Mit ihrem Rundschreiben 10/2017 (BA) vom 3. November 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) konkrete Anforderungen an die IT-Sicherheit bei Banken aufgestellt. Die BAIT stellen eine Auslegung gesetzlicher Anforderungen und eine Konkretisierung der, in den Mindestanforderungen an das Risikomanagement (MaRisk) enthaltenen, Anforderungen dar. Sie machen eine Überprüfung vorhandener Strukturen und Abläufe und ggf. Anpassungsprozesse erforderlich.


Nachstehend geben wir Ihnen einen kurzen Überblick über die einzelnen Anforderungen der BAIT. Wie auch die MaRisk verfolgen die BAIT einen prinzipienorientierten Ansatz, der die Umsetzung des Prinzips der doppelten Proportionalität erlaubt. Konkrete Anforderungen an das einzelne Institut sind daher auf Basis der institutsspezifischen Verhältnisse abzuleiten.

Überblick

Die BAIT formulieren in insgesamt acht Abschnitten konkrete Anforderungen in folgenden Bereichen:

  • IT-Strategie (Tz. 1 und 2)
  • IT-Governance (Tz. 3 bis 7)
  • Informationsrisikomanagement (Tz. 8 bis 14)
  • Informationssicherheitsmanagement (Tz. 15 bis 22)
  • Benutzerberechtigungsmanagement (Tz. 23 bis 30)
  • IT-Projekte, Anwendungsentwicklung inkl. durch Endbenutzer in den Fachbereichen (Tz. 31 bis 44)
  • IT-Betrieb inkl. Datensicherung (Tz. 45 bis 51)
  • Auslagerung und sonstiger Fremdbezug von IT-Dienstleistungen (Tz. 52 bis 56)

Unberührt von den in den BAIT vorgenommenen Konkretisierungen bleiben die allgemeinen Anforderungen aus dem Kreditwesengesetz (§§ 25a, 25b) und den MaRisk (hier insbesondere AT 7.2) sowie anderen Vorgaben (z.B. Anforderungen aus dem IT-Sicherheitsgesetz, IT-Grundschutzkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) oder ISO/IEC 2700X der International Organization for Standardization), die es ebenfalls zu beachten gilt.

Informationssicherheitsbeauftragter

Eine der wesentlichsten Neuerungen der BAIT stellt die Anforderung zur Einrichtung der Funktion eines Informationssicherheitsbeauftragten dar (BAIT Tz. 18), der die Verantwortung für die IT-Sicherheit des Instituts übernimmt.
Der Informationssicherheitsbeauftragte hat in regelmäßigen Abständen (oder anlassbezogen) über den Stand der Informationssicherheit an die Geschäftsleitung zu berichten. Zu den Aufgaben des Informationssicherheitsbeauftragten gehören darüber hinaus u.a.

  • die Beratung der Geschäftsleitung in allen Belangen der Informationssicherheit,
  • das Erstellen von Informationssicherheitsrichtlinien,
  • die Initiierung, Realisierung und Überwachung von Informationssicherheitsmaßnahmen,
  • die Untersuchung und Berichterstattung über Informationssicherheitsvorfälle sowie
  • die Initiierung und Koordination von Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit.

Zur Vermeidung von Interessenkollisionen ist die Stelle des Informationssicherheitsbeauftragten organisatorisch und prozessual unabhängig auszugestalten und mit den erforderlichen Ressourcen auszustatten.

Ungeachtet der Anforderung, die Funktion des Informationssicherheits-beauftragten grundsätzlich im eigenen Haus vorzuhalten, besteht für kleinere (gruppenangehörige) Institute ohne wesentliche eigenbetriebene IT unter bestimmten Voraussetzungen die Möglichkeit, einen gemeinsamen Informationssicherheitsbeauftragten zu bestellen.

Darüber hinaus ist es grundsätzlich zulässig, dass der Sicherheitsbeauftragte auch andere Funktionen innerhalb des Instituts (ausgenommen ist die Internen Revision) übernimmt.

Anwendungszeitpunkt und Umsetzungsfrist

Das Rundschreiben ist mit seiner Veröffentlichung am 6. November 2017 in Kraft getreten. Die BAIT stellen eine Auslegung bestehender gesetzlicher Regelungen, hier der §§ 25a Absatz 1 KWG und 25b KWG dar. Da die BAIT damit grundsätzlich keine neuen Anforderungen an die Institute bzw. ihre IT-Dienstleister kodifizieren, sondern lediglich Klarstellungen ohnehin schon vorhandener Anforderungen darstellen, hat die BaFin keine Umsetzungsfristen vorgesehen.
Eine unverzügliche Umsetzung, bei der wir Sie auf Wunsch gerne unterstützen, ist daher geboten.

Fazit

Mit den BAIT hat die BaFin konkretisierende und verbindliche Leitlinien zu den bereits bestehenden gesetzlichen und aufsichtsrechtlichen Anforderungen vorgelegt. Auch wenn damit nach Aussage der BaFin keine neuen Anforderungen hinzukommen, sondern lediglich die Erwartungshaltung der Bankaufsicht transparent gemacht wird, sollte jedes Institut analysieren, ob bzw. inwieweit in der eigenen Organisation Anpassungsbedarf besteht. Diese Betroffenheitsanalyse sollte – da eine Umsetzungsfrist nicht gewährt wurde – unverzüglich eingeleitet werden.

Gerne stehe ich für weitere Fragen persönlich zur Verfügung: