbringen sind. SLAs enthalten die Rechte und Pflichten der Vertragsparteien im Falle der Nicht-Einhaltung. Die Steuerung der Dienstleister - und damit letztlich der ausgelagerten Prozesse - sollte prinzipiell über ein fachlich und technisch versiertes Providermanagement erfolgen. Das kann zur Herausforderung werden, weil Finanzinstitute das nötige Wissen mitbringen müssen. Software-Lösungen können wiederum bei der Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken unterstützen. Im Sinne des Business Continuity Managements müssen darüber hinaus Ausstiegsstrategien und Handlungsoptionen - etwa für den Totalausfall eines Dienstleisters - definiert und Ausstiegsprozesse für den Ernstfall implementiert werden. Prinzipiell sollte die Dienstleister-Steuerung in ein Qualitätsmanagementsystem integriert werden.

    Resultat: Eine erfolgreiche Auslagerung beginnt unserer Erfahrung nach bereits in der Transitions- und Transformations-Phase. Daher empfehlen wir, den Outsourcingzyklus gemäß DIN ISO 37500 einzuhalten. Generell ist ein effektives Business Continuity Management für Finanzinstitute von höchster Priorität.

    Fokus Risikodatenaggregation:

    Neben der Betrachtung von IT- und Auslagerungsrisiken stellen die MaRisk erhöhte Anforderungen an Qualität, Konsistenz und Auswertung der Daten. Die Risikodatenaggregationsfähigkeit ist für systemrelevante Finanzinstitute, sogenannte SIFIs ("systemically important financial institutions"), verpflichtend. Für alle anderen Institute besteht zumindest eine Empfehlung seitens der BaFin. Betroffene Institute müssen die Hochverfügbarkeit von Risikodaten wie Adressenausfallrisiken, aggregiertes Exposure oder Kontrahenten-, Marktpreis- und Liquiditätsrisiken sicherstellen, um in Stressphasen schnell ein Lagebild generieren zu können. Zudem müssen die Risikodaten auf Länder-, Geschäftsfeld- und Branchenebene sowie nach weiteren Kategorien auswertbar sein.

    Resultat: Systemrelevante Finanzinstitute benötigen ein strukturiertes Datenmanagement. Hierbei sind auch die neuen Datenschutz-Anforderungen der neuen EU-Datenschutzgrundverordnung zu beachten. Außerdem müssen die Daten-Richtlinien der Finanzinstitute an die neuen Anforderungen der MaRisk angepasst und manuelle Eingriffe reduziert werden.

    Langfristige Stabilität

    Die Anforderungen der MaRisk-Novelle verdeutlichen, dass eine effiziente, nachhaltige und sichere IT-Organisation heute das Herzstück eines jeden Finanzinstituts ist. Denn jederzeit und überall verfügbare Informationen sind die wichtigsten Assets des Finanzsektors und sorgen für Transparenz. Anders kann die langfristige Stabilität des Bankenwesens nicht gewährleistet werden.

    Über die Autoren

    André Mertel ist Head of Advisory bei EWERK Consulting mit langjähriger Expertise in der IT-Beratung von Finanzinstituten, insbesondere im Risikomanagement und im IT-Outsourcing.

    Christian Dietzmann war Consultant bei EWERK Consulting mit Fokus auf IT-Compliance und wird nun an der Universität Leipzig promoviert. 

    Kritische Infrastrukturen: Jetzt sind auch Energie-Erzeuger gefordert

    Jul 11, 2019 11:00:00 AM Die KRITIS-Verordnung wird ausgeweitet. Auch kleinere Energie-Erzeugungsanlagen fallen nun unter die Sicherheits-Verordnung für kritische Infrastrukturen. Wer ist betroffen und was ist zu tun?

    Meine ehrliche Designer-Meinung: Schluss mit dem Designer-Porno! [Update 12.09.19]

    Aug 3, 2017 11:30:00 AM User Experience Design– kurz: UX Design – ist kein Selbstzweck. Doch was ist gutes UX Design? Die Definition von gutem UX Design bemisst nach seinem Gebrauchswert und nicht nur nach ästhetischen ...

    Technologie-Reifegrad: Nicht lockerlassen!

    Aug 11, 2017 9:00:00 AM Viele digitale Lösungen werden unter Hochdruck entwickelt. Dabei könnte man viel Geld, Zeit und Nerven sparen, wenn man „Es läuft“ nicht zum Normalmaß erklärt. Ein Plädoyer für Perfektionismus bei ...

    Arbeit in der Sharing Economy: Mit Vollgas in den Ausbildungs-Kollaps

    May 24, 2017 4:09:54 PM Wir sind nicht gerüstet für die digitalisierte Gesellschaft. Denn es fehlt an gut ausgebildetem Personal – bereits heute. Drei Thesen zur Zukunft der Ausbildung und Arbeit in der Sharing Economy.

    Cloud Computing in der Medizin: Nur Mut! Die Cloud kann Leben retten

    Apr 20, 2017 11:00:00 AM Gesundheit ist für viele zuallererst eine Vertrauensfrage: Deswegen wollen die meisten Menschen in Deutschland Ihre Krankenakte nicht in die Wolke laden. Dabei könnte Cloud Computing für ...

    Disruption der Automobilbranche: Das Auto ist keine Kamera

    Feb 17, 2017 9:00:00 AM In der Mobilitätsindustrie wird die Disruption erneut ganz anders verlaufen als beim Fotoapparat oder beim Mobiltelefon. Denn die Denkstrukturen der etablierten Autohersteller in Deutschland wandeln ...

    Große IT-Projekte zum Erfolg führen - Teil 1

    Dec 3, 2019 3:20:38 PM Was sind große IT Projekte und was bedeutet die Größe fürs Projekt? Der erste Teil der dreiteiligen Blog-Serie. 

    Chancen und Fallstricke: Aufbau und Betrieb containerbasierter IT-Infrastrukturen mit Kubernetes

    Dec 30, 2021 3:55:00 PM Docker, Kubernetes & Co sind aktueller denn je. Aber Achtung: Die sogenannte Containerisierung verspricht mehr Schnelligkeit, Flexibilität und Skalierbarkeit, birgt aber auch Fallstricke – vor ...

    BaFin novelliert BAIT: konkretisierte Rahmenbedingungen für die IT- und Informationssicherheit in der Finanzbranche

    Sep 13, 2022 3:15:00 PM Im August 2021 konkretisierte die BaFin das maßgebliche Regelwerk BAIT für eine sichere IT von Banken. Nun gelten noch präzisere, direkt umzusetzende Anforderungen an die Informationssicherheit.

    Innovationen katapultieren Unternehmen und Branchen in neue Dimensionen. Wir wissen, wie.

    Zur Sache: Rein formell ist ein Projekt mit der Abnahme und Entlastung beendet. Das dachten auch die Verantwortlichen des