Meldewesen: Der GVB-Risikobericht bietet ein möglichst einfaches Controlling, das auch die Aufsicht zufrieden stellt. Neu ist ein Tool zur Liquiditätsüberwachung. Was bringt das den Banken?
Anzeige
Anzeige
Das Wichtigste in Kürze
- Die BaFin hat die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) überarbeitet und an die „EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken“ angepasst.
- Die neuen BAIT werden voraussichtlich im zweiten Quartal 2021 veröffentlicht. Der Genossenschaftsverband Bayern (GVB) geht davon aus, dass die Aufsicht keine Umsetzungsfrist für die Banken vorsehen wird.
- Wesentliche Neuerungen betreffen die operative Informationssicherheit, das IT-Notfallmanagement sowie das Management der Beziehungen mit Zahlungsdienstnutzern. Dazu hat die BaFin drei neue Module in die BAIT eingefügt.
- Der GVB und seine Tochtergesellschaft Genossenschafts-Treuhand Bayern (GTB) unterstützen die bayerischen Volksbanken und Raiffeisenbanken bei der Bewältigung der Anforderungen mit zahlreichen Leistungen.
Die Europäische Bankenaufsichtsbehörde (EBA) hat im November 2019 die „EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken“ veröffentlicht („IKT“ = Informations- und Kommunikationstechnologie). Diese enthalten für Kreditinstitute, Wertpapierunternehmen und Zahlungsdienstleister umfangreiche Vorgaben zum Management ihrer Informationstechnik sowie der Informationssicherheit. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat das zum Anlass genommen, die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT) an die EBA-Leitlinien anzupassen und umfassend zu aktualisieren.
Die finale Veröffentlichung der aktualisierten BAIT wird für das zweite Quartal 2021 erwartet. Die BaFin hatte Verbänden und Betroffenen bis Ende November 2020 Gelegenheit gegeben, sich zur Novelle zu äußern. Der Genossenschaftsverband Bayern (GVB) geht davon aus, dass sich die finale Fassung nur noch in Kleinigkeiten von jener unterscheiden wird, die von der BaFin zur Konsultation gestellt wurde. Von daher ist schon jetzt ein Ausblick auf die Neuerungen möglich. Ähnlich wie bei der grundlegenden Überarbeitung der BAIT im Jahr 2017 erwartet der GVB keine Umsetzungsfrist, da die BaFin die Anforderungen aus den EBA-Leitlinien als „grundsätzlich bekannt“ voraussetzt.
BAIT enthält drei neue Module
Bayerische Volksbanken und Raiffeisenbanken, die ihren Informationssicherheitsbeauftragten selbst stellen und nicht an die GVB-Tochter Genossenschafts-Treuhand Bayern (GTB) ausgelagert haben, stehen nun vor der Aufgabe, ihre bestehenden Prozesse und IT-Strukturen selbst an die neuen Anforderungen der BAIT anzupassen. Der GVB empfiehlt, ein Umsetzungsprojekt für das zweite Quartal 2021 vorzusehen. Neben der Aktualisierung bestehender Inhalte wurden die BAIT um drei neue Kapitel auf nun zwölf „Module“ erweitert. Welche Anforderungen ergeben sich daraus für die Banken?
Operative Informationssicherheit
Das neue Modul „Operative Informationssicherheit“ der BAIT macht in deutlicher Abgrenzung zum weiterhin bestehenden Kapitel „IT-Betrieb“ Vorgaben, wie die Informationssicherheit operativ umzusetzen ist. Außerdem definiert es Anforderungen, wie Schutzmaßnahmen entsprechend dem Stand der Technik auszugestalten sind. Der Fokus liegt dabei auf Maßnahmen und Prozessen zur Überwachung und Steuerung von IT-Risiken. Potenziell sicherheitsrelevante Informationen müssen angemessen zeitnah, regelbasiert und zentral analysiert und für spätere Auswertungen vorgehalten werden. Weitere wichtige Neuerungen:
- Der Begriff des Informationsverbunds wird künftig so definiert, dass Dritte einbezogen werden können.
- Die Banken müssen ein angemessenes Portfolio an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse definieren. Diese Regeln müssen regelmäßig sowie anlassbezogen auf ihre Wirksamkeit geprüft und weiterentwickelt werden.
- Die Sicherheit der IT-Systeme muss regelmäßig, anlassbezogen und unter Vermeidung von Interessenkonflikten überprüft und auf notwendige Verbesserungen analysiert werden.
- Die BaFin empfiehlt den Banken in den BAIT, ein sogenanntes Security Operation Center (SOC) einzurichten.
- Neben den regulären Maßnahmen zur betrieblichen Überwachung wird die vorausschauende Durchführung von Sicherheitsanalysen und Penetrationstests gefordert, um die Sicherheit des IT-Betriebs praktisch nachzuweisen.
