Ziele der BAIT (Bankaufsichtliche Anforderungen an die IT)

Die Bundesanstalt für Finanzdienstleistungen (BaFin) veröffentlichte Ende 2017 die bankaufsichtlichen Anforderungen an die IT (BAIT), die die Verwaltungsanweisungen für die sichere Ausgestaltung der IT-Systeme sowie der zugehörigen Prozesse und diesbezüglicher Anforderungen an die IT-Governance in deutschen Kreditinstituten umfassen.

Die BAIT thematisieren unter anderem IT-Governance, IT-Ressourcen, Informationsrisikomanagement, IT-Betrieb und Auslagerungen. Sie präzisieren nicht nur die in den MaRisk enthaltenen Anforderungen an die IT, insbesondere in den Bereichen des Informationssicherheitsmanagements und des Benutzerberechtigungsmanagements sowie der IT-Projekte und Anwendungsentwicklung, sondern schränken diese noch weiter ein. Zudem enthalten sie Vorgaben wie die Verpflichtung, einen Informationssicherheitsbeauftragten einzusetzen.

Hinsichtlich der technischen und organisatorischen Maßnahmen für eine verbesserte IT- und Datensicherheit orientieren sich diese Anforderungen an den Grundsätzen des IT-Sicherheitsgesetzes bzw. an den Grundsätzen der Normen der ISO 2700x-Standards.

Entstehung und Entwicklung der BAIT

Bereits am 14. September 2018 kam es zu einer Aktualisierung der BAIT mit einem ergänzenden Abschnitt für die Betreiber von kritischen Infrastrukturen und den damit verbundenen zusätzlichen Anforderungen. Der derzeitige Stand der BAIT ist nur eine Momentaufnahme. Aufgrund ihrer modularen Struktur können zukünftige Themen wie beispielsweise Notfallmanagement, BCM oder Cybersecurity flexibel ergänzt bzw. angepasst werden. Internationalisierung wurde bereits als weiterer Schwerpunkt seitens der BaFin benannt.

Links

Weiterführende Informationen finden Sie

• im Rundschreiben 10/2017 (BA) in der Fassung vom 14.09.2018 der BaFIn
• auf der Webseite der Deutschen Bundesbank   
• im Beitrag "Die BAIT konkretisiert die MaRisk-Anforderungen – und fordert einen In­for­ma­tions­sicherheits­beauftragten" (Eva-Maria Scheiter, www.it-finanzmagazin.de)

Maßnahmen zur Erfüllung der Anforderungen

Durch weitreichende Maßnahmen wird sichergestellt, dass alle gesetzlich und regulatorisch relevanten Anforderungen erfüllt werden, insbesondere die Regelungen aus dem KWG § 25a, der MaRisk und dem BAIT. Es erfolgen hierzu regelmäßige externe Audits.

• Regelung interner Produktionszugriffe durch eine umfassende Prozessregelung (Data Leakage Prevention). Gemäß den Vorgaben an den IT-Grundschutz vom Bundesamt für Sicherheit in der Informationstechnik (BSI) wird eine Vorgehensweise zum Identifizieren und Umsetzen von Sicherheitsmaßnahmen der unternehmenseigenen Informationstechnik (IT) realisiert. Ziel ist das Erreichen eines angemessenen und ausreichenden Schutzniveaus für IT-Systeme. Hierfür wird ein Katalog von technischen Sicherheitsmaßnahmen sowie infrastrukturellen, organisatorischen und personellen Schutzmaßnahmen umgesetzt.
• Business Continuity Management nach ISO 22301
• Schwachstellen-Management mittels einer Scan Engine. Darüber hinaus werden sowohl externe Schwachstellentests als auch interne Penetrationstests und WLAN-Scans regelmäßig von zertifizierten Dienstleistern durchgeführt.
• Computer Emergency Response Teams (CERT), z. B. vom Bundesamt für Sicherheit in der Informationstechnik (BSI), Homeland, Heise etc., senden Informationen zu aktuellen Sicherheitslücken an vereinbarte Accounts des Security-Teams.

Weiterführende Informationen

• Regelmäßige Bereitstellung von Revisionsberichten
• Zertifizierung nach PCI-DSS
• ISO 27001 Zertifizierung für den IT-Betrieb/inkl. 27002 ff.
• Zertifizierung durch den TÜV „Trusted Site Infrastructure“ Level 3 zur Bestätigung einer zuverlässigen IT-Infrastruktur
• Anwendungsentwicklung: Orientierung an ISO/EIC 15504-5 (SPICE Level 3)
• RZ-Betrieb: Orientierung an ISO27001/ITIL