LeanIX is now part of SAP
LeanIX is now part of SAP
LeanIX is now part of SAP
LeanIX is now part of SAP
Die BAIT fasst zusammen, welche sicherheits- und verwaltungstechnischen Vorgaben Kreditinstitute erfüllen müssen. Erfahren Sie noch mehr über die BAIT und deren Anforderungen an den Finanzsektor in unserem Guide!
Sicherheitsansprüche von Kunden und Prüfungsstellen an den Finanzsektor steigen exponentiell mit der Gefahr, die von veralteter IT ausgeht. Die Einführung der BAIT zeigt, dass Kreditinstitute moderne Softwarelösungen benötigen, um den Anschluss an die Digitalisierung nicht zu verpassen.
Nur durch eine konstante und lückenlose Digitalisierung auf Mikro- und Makroebene lässt sich eine vorausschauende Business-Planung im Sinne der BAIT umsetzen. Was aber ist BAIT und welche konkreten Auswirkungen hat es für deutsche Kreditinstitute?
BAIT steht für Bankenaufsichtliche Anforderungen an die IT und fasst zusammen, welche sicherheits- und verwaltungstechnischen Vorgaben Kreditinstitute erfüllen müssen. Aufbauend auf den Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlichte die Bundesanstalt für Finanzdienstleistungen (BaFin) am 3. November 2017 das Rundschreiben 0/2017 (BA) mit neuen IT-Sicherheitsstandards. Seither ist der Bankensektor zur Einhaltung der BAIT verpflichtet.
Am 14. September 2018 erweiterte die BaFin das Rundschreiben um den Abschnitt Kritische Infrastrukturen (KRITIS).
Die MaRisk galten zunächst nur als Handlungsempfehlungen, doch spätestens seit 2017 stehen Kreditinstitute in der Pflicht, selbstverwaltete oder fremdbezogene IT-Systeme unter den Gesichtspunkten Risikomanagement, Datensicherheit und IT-Ressourcen aufzurüsten. Nur durch vorausschauende Planung und Wartung können Banken beste Performance unter sichersten Bedingungen garantieren. Darüber hinaus verpflichten sich Unternehmen zur Ausarbeitung von Notfallkonzepten, um für Cyberbedrohungen gewappnet zu sein.
Eine sichere IT-Infrastruktur ist jedoch nicht nur aus Datenschutzgründen von Bedeutung. Durch die BAIT sind für Banken auch die Prioritäten der Bankenaufsicht nachvollziehbar und das eigene Sicherheitsmanagement darauf abzustimmen. Insbesondere in Hinblick auf §44 des Kreditwesengesetzes (KWG 44) und unangekündigte Prüfungen durch die BaFin sollten Institute ihr digitales Risikobewusstsein stärken. Spätestens mit der 44er-Prüfung kommen gravierende Versäumnisse in der IT-Sicherheit ans Licht.
Ein wesentlicher Teil des BAIT Handlungskatalogs ist vor allem die quantitative und qualitative Anpassung im Personalbereich. Dazu zählt der Ausbau von Personalkapazitäten im Informationssicherheitsmanagement. Zur Implementierung der Maßnahmen ist die Funktion eines unabhängigen IT-Sicherheitsbeauftragter einzurichten. Durch umfassende Berechtigungen soll diese Stelle eine personelle IT-Sicherheitsinfrastruktur schaffen und ein IT-Sicherheitsteam für IT-Planung und Organisation aufbauen.
Die Frage nach der Berechtigung einer regulierten Banken IT sollte sich angesichts der zunehmenden Bedrohung durch Cyberkriminalität gar nicht stellen. Allein im Februar 2020 ließ sich im Vergleich zum Vorjahr ein 238 prozentiger Anstieg von Cyberangriffen im Finanzsektor registrieren.
Angriffsformen, -strategien und -ziele von Cyberkriminellen ändern sich stetig und passen sich wie Viren, die auf Virostatika reagieren, an aktuelle Sicherheitskonzepten an. Die Bedrohung ist asymmetrisch, da Banken sowohl im Visier von organisierter Kriminalität als auch von „Lone Wolf“-Hackern stehen.
Häufige Angriffsmethoden sind DDoS-Angriffe (die Lahmlegung von IT-Systemen durch Überbeanspruchung), CEO-Fraud (Datenklau durch High-Jacking und Spoofing von CEO-Accounts) und Ransomware-Kampagnen (Erpressung von Lösegeld unter Androhung der Veröffentlichung von Kunden- oder Firmendaten).
Abgesehen von Angriffen mit finanziellen Absichten gibt es auch einen Anstieg sogenannter Wiper-Attacken. Bei herkömmlichen Hackerangriffen versuchen Kriminelle heimlich und anhaltend Datendiebstahl zu betreiben, Wiper-Malware jedoch zielt nicht auf Selbstbereicherung, sondern auf Anarchie ab. Wiper löschen Kunden- und Firmendaten im Firmennetzwerk unwiderruflich und zerstören im Worst Case die digitale Infrastruktur eines Unternehmens.
