Die Änderungen der BAIT-Novelle im Überblick

Ein Artikel von Helmut Semmelmayer, Senior Manager Channel Sales bei Tenfold | 19.10.2021 - 15:57
Helmut_Semmelmayer.JPG

Helmut Semmelmayer, Senior Manager Channel Sales bei Tenfold

Wesentliche Änderungen in MaRisk betreffen vor allem das Thema Outsourcing, wie etwa durch externe IT-Dienstleister: Künftig müssen alle Auslagerungen in einem Register dokumentiert und ein Zuständiger im Unternehmen ernannt werden, welcher für die Überwachung und Steuerung des Outsourcings zuständig ist. Zudem gelten strengere Anforderungen an die Risikoanalyse bei externen Dienstleistungen.

Die Anpassungen an BAIT beschäftigen sich hingegen mit dem Notfallmanagement und Wirksamkeitskontrollen für die IT-Sicherheit. Da durch die Novelle „nur“ bestehende Anforderungen konkretisiert wurden (und der Entwurf bereits seit einiger Zeit vorliegt), gibt es dabei keine Übergangsfrist für die Umsetzung. Worauf Banken nun achten sollten, verrät IT-Sicherheitsexperte Tenfold im Überblick.

Informationen für Konsumenten

Der neue ergänzte Abschnitt „Management der Beziehungen mit Zahlungsdienstnutzern“ ist der Verwaltungsvorschrift ZAIT entnommen, da dieser auch für Banken relevant ist. Um Kunden vor Betrug und ähnlichen Risiken zu schützen, müssen Institute diese aufklären, unterstützen und beraten. Details zu angemessenen Kommunikationskanälen sind nun in BAIT festgehalten. Ebenso sieht die Vorschrift Optionen zur Risikominderung vor, etwa durch das Deaktivieren bestimmter Funktionen (z.B. Auslandsüberweisungen).

IT-Notfallmanagement

Institute müssen ein Notfallkonzept definieren, welches folgende Punkte abdeckt: Reduktion möglicher Schäden, Fortsetzung der Geschäftsprozesse, Wiederherstellung des normalen Betriebs. Hier kommen auch die verschärften Anforderungen rund um das Thema Outsourcing zum Tragen. Werden zeitkritische Aktivitäten ausgelagert, müssen die jeweiligen Unternehmen eingebunden werden und ein aufeinander abgestimmtes Notfallkonzept vorlegen. Die Wirksamkeit des Notfallmanagements muss einmal im Jahr überprüft werden, wozu auch ein IT-Testkonzept notwendig ist.

Operative Informationssicherheit

Um sicherzustellen, dass die Anforderungen an die Informationssicherheit im täglichen Betrieb erfüllt werden, liefert BAIT nun konkrete Vorgaben für die laufende Absicherung und Wirksamkeitstests. Beispiele für angemessene Maßnahmen, welche die operative Sicherheit verbessern, sind etwa:

  • Verschlüsselung von Daten
  • Schutz von Daten vor nicht autorisierten Zugriffen
  • Sichere Konfiguration von Systemen (Härtung)
  • Netzwerksegmentierung
  • Physische Absicherung sensibler Bereiche (z.B. Serverraum)

Darüber hinaus müssen im laufenden Betrieb sowohl Schwachstellen als auch sicherheitsrelevante Vorfälle überwacht, dokumentiert und zeitnah analysiert werden. Diese Informationen müssen für einen angemessenen Zeitraum gespeichert werden, um auch eine spätere Auswertung im Rahmen forensischer Analysen zu ermöglichen.

Um die Wirksamkeit der Sicherheitsmaßnahmen zu überprüfen, schreibt der Abschnitt zudem die regelmäßige Kontrolle durch Verfahren wie Schwachstellenscans, Penetrationstests und simulierte Angriffe vor. Bei der Umsetzung müssen Unternehmen Interessenskonflikte vermeiden. Die Durchführung und Auswertung der Kontrollen obliegt daher einer strikten Aufgabentrennung.

Aus IT-Sicherheit wird Informationssicherheit

Statt IT-Sicherheit verwendet die BAIT-Novelle nun durchgehend den Begriff Informationssicherheit. Dadurch möchte die BaFin klarstellen, dass die Ziele der Vorschrift nicht allein Computersysteme betreffen. Einerseits, da sensible Informationen auch in anderweitiger Form vorliegen können (etwa gedruckt). Und andererseits, da ansonsten der Eindruck entstehen könnte, dass das Erfüllen von Sicherheitsstandards einzig und allein in der Verantwortung der IT-Abteilung liegt.

Um sichere Prozesse fest in Finanzinstituten zu etablieren, müssen sämtliche Abteilungen eingebunden und sensibilisiert werden. Die Mitarbeit aller Fachbereiche sorgt für langfristigen Schutz, die initialen Schritte sind hier jedoch mit einigem Aufwand verbunden. Zuständigkeiten zu klären, Konzepte zu erstellen und Kontrollen in die Wege zu leiten erfordert sowohl Koordination als auch Zeit.

Damit Banken sich diesen organisatorischen Aufgaben widmen können, ist es wichtig, so viele der technischen Anforderungen von BAIT wie möglich durch automatisierte Lösungen abzudecken. Ein wichtiges Angebot in diesem Bereich sind etwa Werkzeuge für die Steuerung von Zugriffsrechten und Benutzerkonten, das sogenannte Identity Access Management (IAM). Eine IAM-Lösung kann Routine-Aufgaben in der Benutzerverwaltung selbstständig durchführen und sorgt dabei für die vollständige Dokumentation von Änderungen für den späteren Compliance-Nachweis.