Schließen

    Wünschen Sie nähere Informationen?

    Digitalhappen

    MaRisk-Novelle: Stabilere Banken dank IT-Fokus

    Home Blog IT Architecture

    Die Novelle der "Mindestanforderungen an das Risikomanagement" (MaRisk) für Finanzinstitute rückt IT-Risiken, Auslagerungen und Datenmanagement ins Blickfeld der Bankenaufsicht. Der Fokus auf IT trägt zur Stabilität des Finanzsektors bei. Was die Neuerungen bringen und wieso IT so wichtig wird, skizzieren André Mertel und Christian Dietzmann in diesem Blogartikel.

    Finanzinstitute unterliegen dem Bundesamt für Finanzdienstleistungen (BaFin) - und das hat in seiner letzten Novelle der "Mindestanforderungen an das Risikomanagement" vom vergangenen Herbst einen deutlichen Schwerpunkt auf IT gelegt. Die Arbeit der CIOs im Bankenwesen wird damit endlich gestärkt.

    Doch was bedeutet die Novelle ganz konkret? Die IT-Berater André Mertel und Christian Dietzmann werfen einen Blick auf die ersten Erfahrungen und wagen Prognosen, worauf Finanzinstitute in Zukunft besonders achten müssen.

    Fokus IT-Risiken: Business-Impact-Analyse wird zum Muss

    Die MaRisk fordern von Finanzinstituten zukünftig zentrale Risikoüberwachungs- und Risikosteuerungsprozesse für IT-Risiken - und umfassen neuerdings auch Sicherheitsanalysen selbst entwickelter Software.
    Um ein Steuerungssystem einzuführen, empfiehlt sich im ersten Schritt eine Schutzbedarf-Analyse. Zudem sollten Finanzinstitute mittels einer Business-Impact-Analyse (BIA) der Geschäftsprozesse und IT-Systeme Sicherheitsanforderungen ableiten. Im Zuge der BIA erhält man zudem einen Überblick der im Alltag gelebten Prozesse und benötigten Ressourcen sowie der Auswirkungen von IT-Systemen auf Geschäftsprozesse. Auf diese Weise können Institute unternehmenskritische Prozesse und Systeme identifizieren und entsprechende Sicherheitsmaßnahmen ableiten. Im Anschluss können Banken die Maßnahmen und Ressourcenanforderungen in die Geschäftsfortführungs- und Wiederanlaufpläne des Notfallkonzepts implementieren. So werden Schäden bei Systemausfällen oder -unterbrechungen so gering wie möglich gehalten - die Institute rüsten sich für Krisenzeiten.

    Resultat: Das Ergebnis sollte ein aktueller IT-Bebauungsplan sein, um die Auswirkungen spezieller IT-Systeme auf die Geschäftsprozesse bemessen zu können. Generell müssen IT-Systeme und -Prozesse mittels gängiger Standards wie der Informationssicherheits-Norm ISO 27001 ausgestaltet sein und etwa ein Berechtigungsmanagement zur Vermeidung von Interessenkonflikten einführen. Zusätzlich sollten Finanzinstitute zum Beispiel geschäftskritische Plattformen in das Notfallkonzept integrieren und Maßnahmen zum Umgang mit entsprechenden Notfallszenarien definieren.

    Fokus Auslagerung: Klarheit beim Betrieb von Software durch Dritte

    Ein weiteres zentrales Element der MaRisk ist der Fremdbetrieb von Software und die Auslagerung ganzer Geschäftsprozesse. Läuft ein Prozess extern ab, gilt dies immer als Auslagerung. Für große Finanzinstitute mit hohem Outsourcing-Anteil ist daher ein sogenanntes Auslagerungsmanagement verpflichtend. Denn die Übernahme des Regelbetriebs durch den Dienstleister muss von Beginn an durch geeignete Governance-Strukturen, Kompetenzen und ein geregeltes Projekt-Reporting sichergestellt werden. Service Level Agreements (SLAs) regeln, wann und wie Leistungen zu erbringen sind. SLAs enthalten die Rechte und Pflichten der Vertragsparteien im Falle der Nicht-Einhaltung. Die Steuerung der Dienstleister - und damit letztlich der ausgelagerten Prozesse - sollte prinzipiell über ein fachlich und technisch versiertes Providermanagement erfolgen. Das kann zur Herausforderung werden, weil Finanzinstitute das nötige Wissen mitbringen müssen. Software-Lösungen können wiederum bei der Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken unterstützen. Im Sinne des Business Continuity Managements müssen darüber hinaus Ausstiegsstrategien und Handlungsoptionen - etwa für den Totalausfall eines Dienstleisters - definiert und Ausstiegsprozesse für den Ernstfall implementiert werden. Prinzipiell sollte die Dienstleister-Steuerung in ein Qualitätsmanagementsystem integriert werden.

    Resultat: Eine erfolgreiche Auslagerung beginnt unserer Erfahrung nach bereits in der Transitions- und Transformations-Phase. Daher empfehlen wir, den Outsourcingzyklus gemäß DIN ISO 37500 einzuhalten. Generell ist ein effektives Business Continuity Management für Finanzinstitute von höchster Priorität.