Analysen zufolge können Kreditinstitute ohne IT-Notfallkonzept maximal 48 Stunden nach einem verheerenden Cyberangriff überleben. Vor allem veraltete Softwarelösungen oder die Auslagerung von IT-Diensten an Drittanbieter sind nicht nur versteckte Kostenfallen, sondern bergen auch Sicherheitslücken. Nur durch vorausschauendes Sicherheitsmanagement lässt sich Abhilfe schaffen. Ein aktuelles Sicherheitskonzept, transparente IT-Berechtigungen und ein Ausbau von IT-Ressourcen stärken langfristig nicht nur die eigene digitale Immunabwehr, sondern auch das Kundenvertrauen in Kreditinstitute.
Der Sinn der BAIT-Regularien ist wie bei allen regulierenden Standards die Sicherheitsstärkung und die Vereinheitlichung des Risikomanagements. Aufgrund begrenzter Budgets und Ressourcen ist selbst Jahre nach Veröffentlichung der Bankenaufsichtlichen Anforderungen die lückenlose Umsetzung für viele Institute noch eine Herausforderung.
Softwarelösungen wie die Enterprise Architecture Suites von LeanIX können Ihnen helfen, Ihr Informationsrisikomanagement zu optimieren und die Performance zu steigern. Dank Software-as-a-Service (SaaS) laufen Institute nicht mehr Gefahr sich im Dschungel veralteter Sicherheitssoftware zu verirren. Durch In-Memory-Datenbanken, Echtzeitzugriff auf Daten, Prozessbeschleunigung durch Machine Learning, Künstliche Intelligenz und Cloud-Anwendung lassen sich neue und immer aktuelle Technologien auf allen Ebenen implementieren und die IT-Landschaft übersichtlich und lückenlos gestalten.
Der Handlungskatalog der BAIT besteht aus acht Maßnahmenmodulen. Der Fokus der Bankenaufsicht in Sachen IT-Sicherheitsmanagement liegt auf folgenden Themenbereichen:
Im September 2018 kam das ergänzende Modul Kritische Infrastrukturen (KRITIS) als neunter, optionaler Abschnitt hinzu. KRITIS richtet sich speziell an Betreiber kritischer Infrastrukturen. Dazu zählen im Finanzsektor Bargeldversorgung, konventioneller oder kartenbasierter Zahlungsverkehr und Verwaltung von Wertpapier- und Derivatgeschäften.
Die Geschäftsleitung verpflichtet sich zur Entwicklung einer IT-Strategie, die Unternehmens- und Sicherheitsstrategien kombiniert. Die Verknüpfung von Geschäftszielen mit BAIT-Anforderungen soll gewährleisten, dass sich Budget, Personalplanung und weitere Kapazitäten nach Zielen der IT-Sicherheit ausrichten. Die IT-Strategie soll folgende Mindestinhalte festlegen:
Die IT-Strategie dient als Roadmap und Maßnahmenkatalog. Die strategische Umsetzung der BAIT-Anforderungen ist in Form von Definitionen und Dokumentationen transparent zu machen. Entsprechende IT-Zuständigkeiten und Kapazitäten sollen so die Nachhaltigkeit der eigenen IT-Strategie und das Erreichen der BAIT-Datenqualität gewährleisten.
IT-Governance bestimmt die Struktur der Maßnahmen und Ziele, die Sie mit Ihrer IT-Strategie festgelegen. Der Anforderungsbereich IT-Governance steuert und überwacht die Organisierung von Aufbau und Ablauf der IT-Infrastruktur. Mit ihrer Hilfe ist die Konsistenz von BAIT Maßnahmen für IT- und Geschäftsstrategie sicherzustellen.
Die Umsetzung der BAIT Anforderungen zu IT-Aufbau und Ablauf ist durch IT-Governance zu garantierten. Zudem wird eine Strategie- und Prozessanpassung bei möglichen Veränderungen umsetzbar. Interessenkonflikte werden vermeidbar und überflüssige oder nicht-konsistente Abläufe optimierbar.
Durch IT-Governance ist für das Informationsrisiko- und -sicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung die ausreichende Personalausstattung und -weiterbildung abzusichern.
Im Bereich Informationsrisikomanagement ist die Geschäftsleitung durch BAIT angehalten, bei Geschäfts- und Serviceprozessen Datenschutz durch entsprechende Überwachungs- und Steuerungsprozesse zu implementieren. Für Informationsinfrastrukturen wie IT-Systeme und -Abläufe, Geschäftsprozesse und Netzwerke ist eine Übersicht zu erstellen und Datenschutzziele/-methoden in den Kategorien Vertraulichkeit, Authentizität, Verfügbarkeit und Integrität zu definieren.
