skip to Main Content

BAIT- Ausgewählte Schwerpunkte und Schwachstellen aus Prüfersicht

BAIT- Ausgewählte Schwerpunkte Und Schwachstellen Aus Prüfersicht

Die Informationssicherheit in Banken ist in letzter Zeit immer stärker in den Fokus gerückt. Die Aufsicht musste reagieren und hat mit BAIT die neuen MaRisk präzisiert. Laura Zappavigna hat uns dazu in einem kompakten Überblick mögliche Schwachstellen und die neuen Anforderungen an die IT der Kreditinstitute vorgestellt.

Laura Zappavigna ist als Prüferin im Bereich Banken- und Finanzaufsicht der Hauptverwaltung in Nordrhein-Westfalen der Deutschen Bundesbank tätig. Nachdem sie sich während des dualen BWL-Studiums an der Hochschule der Deutschen Bundesbank auf Bankenaufsicht spezialisierte, absolvierte sie ein berufsbegleitendes Masterstudium mit dem Schwerpunkt Risikomanagement. Sie verfügt über Prüfungserfahrung in allen Bereichen der MaRisk sowie bei Zulassungsprüfungen gemäß CRR sowohl bei verbandsgeprüften als auch systemrelevanten Instituten.

 

Mit der Veröffentlichung der neuen bankaufsichtlichen Anforderungen an die IT (BAIT) vom 03.11.2017 hat die BaFin ihre Anforderungen an die Informationstechnologie (IT) der Institute nach § 25a Abs. 1 Satz 3 Nrn. 4 und 5 sowie nach § 25b KWG um ein weiteres Rundschreiben zur Konkretisierung der MaRisk ergänzt. Damit reagiert die Aufsicht auf die steigenden Herausforderungen für die Informationssicherheit in Kreditinstituten, die neue Technologien und die zunehmende Digitalisierung von Prozessen mit sich bringen.

ChecklisteBei einer IT-Prüfung beurteilt die Aufsicht u. a., ob die Geschäfts- und Risikomanagementprozesse durch die IT angemessen unterstützt werden und die IT im Hinblick auf die operativen Bedürfnisse, die Geschäftstätigkeit und Risikosituation des Kreditinstituts ausreichend ist. Zudem hat die IT ein angemessenes Niveau der Datenqualität zu ermöglichen und die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Daten ist sowohl durch die IT-Infrastruktur (IT-Systeme und Prozesse) wie auch durch die Mitarbeiter jederzeit zu gewährleisten.

Ausgestaltung der IT-Strategie und IT-Governance

IT-Governance bezieht sich im Wesentlichen auf Prozesse und Verfahren – einschließlich der Organisation, Strategie, Richtlinien und Struktur der IT-Architektur – die sicherstellen, dass die IT eines Kreditinstituts die strategischen Ziele unterstützt und ebenso zu erweitern vermag. Da das Management von IT-Systemen und -Prozessen entscheidend für die Implementierung und Aufrechterhaltung einer angemessenen IT-Infrastruktur bezüglich Art, Umfang, Komplexität und Risikobereitschaft der Aktivitäten eines Instituts ist, ist die angemessene Einbindung des verantwortlichen Leitungsorgans unabdingbar. Seitens der Aufsicht wird neben einer klar definierten IT-Strategie inklusive Richtlinien und Verfahren ein geeigneter Governance-Rahmen sowie eine solide und umfassende Systemarchitektur erwartet, die alle Informationsbedürfnisse des Finanzinstituts abdeckt. Zudem sind Verfahren einzurichten, die die Erfüllung der gesetzlichen Anforderungen sicherstellen.

IT-Outsourcing

Vor dem Hintergrund der verschärften Anforderungen an das Auslagerungsmanagement beschäftigt sich neben dem AT 9 der MaRisk auch das Kapitel 8 der BAIT mit Auslagerungen und dem sonstigen Fremdbezug von IT-Dienstleistungen. Die aufsichtliche Erwartungshaltung ist an dieser Stelle, dass an externe Dienstleister ausgelagerte IT-Aktivitäten so gesteuert werden, dass die Qualität der Ergebnisse durch die Auslagerung nicht beeinflusst wird. Wegen der grundlegenden Bedeutung der IT für das Institut ergibt sich jedoch die Besonderheit, dass die BAIT ähnlich hohe Anforderungen an die Steuerung des sogenannten Fremdbezugs von IT-Dienstleistungen wie an IT-Auslagerungen stellen.

