MaRisk-Novelle: Alle Risiken im Blick
Am 3. November 2017 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) veröffentlicht, die am gleichen Tag in Kraft getreten sind. In dem Rundschreiben formuliert die Bankenaufsicht ihre Erwartungshaltung, wie die Kreditinstitute ihre IT-Systeme und die zugehörigen IT-Prozesse sicher ausgestalten. Ebenso benennt sie die Anforderungen an die IT-Governance. Gleichzeitig konkretisieren die BAIT die Vorgaben aus den Mindestanforderungen an das Risikomanagement (MaRisk) und interpretieren die Anforderungen des Kreditwesengesetzes (KWG) aus § 25a Absatz 1 KWG und § 25b KWG.
Die BAIT sind der neue zentrale Baustein für die Aufsicht über die Banken-IT. Sie konkretisieren die erforderliche technisch-organisatorische Ausgestaltung der IT-Systeme und sollen dabei einen flexiblen und praxisnahen Rahmen für deren Umsetzung bieten. Dies gilt besonders für das Management von IT-Ressourcen, das IT-Risikomanagement und die Anforderungen an die Informationssicherheit. Die Genossenschaftsbanken profitieren bei der Umsetzung der BAIT von der Arbeitsteilung in der genossenschaftlichen FinanzGruppe. Dadurch ergeben sich für die Kreditgenossenschaften einige Erleichterungen. Dennoch verbleibt für die Institute ein zum Teil nicht unerheblicher Anpassungsbedarf in den einzelnen Themenbereichen.
Die Themenbereiche der BAIT
Die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) sind in acht zentrale Themenbereiche gegliedert:
1. IT-Strategie
2. IT-Governance
3. Informationsrisikomanagement
4. Informationssicherheitsmanagement
5. Benutzerberechtigungsmanagement
6. IT-Projekte, Anwendungsentwicklung
7. IT-Betrieb (inkl. Datensicherung)
8. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen
Keine Umsetzungsfristen vorgesehen
Für die BaFin stellen die BAIT lediglich eine Klarstellung bereits existierender Anforderungen dar. Deshalb wurden keine Umsetzungsfristen für die neuen Anforderungen vorgesehen. Ob beziehungsweise inwieweit sich im Zusammenspiel mit der MaRisk-Novelle vom 27. Oktober 2017 dennoch Übergangsregelungen ergeben, kann derzeit noch nicht abschließend beurteilt werden. Die neuen MaRisk sehen für Teilbereiche eine Umsetzungsfrist bis zum 31. Oktober 2018 vor, zum Beispiel im allgemeinen Teil (AT) im Modul 9 für den Bereich der Auslagerungen, der um neue Anforderungen ergänzt wurde. Damit dürfte auch für die Vorgaben aus dem BAIT-Modul 8 „Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen“ die genannte Übergangsfrist gelten.
Weil die bayerischen Volksbanken und Raiffeisenbanken bereits über ein Informationssicherheitsmanagement verfügen, sind sie gut auf die Vorschriften der BAIT vorbereitet. Außerdem orientieren sich die Kreditgenossenschaften im Freistaat in der Regel am „Standard für Ordnungsmäßigkeit der IT-Verfahren“ der Fiducia & GAD IT AG (SOIT), der die BAIT bereits in vielen Bereichen erfüllt. Bei konsequenter Orientierung an den SOIT verursachen auch die Module „Benutzerberechtigungsmanagement“ und „IT-Betrieb“ der BAIT bei den Banken nur geringen Anpassungsbedarf.
BAIT nehmen Vorstände in die Pflicht
Allerdings nehmen die BAIT stärker als bisher den Vorstand in die Pflicht, indem sie ihm in verschiedenen Bereichen die Verantwortung zuweisen. So wird von den Vorständen verlangt, eine mit der Geschäftsstrategie in Einklang stehende IT-Strategie festzulegen. Außerdem stellt das Regelwerk an verschiedenen Stellen „Mindestanforderungen“ auf. Es werden zum Beispiel die Mindestinhalte einer IT-Strategie definiert. Im Bereich IT-Governance sollten die Kreditinstitute die IT-Aufbau- und Ablauforganisation auf eventuelle Interessenkonflikte sowie auf die notwendige Ressourcenausstattung überprüfen. Außerdem sollten sie die Regelungen zum Projektmanagement an die erweiterten Anforderungen anpassen, um die Anforderungen aus dem Modul „IT-Projekte und Anwendungsentwicklung“ abzudecken. Zudem ist eine Überprüfung der Vorgaben für die Bereiche Eigenentwicklung und -programmierung empfehlenswert. Soweit noch keine Richtlinie für die individuelle Datenverarbeitung (IDV-Richtlinie) und ein zentrales Register für Eigenentwicklungen erstellt wurde, sollte dies nachgeholt werden.