Die BAIT Anforderungen und die zu ergreifenden Schutzmaßnahmen sind in einem Sollmaßnahmenkatalog festzuhalten. Die Geschäftsleitung unterliegt dabei einer regelmäßigen Dokumentationspflicht. Die Dokumentation von Ergebnissen und Änderungen der Risikoanalyse und -situation erfolgt mindestens vierteljährlich.
Durch dokumentierte Risikoanalysen, -kriterien und entsprechende Schutzmaßnahmen lässt sich die Implementierung von Best Practices und die Reduzierung von Risiko- und Schadenspotentialen erreichen.
Der Bereich Informationssicherheitsmanagement besteht aus den Phasen Planung, Umsetzung, Erfolgskontrolle sowie Optimierung und dient der Prozessdefinierung und -steuerung von Datenschutzmaßnahmen. Ein unabhängiger Informationssicherheitsbeauftragter hat die Einhaltung der BAIT Datenqualität und der Informationssicherheitsleitline und -prozesse zu vermitteln, zu steuern und umzusetzen. Teilprozesse der Prüfung Ihrer BAIT Datenqualität sind dabei Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung.
Die Funktion des Informationssicherheitsbeauftragten hat die Einhaltung der BAIT-Anforderungen intern und Drittanbietern gegenüber zu gewährleisten. Der zuständige Beauftragte dokumentiert und kommuniziert die IT-Sicherheitsprozesse turnusmäßig der Geschäftsleitung. Der Anwendungsbereich sorgt für klare IT-Sicherheitszuständigkeiten, Prozessoptimierungen und effizientes Informations- und Ressourcenmanagement.
Der Bereich IT-Projekte/Anwendungsentwicklung fokussiert sich einerseits auf die Organisation, Steuerung, Qualitätssicherung, Risikoanfälligkeit und die Auswirkungen von IT-Projekten und die Prozessabläufe und -anforderungen der Anwendungsentwicklung andererseits.
Die Steuerung von IT-Projekten berücksichtigt Risikoanalysen, die sich aus den BAIT-Anforderungen an Qualitätssicherung, Dauer und des Ressourcenverbrauchs ergeben. Die Einhaltung daraus resultierender Schutzmaßnahmen und Kriterien zwischen Projektphasen ist zu überwachen.
Bei der Anwendungsentwicklung ist die Einhaltung der Datenschutzziele Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität zu beachten. Durch Sicherheitsvorkehrungen (z.B. durch Quellcodeprüfungen) müssen versehentliche oder gezielte Sicherheitsverstöße oder -manipulationen erkennbar und durch Notfallmaßnahmen behebbar sein. Zusätzlich müssen sich Änderungen immer nachvollziehen lassen.
Die Einhaltung der BAIT ist regelmäßig zu bewerten und zu dokumentieren.
Ausgelagerte IT-Dienstleistungen bringen automatisch ein Sicherheitsrisiko mit sich. Es ist im Sinne der BAIT daher eine Risikoanalyse und -bewertung gefordert. Verträge und Dienstleistungen von Drittanbietern sind durch effizientes Risikomanagement zu steuern und zu überwachen. Die BAIT-Anforderungen, die für das Institut gelten, muss dieses somit auch an Fremdfirmen stellen, um Datensicherheit auch bei IT-Auslagerung und Fremdbezug zu garantieren.
Der siebte Abschnitt der BAIT-Anforderungen bezieht sich auf die technischen Aspekte des IT-Betriebs und koordiniert die Geschäftsstrategie mit IT-Systemabläufen. Im Mittelpunkt steht das Lebens-Zyklus Management, also der Schutzbedarf und die Risiken, die sich durch ältere IT-Systeme ergeben.
Wichtige Faktoren bei Bewertung und Ersatz von IT sind Art, Umfang, Komplexität und Risikogehalt von Systemänderungen. Technische Prozesse, die eine IT-Änderung einleiten und durchführen, sind zu dokumentieren. Mögliche Sicherheitslücken, die sich durch neue Implementierungen und Datenmigration ergeben, sind zu bewerten und durch Schutzmaßnahmen zu schließen.
Ein Datensicherungskonzept soll nach BAIT die Verfügbarkeit, Lesbarkeit und Aktualität der Kunden- und Firmendaten regeln und Datensicherungen in lesbarer und wiederherstellbarer Form garantieren.
Im Benutzerberechtigungsmanagement sind angesichts der BAIT-Berechtigungskonzepte zu erstellen und durch Rezertifizierungen regelmäßig auf Aktualität hin zu überprüfen. Datenlöcher und Manipulationen können auf diesem Wege vorgebeugt werden.