    Fokus Risikodatenaggregation:

    Neben der Betrachtung von IT- und Auslagerungsrisiken stellen die MaRisk erhöhte Anforderungen an Qualität, Konsistenz und Auswertung der Daten. Die Risikodatenaggregationsfähigkeit ist für systemrelevante Finanzinstitute, sogenannte SIFIs ("systemically important financial institutions"), verpflichtend. Für alle anderen Institute besteht zumindest eine Empfehlung seitens der BaFin. Betroffene Institute müssen die Hochverfügbarkeit von Risikodaten wie Adressenausfallrisiken, aggregiertes Exposure oder Kontrahenten-, Marktpreis- und Liquiditätsrisiken sicherstellen, um in Stressphasen schnell ein Lagebild generieren zu können. Zudem müssen die Risikodaten auf Länder-, Geschäftsfeld- und Branchenebene sowie nach weiteren Kategorien auswertbar sein.

    Resultat: Systemrelevante Finanzinstitute benötigen ein strukturiertes Datenmanagement. Hierbei sind auch die neuen Datenschutz-Anforderungen der neuen EU-Datenschutzgrundverordnung zu beachten. Außerdem müssen die Daten-Richtlinien der Finanzinstitute an die neuen Anforderungen der MaRisk angepasst und manuelle Eingriffe reduziert werden.

    Langfristige Stabilität

    Die Anforderungen der MaRisk-Novelle verdeutlichen, dass eine effiziente, nachhaltige und sichere IT-Organisation heute das Herzstück eines jeden Finanzinstituts ist. Denn jederzeit und überall verfügbare Informationen sind die wichtigsten Assets des Finanzsektors und sorgen für Transparenz. Anders kann die langfristige Stabilität des Bankenwesens nicht gewährleistet werden.

    Über die Autoren

    André Mertel ist Head of Advisory bei EWERK Consulting mit langjähriger Expertise in der IT-Beratung von Finanzinstituten, insbesondere im Risikomanagement und im IT-Outsourcing.

    Christian Dietzmann war Consultant bei EWERK Consulting mit Fokus auf IT-Compliance und wird nun an der Universität Leipzig promoviert. 

    Digital workplace: Let them make a difference!

    Jun 22, 2017 9:00:00 AM For the last decade, employees have been the driving force in defining tomorrow’s digital workplace. By seamlessly integrating technology into their private lives, they have started to transform ...

    Digitalstrategie 2020: Weichenstellung fürs digitale Geschäftsmodell

    Oct 4, 2019 7:20:40 AM Haben Sie schon Vorsätze für 2020? Wir hätten ein paar Vorschläge für Ihre Digitalstrategie und digitalen Geschäftsmodelle. Und zeigen relevante Faktoren. 2020 naht und mit dem neuen Jahr beginnt ...

    EU-Datenschutz-Grundverordnung: Deutlich mehr Aufwand für Unternehmen

    Dec 7, 2017 2:47:28 PM Ab 25. Mai 2018 greift die neue Datenschutz-Grundverordnung (EU-DSGVO) der Europäischen Union. Sie hilft Menschen, ihre persönlichen Daten besser zu schützen. Unternehmen müssen sich jetzt auf ...

    Meine ehrliche Designer-Meinung: Schluss mit dem Designer-Porno! [Update 12.09.19]

    Aug 3, 2017 11:30:00 AM User Experience Design– kurz: UX Design – ist kein Selbstzweck. Doch was ist gutes UX Design? Die Definition von gutem UX Design bemisst nach seinem Gebrauchswert und nicht nur nach ästhetischen ...

    Cloud Computing in der Medizin: Nur Mut! Die Cloud kann Leben retten

    Apr 20, 2017 11:00:00 AM Gesundheit ist für viele zuallererst eine Vertrauensfrage: Deswegen wollen die meisten Menschen in Deutschland Ihre Krankenakte nicht in die Wolke laden. Dabei könnte Cloud Computing für ...

    Familienunternehmen: Der Nachfolger als Digitalisierer

    Nov 24, 2017 12:26:00 PM Firmen in Familienhand haben ein herausragendes Potential bei der Digitalisierung: Sie sind oft lernfähiger, also antifragil – besonders im Moment der Nachfolge.

    Worauf Sie bei der Digitalisierung ihres Archives achten müssen

    Apr 26, 2019 12:17:00 PM Akten in Papierform verstopfen Tausende von Lagerhallen in Deutschland und binden Millionen von Arbeitsstunden. Ein guter digitaler Dokumentenservice befreit alle diese Ressourcen. Auf dem Weg dahin ...

    Disruption der Automobilbranche: Das Auto ist keine Kamera

    Feb 17, 2017 9:00:00 AM In der Mobilitätsindustrie wird die Disruption erneut ganz anders verlaufen als beim Fotoapparat oder beim Mobiltelefon. Denn die Denkstrukturen der etablierten Autohersteller in Deutschland wandeln ...

    E-mobile Welt, wie sie mir gefällt – heute, morgen und übermorgen

    Jul 1, 2021 1:45:00 PM E-Mobility ist nachhaltig, effizient und fortschrittlich. Warum Verbraucher E-Fahrzeugen trotzdem skeptisch gegenüberstehen und wie sie damit die Branche prägen: IT-Consultant Anne-Sophie Hildebrandt ...

    Innovationen katapultieren Unternehmen und Branchen in neue Dimensionen. Wir wissen, wie.

    Zur Sache: Rein formell ist ein Projekt mit der Abnahme und Entlastung beendet. Das dachten auch die Verantwortlichen des