Nachdem die finale Fassung der BAIT-Novelle noch nicht veröffentlicht ist, bleibt abzuwarten, wie stark die Anforderungen abhängig von der Größe der Bank (Proportionalitätsprinzip) gewichtet werden und ob sie im genossenschaftlichen Finanzverbund primär die Banken betreffen oder die Rechenzentrale Fiducia & GAD.
IT-Notfallmanagement
Bisher wurde das IT-Notfallmanagement in den BAIT nicht eigens berücksichtigt. Mit dem neuen Modul „IT-Notfallmanagement“ wird das nun geändert. Dieses konkretisiert den Allgemeinen Teil (AT) 7.3 der Mindestanforderungen an das Risikomanagement (MaRisk), der im Rahmen der bevorstehenden MaRisk-Novelle ebenfalls aktualisiert wurde. Die BaFin hat die MaRisk ebenso wie die BAIT überarbeitet und wird die neuen Fassungen in Kürze gemeinsam veröffentlichen.
Die Ergänzung des Kapitels IT-Notfallmanagement in den BAIT war zu erwarten, da bereits in den EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken ein entsprechendes Kapitel enthalten ist. Die BaFin stellt ihre Vorgaben nun analog auf. Mit Bezug auf die MaRisk fordert die BaFin in den BAIT nun die Einführung von Notfallprozessen für die IT. Diese müssen dokumentiert werden. Das gilt auch, wenn diese Aufgaben an ein drittes Unternehmen ausgelagert wurden. Weitere wichtige Punkte im neuen Kapitel IT-Notfallmanagement:
- Zeitkritische Geschäftsprozesse müssen regelmäßig – mindestens einmal jährlich – geprüft und Notfälle simuliert werden.
- Die Aufsicht etabliert für das IT-Notfallmanagement ein regelmäßiges, quartalsbezogenes Reporting.
- Die Ziele und Rahmenbedingungen des IT-Notfallmanagements müssen auf Basis der Ziele des allgemeinen Notfallmanagements strategisch definiert werden und im Einklang mit den Unternehmensstrategien stehen.
- Das allgemeine Notfallmanagement und die Geschäftsfortführung sowie das IT-Risiko- und Informationssicherheitsmanagement müssen zukünftig enger mit dem IT-Notfallmanagement verzahnt werden.
- Die IT-Notfallvorsorge und IT-Notfallkonzepte müssen mit Dritten/IT-Dienstleistern abgestimmt werden.
Management der Beziehungen mit Zahlungsdienstnutzern
Das dritte neue Modul „Management der Beziehungen mit Zahlungsdienstnutzern“ richtet sich an Institute, die Zahlungsdienste im Sinne des § 1 Abs. 1 Satz 2 Zahlungsdiensteaufsichtsgesetz (ZAG) erbringen. Durch die Aufnahme des Kapitels wird der Anwendungskreis der BAIT um Institute, die Zahlungsdienste erbringen, erweitert. Die konkreten Anforderungen werden allerdings erst in der angekündigten Konsultation der sogenannten „Zahlungsdiensteaufsichtlichen Anforderungen an die IT“ (ZAIT) konkretisiert und dann von der BaFin in die finale Fassung der novellierten BAIT überführt.
Weitere Änderungen in den BAIT
Neben der Einführung der drei neuen Module hat die BaFin auch die Inhalte bestehender Module weitestgehend überarbeitet. Die daraus resultierenden Anpassungen verursachen in der Umsetzung für die Institute nach Einschätzung des GVB einen niedrigen bis mittleren Handlungsbedarf. Die Grafik gibt einen Überblick über die Änderungen in den einzelnen Modulen.
In den Modulen zur IT-Strategie und zur IT-Governance (Module 1 und 2) gibt es nur wenige inhaltliche Anpassungen. Unter anderem hat die BaFin grundlegende Aussagen zur Schulung und Sensibilisierung von Mitarbeitern zur Informationssicherheit aufgenommen. Außerdem werden die Banken aufgefordert, wichtige Abhängigkeiten zu Dritten darzustellen.
Informationsrisikomanagement
Modul 3 zum Informationsrisikomanagement (IRM) enthält ebenfalls neue und konkretisierte Anforderungen. So muss die Gefahrenlage des Instituts durch interne und externe Bedrohungen laufend überwacht werden. Die Kontrollaufgaben zur Feststellung des Schutzbedarfs sind für den kompletten „Informationsverbund“ zu überprüfen. Der Begriff stammt aus den BAIT und umfasst die gesamte IT-Infrastruktur sowie IT-Anwendungen und IT-Systeme der Bank sowie deren Abhängigkeiten zu den Geschäftsprozessen. Die Verantwortlichkeiten zu Informationsrisiken müssen zukünftig dediziert definiert werden.
