Bankaufsichtliche Anforderungen an die IT: Konkrete Anforderungen zur Umsetzung des AT 7.2 der MaRisk

Die BaFin hat mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) weitere Anforderungen aufgestellt, die Genossenschaftsbanken im Bereich Informationstechnologie umzusetzen haben. Die neuen bankaufsichtlichen Anforderungen stellen eine Konkretisierung des allgemeinen Teils 7.2 der MaRisk „Technisch-organisatorische Ausstattung“ dar. Diese sind durch den IT-Sicherheitsbeauftragten und das IT-Sicherheitsteam in Zusammenarbeit mit den Kollegen der Bereiche IT und Organisation zu implementieren. Vielfach ergeben sich Unsicherheiten bei der Umsetzung, welche neuen Anforderungen an Sie durch die BAIT gestellt werden.

Autor: Dr. Haiko Timm

Im März des Jahres hat die BaFin ein Konsultationspapier zu dem bereits 2014 angekündigten  Rundschreiben „Bankaufsichtliche Anforderungen an die IT (BAIT)“ vorgelegt. Der Entwurf umfasst 17 Textseiten mit 59 Textziffern und hat gemäß Einleitung die Zielsetzung „einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der IT der Institute, insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement“ vorzugeben. Eine Veröffentlichung ist aktuell für das dritte Quartal angekündigt.

Die Ausführungen behandeln die folgenden acht Schwerpunkte: IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte / Anwendungsentwicklung, IT-Betrieb und Auslagerungen. Es wird dabei immer wieder der Bezug zu den MaRisk hergestellt, ganz besonders zum AT 7.2  „Technisch-organisatorische Ausstattung“.

BaFin fordert angemessene quantitative, qualitative und dem Stand der Technik angepasste Personalausstattung

In Hinsicht auf die Gestaltung der Informationstechnologie fordert die BaFin eine angemessene quantitative, qualitative und dem Stand der Technik angepasste Personalausstattung (TZ 5). Hiermit wird ein hoher personeller Anspruch an einen geregelten IT-Betrieb und ebenso an das Informationssicherheits- und Risikomanagement signalisiert. In der Praxis zeigt sich immer wieder, dass die bereitgestellten Personal- und Zeitkapazitäten nicht für die Gestaltung eines qualitativen Informationssicherheitsmanagement ausreichen. Es ist die Funktion des Informationssicherheitsbeauftragte und ebenso seines Vertreters einzurichten (TZ 19).

Damit wird es zukünftig nicht mehr möglich sein, anstelle eines Informationssicherheitsbeauftragten einem Informationssicherheitsteam die Aufgaben zur Gestaltung und Pflege des Informationssicherheitskonzepts zu übertragen. Es wird vielmehr ein Mitarbeiter als Beauftragter und ein weiterer Mitarbeiter als Vertreter, beide mit entsprechender Qualifikation, zu benennen sein. Natürlich ist weiterhin eine Zusammenarbeit im Team möglich. Beim Aufbau des Informationsrisikomanagements wird ergänzend die Beteiligung und Mitwirkung der Informationseigentümer (Geschäftsprozessverantwortliche und Schutzobjektverantwortliche) in Hinsicht auf die Unabhängigkeit der Bewertung verlangt (TZ 9). Die Durchführung der Analysearbeiten und Risikobetrachtungen allein durch das Informationssicherheitsteam oder den -beauftragten ist somit nicht mehr ausreichend.

Auswahl des Informationssicherheitsbeauftragten: Viele Banken richten zentrales Beauftragtenwesen inklusive Informationssicherheitsmanagement ein.

Bei der Auswahl des Informationssicherheitsbeauftragten ist zur Vermeidung von Konflikten auf eine organisatorische und prozessuale Unabhängigkeit seiner Person zu achten. Es ist nicht zugelassen auf Mitarbeiter zuzugreifen, die mit dem Betrieb und der Weiterentwicklung der IT-Systeme betraut sind (TZ 20). Diese Anforderung wird für viele Banken zu Änderungen führen, da die Funktion des Informationssicherheitsbeauftragen häufig von IT-Mitarbeitern wahrgenommen wird. Eine Lösung, die bereits viele Banken praktizieren, ist die Einrichtung eines zentralen Beauftragtenwesens inklusive Informationssicherheitsmanagement.