Sicherheitsmanagement

IT-Risiko- und Sicherheitsmanagement

Die Aufsicht erwartet von Kreditinstituten einen angemessenen Umgang mit bestehenden Risiken aus der Informationsverarbeitung; d. h. Ziel des IT-Risikomanagements ist es, jene Risiken zu identifizieren, zu steuern, zu überwachen und zu beurteilen, die sich aus dem Einsatz von IT ergeben. Neben angemessenen Maßnahmen zur Identifizierung und zum Umgang mit Schwachstellen in Bezug auf die IT-Sicherheit sind die physische Sicherheit der IT-Systeme zu gewährleisten und Kontrollen einzurichten, die die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten sicherstellen.

Der Gewährung von Zugriffsrechten für Mitarbeiter und Dritte auf die IT-Systeme und daran anschließende Anwendungen kommt eine hohe Bedeutung zu, da Bedrohungen der physischen Sicherheit den ordnungsgemäßen Einsatz von Ressourcen gefährden und die Leistungserbringung wie auch den IT-Betrieb beeinträchtigen können.

Laura Zappavigna | Deutsche Bundesbank

Ausgestaltung des Berechtigungsmanagements

Marketing Eine unzureichende IT-Sicherheit kann die Geschäftstätigkeit eines Instituts als Ganzes gefährden, da die auf IT-Systemen basierende Verarbeitung, Speicherung und Übermittlung von Informationen (z. B. Kundendaten) von entscheidender Bedeutung ist. Der Gewährung von Zugriffsrechten für Mitarbeiter und Dritte auf die IT-Systeme und daran anschließende Anwendungen kommt eine hohe Bedeutung zu, da Bedrohungen der physischen Sicherheit den ordnungsgemäßen Einsatz von Ressourcen gefährden und die Leistungserbringung wie auch den IT-Betrieb beeinträchtigen können. Im Zuge des Berechtigungsmanagements ist demnach sicherzustellen, dass eingeräumte Berechtigungen so ausgestaltet sind und genutzt werden, wie es den organisatorischen und fachlichen Vorgaben des Instituts entspricht.

Neben der Festlegung von Berechtigungskonzepten und der Vergabe von Berechtigungen nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) ist die regelmäßige Rezertifizierung von entscheidender Bedeutung, um etwaige Gefahren zu identifizieren, die aus nicht mehr benötigten oder außerhalb des vorgeschriebenen Verfahrens eingeräumten Berechtigungen wachsen können.

Prüfungsschwerpunkte und konkrete Handlungsempfehlungen

Nutzen Sie unser Intensiv-Seminar „BAIT – IT-Risiken im Fokus der Aufsicht“ und erfahren Sie von unserem Expertenteam aus Aufsicht, Beratung und Bankpraxis wichtige Erkenntnisse aus IT-Sonderprüfungen sowie aktueller aufsichtsrechtlicher Entwicklungen .

KI in der Finanzbranche

Rückblick: Künstliche Intelligenz in der Finanzbranche

Die Finanzbranche befindet sich im Umbruch und hat mit der Künstlichen Intelligenz ein neues Anwendungsfeld im Bereich der digitalen Transformation geschaffen. Welche Methoden können bei der Optimierung von Geschäftsprozessen helfen? Und was kommt in den kommenden Jahren noch auf die Branche zu?
Jetzt kostenlos herunterladen!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Back To Top

Künstliche Intelligenz in der Finanzbranche - wie gelingt das?

Die Finanzbranche befindet sich im Umbruch und hat mit der Künstlichen Intelligenz ein neues Anwendungsfeld im Bereich der digitalen Transformation geschaffen. Wie können Sie Ihre Geschäftsprozesse optimieren?

Jetzt herunterladen!

Download: Künstliche Intelligenz in der Finanzbranche - wie gelingt das?