Die Anpassungen im Modul 3 zum Informationsrisikomanagement führen zu Handlungsbedarf bei den Instituten. Dies betrifft spezifische Schulungen für die Fachbereiche zur Informationssicherheit und sogenannte Awareness-Maßnahmen analog zu den Vorgaben der EBA-Leitlinien. Dazu muss eine Erfolgskontrolle der Maßnahmen etabliert werden. Darüber hinaus hat die BaFin die Verantwortung der Geschäftsleitung für die Informationssicherheit explizit herausgestellt.
Ebenso muss der Informationsverbund zukünftig detaillierter betrachtet werden. Dabei sind die Schutzziele Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit der Informationen sowie die dazugehörigen kritischen Prozesse und verarbeiteten Daten ganzheitlich in den Blick zu nehmen. Daraus sollten sich die generellen Anforderungen an einen durchgängigen und dauerhaften Informationsschutz automatisch ableiten lassen. Bei der einen oder anderen Bank sieht der GVB hier noch Handlungsbedarf. In diesem Zusammenhang sind nicht nur die einzelnen Anwendungen, Systeme und Räume zu berücksichtigen, sondern auch Schnittstellen und Abhängigkeiten zu Dritten.
Anforderungen an den IT-Betrieb
In den Modulen 6 und 8 „Identitäts- und Rechtemanagement“ (vormals Benutzerberechtigungsmanagement) sowie „IT-Betrieb“ wurden vereinzelte Punkte redaktionell ergänzt oder klargestellt. So müssen Zeitvorgaben bei der Einrichtung, Änderung, Deaktivierung oder Löschung von Berechtigungen eingehalten werden. Beim Modul 9 „Auslagerung/sonstiger Fremdbezug“ wurden Vorgaben an den IT-Betrieb in Vereinbarungen und Verträgen mit Auslagerungspartnern aufgenommen, sodass die Anforderungen der BAIT im Vergleich zu den wesentlichen Änderungen in der anstehenden MaRisk-Novelle vergleichsweise gering ausfallen.
Dokumentation bei IT-Projekten
Das Modul 7 „IT-Projekte/Anwendungsentwicklung“ wurde um die konkrete Benennung der organisatorischen Grundlagen und Dokumentationserfordernisse bei IT-Projekten und der Entwicklung von Anwendungen erweitert. Außerdem muss auch hier der Informationssicherheitsbeauftragte eingebunden werden. Zum Schutz der Informationen müssen risikoorientiert Penetrationstests durchgeführt werden.
Zusammenfassung
Bei den Volksbanken und Raiffeisenbanken wird zwar ein Großteil des Handlungsbedarfs durch zentrale IT-Dienstleister wie die Fiducia & GAD sowie durch Unterstützungsleistungen der Verbände abgedeckt – dennoch kommen die einzelnen Institute nicht umhin, ihren Handlungsbedarf zu identifizieren, einzelne Maßnahmen zu adaptieren und in den bestehenden Prozessen und Verfahren umzusetzen. Hieran angeschlossen werden auch die IT-Provider der Banken aktiv werden müssen, um im Rahmen der bestehenden Auslagerungen die für sie ebenfalls geltenden regulatorischen Vorgaben zu erfüllen.
Markus Krug ist Geschäftsfeldverantwortlicher Beauftragtenwesen beim Genossenschaftsverband Bayern und unter mkrug(at)gv-bayern.de zu erreichen.
Unterstützung durch den GVB und die GTB
Der Genossenschaftsverband Bayern (GVB) bietet den bayerischen Volksbanken und Raiffeisenbanken Unterstützungsleistungen in Form neuer Arbeitsanweisungen und Vorlagen an. Der GVB arbeitet über den Arbeitskreis Informationssicherheit des Bundesverbands der Deutschen Volksbanken und Raiffeisenbanken (BVR) aktiv daran mit, eine Verbundinterpretation der BAIT und der MaRisk zu erstellen. Diese wird den Banken über den BVR zeitnah nach Veröffentlichung der BAIT zur Verfügung gestellt. Zudem bietet die GVB-Tochter Genossenschafts-Treuhand Bayern (GTB) zusätzlich BAIT-Checks sowie Beratungsdienstleistungen zum Notfallmanagement an, um eine höhere Prüfungssicherheit zu erreichen. Banken können bei Bedarf eine Auslagerung des Informationssicherheitsbeauftragten sowie weitere Beratungen wie beispielsweise Simulationen von Sonderprüfungen der Bankenaufsicht nach § 44 Kreditwesengesetz über die GTB beauftragen. Weitere Informationen gibt es auf der Webseite der GTB oder unter 089/2868-3580 beziehungsweise gtb(at)gv-bayern.de.