Am 16. August 2021 hat die BaFin die neue Fassung ihrer BAIT veröffentlicht, ihrer Bankaufsichtlichen Anforderungen an die IT. Am selben Tag ist die Novelle in Kraft getreten. Die Aufsicht buchstabiert darin aus, welche Rahmenbedingungen sie nun für eine sichere Informationsverarbeitung und Informationstechnik erwartet. Übergangsfristen gibt es keine, da die BaFin keine grundlegend neuen Anforderungen stellt, sondern bestehende Vorgaben konkretisiert hat.

Hintergründe der Novelle

Einer der Hintergründe der BAIT-Novellierung waren Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) vom November 2019. Mit ihren Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) hatte die EBA seinerzeit auf den FinTech-Aktionsplan der Europäischen Kommission reagiert und für den gesamten Binnenmarkt einheitliche Vorgaben eingeführt: für Kreditinstitute, Wertpapierfirmen und Zahlungsdienstleister. Damit hat die EBA auch den entsprechenden Rahmen für die Aufsichtspraxis der nationalen Aufsichtsbehörden abgesteckt.

Die BaFin prüfte daraufhin gemeinsam mit der Deutschen Bundesbank, ob und inwiefern die BAIT ergänzt und angepasst werden müssten. Zusätzlich sollten Erfahrungen aus der Aufsichtspraxis in die Arbeiten einfließen. Eng in die Novellierung eingebunden war auch das Fachgremium IT, dem Vertreterinnen und Vertreter von Fachverbänden der Kreditwirtschaft, kleineren und größeren Instituten sowie Beschäftigte von BaFin und Bundesbank angehören. Auch das Bundesministerium der Finanzen war beteiligt. Öffentlich konsultiert wurde die BAIT-Novelle im Herbst 2020. Weil die Inhalte der BAIT auf den Mindestanforderungen an das Risikomanagement (MaRisk) aufbauen, wurde die BAIT-Novelle parallel zur sechsten MaRisk-Novelle entwickelt, und beide Rundschreiben wurden gleichzeitig veröffentlicht.

Wesentliche Neuerungen

Auch wenn es keine grundlegenden Änderungen gibt, sind die BAIT doch an einigen Stellen erweitert und angepasst worden. Im neuen Kapitel „Operative Informationssicherheit“ zum Beispiel formuliert die Aufsicht Anforderungen an die Ausgestaltung von Wirksamkeitskontrollen für bereits umgesetzte Informationssicherheitsmaßnahmen in Form von Tests und Übungen. Solche Wirksamkeitskontrollen wie etwa Abweichungsanalysen (Gapanalysen), Schwachstellenscans, Penetrationstests und Simulationen von Angriffen sind ein wesentlicher Bestandteil eines jeden effektiven und nachhaltigen Informationssicherheitsmanagementsystems. Die Institute müssen die Sicherheit der IT-Systeme regelmäßig und anlassbezogen kontrollieren. Dabei müssen sie Interessenkonflikte vermeiden: Wer an der Konzeption und Umsetzung von Sicherheitsmaßnahmen beteiligt war, darf diese zum Beispiel nicht nachher prüfen. Die Institute müssen die Ergebnisse solcher Wirksamkeitskontrollen analysieren, Verbesserungsbedarf identifizieren und Risiken angemessen steuern.

Die Unternehmen sollen die neuen Anforderungen in einer internen Richtlinie fixieren, welche die Aufsicht nun im Kapitel „Informationssicherheitsmanagement“ fordert. In dem Kapitel finden sich auch Anforderungen an das Logging und Monitoring, also die Protokollierung von Ereignissen und die Überwachung in Echtzeit, und an die Erkennung und Analyse von sicherheitsrelevanten Ereignissen. So sind beispielsweise potenziell sicherheitsrelevante Informationen angemessen zeitnah, regelbasiert und zentral auszuwerten und müssen für eine angemessene Zeit zur späteren Auswertung zur Verfügung stehen. Dafür ist ein Portfolio an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse zu definieren und weiterzuentwickeln.