Das Berechtigungsmanagement kann auf dem Informationssicherheitsmanagement aufbauen und die Zugriffsberechtigung von Mitarbeitern genehmigen und erfassen. Prozesse zur Kontrolle und Berechtigungserteilung sichern die Einhaltung der BAIT-Anforderungen. Dabei ist die Einrichtung, Änderung und Löschung von Berechtigungen je nach Mitarbeiter und Anforderungen zu unterscheiden und zu evaluieren.
Der Finanzsektor steht durch die voranschreitende Digitalisierung zunehmend unter Druck. Nicht nur die BAIT-Anforderungen, auch DSGVO, MiFID II/MiFIR verlangen nach effektiven Datenschutzmaßnahmen, nachhaltigen IT-Strategien und einer konsistenten IT-Infrastruktur.
Um den Überblick über interne IT-Abläufe zu behalten und eine digitale Transformation möglichst lückenlos zu bewältigen, eignet sich eine Bestandsaufnahme der IT-Landschaft durch Enterprise Architecture Management (EAM). EAM hilft bei der Inventur vorhandener Softwarelösungen, ermittelt Redundanzen und Einsparungspotentiale. Zudem prüft ein effektives EAM die lückenlose Aktualität der IT-Systeme und Datenschutzkonzepte.
Enterprise Architecture kann durch effizientes Micro-Management die Datenqualität von Unternehmen steigern. Viele Geschäftsleitungen wagen sich gar nicht erst an Updates ihres Applikationsportfolio heran, da sie auf Detailebene längst den Überblick über ihre Applikationen verloren haben. Redundanzen, die sich mit besserer Transparenz beseitigen ließen, bleiben so unentdeckt. LeanIX bietet durch EAM eine zuverlässige Applikationsmodernisierung und -reduzierung, bringt Licht ins Dunkel des Applikationsportfolio und steigert die Performance.
Veraltete Software-Komponenten haben nicht nur Einfluss auf die Performance eines Unternehmens, sondern sind auch ein versteckter Kostenfaktor. Unentdeckt sitzen überflüssige Software-Applikationen im System, obwohl sie sich relativ unkompliziert ersetzen ließen. LeanIX ermöglicht durch eine benutzerdefinierte CMDB (Configuration Management Database) Integration ein effizientes Lebens-Zyklen Management Ihrer Technologien. CMDB bietet als zentrale Datenbasis eine stabile Grundlage für IT-Prozesse und BAIT Sicherheitsanforderungen.
Früher oder später ist eine Umstellung auf die Cloud für die meisten Unternehmen unausweichlich. LeanIX hilft bei der Migration von Kernbanksystemen wie sie bei der Umstellung auf den Cloud- und Infrastructure-as-a-Service (IaaS) Giganten Microsoft Azure anfällt. Echtzeit-Reports, Machine Learning und IT-Transparenz erleichtern die Digitalisierung und Modernisierung von IT-Systemen und schaffen Synergien zwischen Ihrer Enterprise Architecture und datenschutzrechtlichen Regulatorien wie BAIT, DSGVO und anderen.
Kreditinstitute sehen sich durch BAIT vor eine anhaltende Herausforderung gestellt. Viele IT-Landschaften im Bankensektor stellen ein Sammelsurium aus alten und neuen IT-Systemen dar und sind weder auf dem neusten Stand der Technik noch der Datensicherheit. Die Gewährleistung der verbindlichen BAIT-Datenqualität ist für viele nur schwer möglich. Um den Regelbetrieb und die Gesamtstruktur der IT nicht zu gefährden, kommt es oft nur stückweise zu Prozess- und Systemerneuerungen und so zu versteckten Kosten und Sicherheitslücken. Eine komplette Erneuerung der IT-Prozesse ist unumgänglich, um die BAIT-Anforderungen nachhaltig erfüllen, Cyberkriminalität abwehren und Prozessdaten sichern zu können.
Die Frage ist längst nicht mehr „Ob“, sondern „Wann“ die Modernisierung erfolgt, denn BAIT ist verbindlich und spielt spätestens bei der 44er Prüfung oder einem Cyberangriff eine entscheidende Rolle. Neben der Beauftragung eines Informationssicherheitsbeauftragten, um IT-Qualität und Datensicherheit zu überwachen und zu strukturieren, können auch EAM-Lösungen von LeanIX helfen. Es besteht in jedem Fall Handlungsbedarf im Finanzsektor. Institute müssen so schnell wie möglich sichere IT-Architekturen aufbauen, IT-Abläufe prüfen und Kontrollmechanismen justieren. Nur durch einen vorausschauenden Sprung in die Digitalisierung lässt sich verhindern, dass Kreditinstitute wie veraltete Software der Redundanz anheimfallen.
