Aufrufe
vor 5 Jahren

die bank 05 // 2017

die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

REGULIERUNG

REGULIERUNG BANKAUFSICHTLICHE ANFORDERUNGEN AN DIE IT Der immerwährende Kampf gegen die „bösen Jungs“ Mit zunehmender Digitalisierung wächst die Zahl potenzieller Einfallstore für Cyber-Gangster. Was heute noch als sicher gilt, kann morgen schon eine neue Schwachstelle sein. IT-Fachleute und Aufseher fühlen sich deshalb manchmal von der Kreativität der „bösen Jungs“ regelrecht verfolgt, sagte BaFin-Präsident Felix Hufeld. Banken müssen deshalb stetig die Sicherheit ihrer IT optimieren – aus eigenem Interesse und aus aufsichtsrechtlichen Ansprüchen. Diese wurden nun in der neuen Richtlinie BAIT komprimiert. Kein Institut kann sich heute noch einen Ausfall seiner IT leisten. Wo sich die Schadenersatzansprüche nach einem stundenweisen Ausfall vielleicht noch in Grenzen halten und – wenn auch mit Auswirkungen auf die Reputation – überstehen lassen, kann eine IT- Ausfallzeit im Tagesbereich das Überleben einer Bank gefährden. Das BSI (Bundesamt für Sicherheit in der Informationstechnologie) hat das schon 2013 in seinem Hochverfügbarkeitskompendium erläutert. Bereits in den MaRisk (AT 7.2) werden Ansprüche an die technisch-organisatorische Ausstattung von Banken definiert. Die Anforderungen an Hard- und Software sehen u. a. die Sicherstellung von Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten vor. Gefragt sind gängige Standards, die Eignung der IT-Systeme und der verwendeten Prozesse muss regelmäßig überprüft werden. Darüber hinaus beschreibt der AT 7.2 die Etablierung von Regelprozessen für Test, Freigabe und Implementierung neuer Programme in die Produktionsprozesse. Überprüfen müssen die Banken natürlich auch die Berechtigungen und andere Kompetenzen ihrer Mitarbeiter im Zusammenhang mit IT-Anwendungen, das ergibt sich aus AT 4.3.1, der die Verpflichtung der Banken beschreibt, die Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege, die mit dem IT-Risikomanagement einhergehen, zu definieren und aufeinander abzustimmen. Konkretisierung der MaRisk All diese Vorschriften der MaRisk werden nun in den neuen Bankaufsichtlichen Anforderungen an die IT, kurz BAIT, aufgegriffen bzw. vertieft. Die BAIT sind eine Konkretisierung der MaRisk. Sie sollen einen flexiblen und praxisnahen Rahmen für das Management der IT-Ressourcen sowie des IT-Risikomanagements schaffen, sagte Jens Obermöller, Leiter des BaFin-Referats Kompetenz IT-Sicherheit im Rahmen einer Informationsveranstaltung in Bonn vor Vertretern aus der Finanzbranche und IT-Sicherheitsexperten. Die BAIT sollen in den Instituten das IT-Risikobewusstsein gegenüber den Unternehmen, an die Daten und Prozesse ausgelagert werden, schärfen. Viel Wert wird darauf gelegt, den Instituten die Erwartungshaltung der BaFin transparent zu vermitteln. Auch „Nicht-IT-Experten“ sollen das Regelwerk verstehen und umsetzen können. Für die Bankaufsichtlichen Anforderungen wurden von der BaFin und der Bundesbank acht Themenbereiche identifziert. Der Aufbau der BAIT ähnelt einem Dreieck mit gestaffelten Ebenen, wodurch die acht Einzelthemen in die Bereiche operative Anforderungen, Steuerung sowie Governance gegliedert werden ÿ 1. Klar in den Bereich Governance fallen die Themen IT-Strategie und IT-Governance. Das Informationsrisikomangement betrifft die Steuerung, das Benutzerberechtigungsmanagement und der IT-Betrieb (inklusive der Datensicherungen) sind Themen aus dem operativen Bereich. Das Informationssicherheitsmanagement, die IT-Projekte- und Anwendungsentwicklung sind Themenbereiche, die sowohl die operative- als auch die Steuerungsebene berühren. Der große Bereich der Auslagerungen sowie Fremdbezug von IT-Dienstleistungen tangiert gar alle drei Ebenen. Um den Verständnisprozess etwas leichter zu gestalten, sind die BAIT analog zu den MaRisk aufgebaut und über konkrete Hinweise verknüpft, d. h. es erfolgen jeweils Verweise auf die Teilziffern in den Mindestanforderungen an das Risikomanagement. Die Verpflichtung der Institute aus den MaRisk, gängige Standards zu beachten, bleibt davon unberührt. Der Aufbau startet nach einer Vorbemerkung mit der Definition der Anforderungen und geht über in die einzelnen Kapitel eins bis acht. Leitsätze verweisen dann jeweils auf die Textziffern in den MaRisk; es erfolgt eine leicht erkennbare Gegenüberstellung zwischen den Ansprüchen der Anforderung und den Erläuterungen dazu. BAIT – acht Themenfelder im Detail Im Rahmen ihrer Informationsveranstaltung stellten die Vertreter der BaFin die acht Themenfelder der BAIT detaillierter vor: ZZ IT-Strategie: Die Geschäftsleitung hat die Aufgabe, eine konsistene IT-Strategie festzulegen, diese zu überprüfen und regelmäßig anzupassen. Zu den Mindestinhalten dieser Strategie gehört die Entwicklung der IT-Aufbau- und Ablauforganisation sowie der dazugehörigen Prozesse in der Bank selbst und ihrer Outsourcing- 32 05 // 2017

REGULIERUNG ZZ Strategie. Weitere Punkte sind eine IT-Sicherheitsorganisation, die strategische Entwicklung der IT-Architektur, Aussagen zum Notfallmanagement sowie zu den Hard- und Software-Komponenten, die in den eigenen Fachbereichen entwickelt und betrieben werden. Unter der IT-Governance wird die Struktur zur Steuerung und Überwachung des Betriebs und die Weiterentwicklung der Systeme und Prozesse verstanden. „Die Geschäftsleitung ist dafür verantwortlich, dass die Regelungen zur IT-Governance wirksam umgesetzt werden“, heißt es in den BAIT. Dazu gehört auch – dass die Bereiche angemessen mit Personal auszustatten sind – vor allem das Informationsrisikomanagement und der IT-Betrieb, betroffen ist davon aber auch die Anwendungsentwicklung. Dabei müssen aber mögliche Interessenkonflikte zwischen IT-Aufbau und -Abwicklungsorganisation vermieden werden. ZZ ZZ Dem Informationsrisikomanagement obliegt es, den Überblick über Abhängigkeiten und Schnittstellen im Informationsverbund zu behalten. Der Bereich muss den Schutzbedarf des Instituts ermitteln, einen Referenzmaßnahmenkatalog (Soll-Anforderungen) zur Umsetzung der Schutzziele erarbeiten und auf Basis dieser Referenzen eine Risikoanalyse durchführen. Die Geschäftsleitung muss über diese Maßnahmen und über Veränderungen in der Risikosituation informiert werden. Das Informationssicherheitsmanagement dient der Vorbeugung und Identifikation von Sicherheitsvorfällen in der IT und der Reaktion auf mögliche Probleme, gewissermaßen wie ein Kreislauf mit den Komponenten Planung – Umsetzung – Erfolgskontrolle – Optimierung und erneute Planung. Der Bereich IT-Sicherheitsmanagement muss dazu die Konzepte und Prozesse definieren – nicht zuletzt im Hinblick darauf, wie die Kommunikation erfolgen soll. 05 // 2017 33

die bank