Der erweiterte AT 7.3 „Notfallmanagement“ in den neuen MaRisk bildet die Grundlage für das neue BAIT-Kapitel „IT-Notfallmanagement“. Für zeitkritische Prozesse und Aktivitäten sieht es die Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen vor. Ob diese drei Arten von IT-Notfallplänen wirksam sind, müssen die Institute laut BAIT jährlich prüfen – und zwar auf der Grundlage eines IT-Testkonzepts.

Das dritte neue Kapitel der BAIT heißt „Management der Beziehungen mit Zahlungsdienstnutzern“. Es stammt aus dem neuen Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten“ (ZAIT). Seine Inhalte sind auch für große Teile der BAIT-Zielgruppe relevant.

Informationssicherheit statt IT-Sicherheit

Darüber hinaus war es BaFin und Deutscher Bundesbank wichtig, in den BAIT dem Ziel der „Informationssicherheit“ zu folgen und nicht dem – enger gesteckten – Ziel „IT-Sicherheit“. Klassische IT-Sicherheit beschränkt sich auf das Handlungsfeld Informationstechnik, während Informationssicherheit den Schutz von relevanten Informationen zum Ziel hat, gleichgültig, in welcher Form sie vorliegen. Das Handlungsfeld der Informationssicherheit schließt somit alles ein, was im Zusammenhang mit Informationsverarbeitung steht. Im Hinblick auf das Informationssicherheits- und Informationsrisikomanagement (ISM/IRM) wird nun deutlicher, dass die betroffenen Unternehmensprozesse ihre Wirkung für die gesamte Organisation entfalten müssen und es nicht ausreicht, allein den IT-Betrieb und die Anwendungsentwicklung mit angemessenen Ressourcen auszustatten. Die BAIT machen nun zum Beispiel klar, dass die Institute ein umfassendes Programm zur Schulung und Sensibilisierung der Beschäftigten für das Thema Informationssicherheit entwickeln müssen.

Der Forderung der genannten EBA-Leitlinien nach einer klaren Zuweisung von Verantwortlichkeiten kommen die neuen BAIT dadurch nach, dass sie weitere Rollen und Aufgaben des Informationssicherheits- und Informationsrisikomanagements benennen und von den Verantwortlichkeiten für die Geschäftsprozesse abgrenzen. So sind unter anderem die Fachbereiche, die verantwortlich für die einzelnen Geschäftsprozesse sind, dafür verantwortlich, den Schutzbedarf der jeweiligen Prozesse zu ermitteln und zu dokumentieren. Verantwortlich für die Prüfung dieser Ermittlung und Dokumentation ist dagegen das Informationsrisikomanagement.

Angesichts der Komplexität von Cyberbedrohungen betonen die BAIT nun ausdrücklich, wie wichtig es ist, dass sich die Institute über aktuelle externe und interne Bedrohungen und Schwachstellen informieren und die Geschäftsleitung über die Ergebnisse der Risikoanalyse und Veränderungen der Risikosituation unterrichten. Dass Bedrohungen und Schwachstellen auch vom Informationsrisikomanagement zu berücksichtigen sind, sofern sie Risiken für die Organisation darstellen können, wird nun im BAIT-Kapitel „Informationsrisikomanagement“ deutlich.

Anforderungen an die physische Sicherheit, wie sie in den EBA-Leitlinien beschrieben werden, greifen die BAIT in mehreren Kapiteln auf. Die Unternehmen müssen beispielsweise eine Richtlinie zur physischen Sicherheit verfassen, Zutrittskontrollen durchführen und einen angemessenen Perimeterschutz etablieren, der dem Stand der Technik entspricht. Beim Perimeterschutz handelt es sich um den Schutz des Geländes zwischen Gebäude und Grundstücksgrenze.