/BaFin veröffentlicht neue “Bankaufsichtliche Anforderungen an die IT” (BAIT)

BaFin veröffentlicht neue “Bankaufsichtliche Anforderungen an die IT” (BAIT)

Deutsche Bank

(Bild: dpa, Deutsche Bundesbank/Archiv)

Mit den neuen Anforderungen müssen Banken einen Informationssicherheitsbeauftragten installieren, der unabhängig von IT-Betrieb und den Admins sowie der IT-Entwicklung und den Projektleitern weitreichende Befugnisse hat.

Die Bundesanstalt für Finanzdienstleistungen (BaFin) hat einen Überblick über die bankenaufsichtlichen Anforderungen an die IT-Sicherheit veröffentlicht, die Banken ab sofort berücksichtigen müssen. Diese BAIT abgekürzten Anforderungen ergänzen die bereits bestehenden Mindestanforderungen an das Risikomanagement der Banken (MaRisk) vom Oktober 2017.

Die Anforderungen an die IT-Sicherheit regeln die Berichts- und Informationspflicht zwischen dem neuen Informationssicherheitsbeauftragten und den Bankvenorständen, die Überprüfung der IT-Sicherheit beim Alltagsbetrieb inklusive der Datensicherung und der Anwendungsentwicklung eigener Projekte sowie der Auftragsdatenverarbeitung durch Dritte.

Wichtigster Punkt der BAIT-Anforderungen ist die Einführung eines Informationssicherheitsbeauftragten, der mit ausreichenden Ressourcen (eigenem Personal) über die IT-Sicherheit einer Bank wacht, während Admins den IT-Betrieb erledigen und Programmierprojekte vorangetrieben werden. Kleinere Bankinstitute können gemeinsam einen solchen Beauftragten installieren. Dieser dokumentiert die Sicherheitsprozesse wie etwa das Berechtigungsmanagement, die Datensicherung und die Auftragsverarbeitung und muss vierteljährlich einen Bericht vorlegen, in dem alle Problem- oder Sonderfälle festgehalten sind.

Der Bankenvorstand ist wiederum gehalten, diesen Vierteljahresbericht entgegenzunehmen und eventuell vorgeschlagene Ressourcen zur Verbesserung der IT-Sicherheit bereitzustellen. Der Sicherheitsbeauftragte hat nun einige Vollmachten, die nach Darstellung der BaFin neu sind. So kann er etwa unabhängig von den IT-Zyklen eine Datensicherung oder eine Überprüfung der Datenrestaurierung verfügen.

Die BAIT-Anforderungen wurden vor dem Hintergrund veröffentlicht, dass Banken zunehmend Prozesse in ihrem Backoffice an Dienstleister beziehungsweise Fintech-Firmen auslagern und der Blick auf die umfassende Informationssicherheit dabei verlorengehen könnte.
(Detlef Borchers) /


(kbe)