BAIT bündeln Vorgaben
Anforderungen an das Management von Informati-onsrisiken
Im Bereich des Informationsrisikomanagements wurden formelle Vorgehen in der Risikobewertung gegenüber den bisher angewendeten Methoden verändert, etwa beim Vergleich des Sollmaßnahmenkatalogs mit wirksam umgesetzten Maßnahmen. Neu ist auch die Vorgabe, dem Vorstand mindestens vierteljährlich über die Ergebnisse der Risikoanalyse sowie über Veränderungen der Risikosituation Bericht zu erstatten. Die BAIT verlangen außerdem gleichlautend zu den Auslagerungen von IT-Dienstleistungen auch für jeden sonstigen Fremdbezug von IT-Dienstleistungen eine Risikobewertung und die Überwachung der Leistungserbringung sowie die Erstellung einer Vertragsübersicht. Der Arbeitskreis Outsourcing des Bundesverbands der Deutschen Volksbanken und Raiffeisenbanken (BVR) wird die Vorgaben zur Auslagerung noch in einer Verbundinterpretation konkretisieren.
Unterstützung durch den GVB
Der Genossenschaftsverband Bayern (GVB) bietet den bayerischen Volksbanken und Raiffeisenbanken Unterstützungsleistungen in Form neuer Arbeitsanweisungen und Vorlagen an. Im genossenschaftlichen Finanzverbund wurde unter Beteiligung des GVB eine Anleitung zur Erstellung einer individuellen IT-Strategie sowie eine Verbundinterpretation der BAIT erstellt. Zudem bietet die GVB-Tochtergesellschaft Genossenschafts-Treuhand Bayern GmbH Wirtschaftsprüfungsgesellschaft (GTB) zusätzlich BAIT-Checks an, um eine höhere Prüfungssicherheit zu erreichen. Banken können eine Auslagerung des Informationssicherheitsbeauftragten über die GTB beauftragen.
Die erstmalige Konkretisierung der MaRisk durch die BAIT kann darüber hinaus noch weiteren Anpassungsbedarf auslösen. Dieser ergibt sich einerseits sowohl aus den IT-relevanten Neuerungen der MaRisk-Novelle, ist andererseits aber auch vom individuellen Umsetzungsstand der jeweiligen Bank abhängig. Daher ist es empfehlenswert, dass jede Kreditgenossenschaft ihren spezifischen Anpassungs- beziehungsweise Umsetzungsbedarf in Bezug auf die BAIT bewertet und die erforderlichen Anpassungen vornimmt.
Beauftragter für Informationssicherheit muss benannt werden
Durch die BAIT wird erstmals ausdrücklich vorgeschrieben, dass jedes Kreditinstitut die Funktion eines Informationssicherheitsbeauftragten inklusive Vertretung einzurichten hat. Dessen Aufgaben sind in Kapitel II. 4. Tz. 18 BAIT beschrieben. Die Kreditinstitute sollten dabei die notwendige aufbauorganisatorische Trennung des Informationssicherheitsbeauftragten (inklusive Vertretung) von dem Bereich IT besonders beachten. Zum Informationssicherheitsbeauftragten können keine Mitarbeiter bestellt werden, die für den IT-Betrieb beziehungsweise für die Weiterentwicklung der IT-Systeme zuständig sind oder die Aufgaben der Internen Revision wahrnehmen. Der Informationssicherheitsbeauftragte hat auch die entsprechende Fachkunde für den Bereich der Informationssicherheit vorzuhalten. Dies dürfte einige Kreditgenossenschaften vor eine Herausforderung stellen.
Diesen Sachverhalt hat die BaFin erkannt und die ursprünglich hohen Anforderungen der Nichtauslagerbarkeit des Informationssicherheitsbeauftragten aufgehoben. Ein Großteil der bayerischen Volksbanken und Raiffeisenbanken nutzt diese Möglichkeit bereits. Zu beachten ist auch, dass für den Informationssicherheitsbeauftragten analog zum Informationsrisikomanagement eine vierteljährliche, direkte Berichtspflicht an den Vorstand besteht.
Thomas Goldbrunner ist Referatsleiter IT-Service und -Prüfung Banken beim GVB und unter der Mail-Adresse tgoldbrunner(at)gv-bayern.de zu erreichen.