Die Möglichkeit zur Auslagerung des Informationssicherheitsbeauftragten auf ein externes Unternehmen wurde durch die BaFin auf einer Tagung im Jahr 2014 verneint: Der Beauftragte muss Mitarbeiter der Bank sein. Eine externe Beratung ist selbstverständlich zugelassen. Diese Stellungnahme löste im Nachgang der Tagung zahlreiche negative Reaktionen aus, da viele Banken diese Tätigkeit aufgrund der komplexen Anforderungen ausgelagert hatten.

Auch die BaIT fordern in diesem Zusammenhang einen Mitarbeiter aus der Bank (TZ 21). Im Erläuterungsteil wird diese Textziffer ergänzt: „Im Hinblick auf regional tätige (insbesondere verbundangehörige) Institute ohne wesentliche eigenbetriebene IT mit einem gleichgerichteten Geschäftsmodell und gemeinsamen IT-Dienstleistern für die Abwicklung von bankfachlichen Prozessen, ist es im Hinblick auf die regelmäßig verbundseitig vorhandenen Kontrollmechanismen zulässig, wenn mehrere Institute einen gemeinsamen Informationssicherheitsbeauftragten bestellen, wobei vertraglich sicherzustellen ist, dass dieser gemeinsame Informationssicherheitsbeauftragte die Wahrnehmung der einschlägigen Aufgaben der Funktion in allen betreffenden Instituten jederzeit gewährleisten kann.“

Die Kriterien gleichartige IT-Anwender mit einer einheitlichen Geschäftsstrategie ohne eigenen IT-Betrieb erfüllen die Verbundbanken im hohen Maße. Damit wird eine Auslagerung des Informationssicherheitsbeauftragten bei Genossenschaftsbanken weiterhin (oder wieder) möglich sein. Unabdingbar ist natürlich eine qualifizierte Kontaktstelle bzw. –person in der Bank.

Umfassende Dokumentationen künftig erforderlich

Ein Kapitel befasst sich mit dem Thema Anwendungsentwicklung durch den Endbenutzer in den Fachbereichen (Individuelle Datenverarbeitung = IDV). Die BAIT fordern für die Eigenentwicklung die Anwendung eines Software-Life-Cycles mit definierten Ergebnissen der einzelnen Phasen (TZ 37). Dieser ist zur Qualitätssicherung des Projektfortschritts als Teil der Programmierrichtlinie zu verankern. Dazu kommen Anforderungen zur Durchführung und Dokumentation des Testverfahrens. Die Verantwortung wird hier beim jeweiligen Fachbereich gesehen.

Für die Anwendungen werden eine Anwenderdokumentation sowie eine technische System- und eine Betriebsdokumentation gefordert, damit sachkundige Dritte die Entwicklung nachvollziehen können (TZ 40). Weitere Aspekte sind die Versionierung und das Freigabeverfahren. In diesem Kapitel sind viele Parallelen zu der Sichtweise des Instituts der Wirtschaftsprüfer (IDW) zu finden.

Der Prüfungsstandard 850 „Projektbegleitende Prüfung bei Einsatz von Informationstechnologie“ kann zur Umsetzung der BAIT eine geeignete Hilfestellung bieten. Ob sich diese umfangreichen Anforderungen unter ökonomischen Gesichtspunkten bei Eigenentwicklungen umsetzen lassen, ist im Einzelfall zu entscheiden. Die IDV ist gemäß BaIT mit der Aufnahme, Analyse des Schutzbedarfs und der Risikobewertung genau wie die zentralen Anwendungen in das Informationssicherheitskonzept der Bank einzubinden.

Ergänzend zum modifizierten AT 9 „Auslagerung“ aus dem Konsultationspapier der MaRisk wird auch in den BAIT hierauf Bezug genommen (TZ 54). Im Vordergrund steht der Fremdbezug von IT-Dienstleistungen. Damit wird sich das Auslagerungsmanagement nicht nur mit wesentlichen / nichtwesentlichen Auslagerungen befassen. Für fremdbezogene Software und Dienstleistungen sind vertragliche Aspekte, eine Risikobewertung vor Einführung und eine qualitative Überwachung einzuhalten. Damit ergeben sich die gleichen Anforderungen wie bei der Auslagerung selber.

Die in diesem Beitrag dargestellten Aspekte stellen nur einen Ausschnitt aus den bankaufsichtlichen Anforderungen an die IT dar. Banken, die ein stabiles Informations- und Risikomanagement betreiben, werden nur in Teilen Veränderungen oder Anpassungen nach Verabschiedung des vorliegenden  Konsultationspapiers vornehmen müssen. Es bleibt abzuwarten, ob sich dieser Sachverhalt nach der Veröffentlichung der 6. Novelle der MaRisk möglicherweise ändert.