Neue BAIT: Was ändert sich?

Neue BAIT: Was ändert sich? Auslöser für die Änderung der BAIT waren die IKT Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) vom November 2019. Mit ihren Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) hatte die EBA seinerzeit für den gesamten Binnenmarkt einheitliche Vorgaben eingeführt: für Kreditinstitute, Wertpapierfirmen und Zahlungsdienstleister.

Weil die Inhalte der BAIT auf den Mindestanforderungen an das Risikomanagement (MaRisk) aufbauen, wurde die BAIT-Novelle parallel zur sechsten MaRisk-Novelle entwickelt, und beide Rundschreiben wurden gleichzeitig veröffentlicht. Die wichtigste Änderungen hat nun die BaFin wie folgt erläutert.

 

Neue BAIT: Was ändert sich?

 

#1 Neue BAIT: Was ändert sich?

Im neuen Kapitel „Operative Informationssicherheit“ formuliert die BaFin Anforderungen an die Ausgestaltung von Wirksamkeitskontrollen für bereits umgesetzte Informationssicherheitsmaßnahmen in Form von Tests und Übungen.

Zu den Wirksamkeitskontrollen zählen etwa Abweichungsanalysen (Gapanalysen), Schwachstellenscans, Penetrationstests und Simulationen von Angriffen. Diese Kontrollen sind ein wesentlicher Bestandteil eines effektiven und nachhaltigen Informationssicherheitsmanagementsystems.

Die Institute müssen die Sicherheit der IT-Systeme regelmäßig und anlassbezogen kontrollieren.

Dabei müssen sie Interessenkonflikte vermeiden: Wer an der Konzeption und Umsetzung von Sicherheitsmaßnahmen beteiligt war, darf diese zum Beispiel nicht nachher prüfen.

Die Institute müssen laut BaFin die Ergebnisse solcher Wirksamkeitskontrollen analysieren, Verbesserungsbedarf identifizieren und Risiken angemessen steuern.

 

#2 Neue Richtlinie zum Informationssicherheitsmanagement

Die Unternehmen sollen die neuen Anforderungen in einer internen Richtlinie fixieren, welche die BaFin nun im Kapitel „Informationssicherheitsmanagement“ fordert. Die Richtlinie muss die Anforderungen an das Logging und Monitoring, also die Protokollierung von Ereignissen und die Überwachung in Echtzeit, und an die Erkennung und Analyse von sicherheitsrelevanten Ereignissen regeln.

So sind beispielsweise sicherheitsrelevante Informationen angemessen zeitnah, regelbasiert und zentral auszuwerten. Auch müssen diese Informationen für eine angemessene Zeit zur späteren Auswertung zur Verfügung stehen. Dafür ist ein Portfolio an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse zu definieren und weiterzuentwickeln.

 

#3 Neues Kapitel IT-Notfallmanagement

Bereits in den MaRisk wurde dasd Kapitel AT 7.3 „Notfallmanagement“ grundlegend überarbeitet. Dieses bildet nun die Grundlage für das neue BAIT-Kapitel „IT-Notfallmanagement“. Für zeitkritische Prozesse und Aktivitäten sieht es die Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen vor.

Die Wirksamkeit dieser drei Arten von IT-Notfallplänen müssen die Institute laut BAIT jährlich prüfen – und zwar auf der Grundlage eines IT-Testkonzepts.

 

#4 Schnittstelle zu Zahlungsdienstnutzern – Neue BAIT: Was ändert sich?

Das dritte neue Kapitel der BAIT heißt „Management der Beziehungen mit Zahlungsdienstnutzern“. Es stammt aus dem neuen Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten“ (ZAIT). Mit diesem Kapitel wird die Schnittstelle zwischen Finanzinstituten und Zahlungsdienstnutzern geregelt.

 

#5 Informationssicherheit statt IT-Sicherheit – Neue BAIT: Was ändert sich?

Mit den BAIT wird nun auch klar dem Ziel der „Informationssicherheit“ gefolgt. Das enger gesteckte Ziel „IT-Sicherheit“ wird aufgegeben:

  • Klassische IT-Sicherheit beschränkt sich auf das Handlungsfeld Informationstechnik, während Informationssicherheit den Schutz von relevanten Informationen zum Ziel hat, gleichgültig, in welcher Form sie vorliegen.
  • Das Handlungsfeld der Informationssicherheit schließt somit alles ein, was im Zusammenhang mit Informationsverarbeitung steht.

Im Hinblick auf das Informationssicherheits- und Informationsrisikomanagement (ISM/IRM) wird nun deutlicher, dass die betroffenen Unternehmensprozesse ihre Wirkung für die gesamte Organisation entfalten müssen und es nicht ausreicht, allein den IT-Betrieb und die Anwendungsentwicklung mit angemessenen Ressourcen auszustatten.

Die BAIT forden nun auch, dass die Institute ein umfassendes Programm zur Schulung und Sensibilisierung der Beschäftigten für das Thema Informationssicherheit entwickeln müssen.

Die EBA-Leitlinien setzen das Accountability-Prinzip um und fordern eine klare Zuweisung von Verantwortlichkeiten. Dies wird in den BAIT wie folgt umgesetzt:

  • Es sind weitere Rollen und Aufgaben des Informationssicherheits- und Informationsrisikomanagements zu benennen.
  • Diese sind von den Verantwortlichkeiten für die Geschäftsprozesse abzugrenzen.

 

#6 Accountability-Prinzip: Beispiel für die klare Zuweisung von Verantwortlichkeiten:

Fachbereiche, die verantwortlich für die einzelnen Geschäftsprozesse sind, müssen den Schutzbedarf der jeweiligen Prozesse ermitteln und zu dokumentieren. Verantwortlich für die Prüfung dieser Ermittlung und Dokumentation ist dagegen das Informationsrisikomanagement.

Angesichts der Komplexität von Cyberbedrohungen betonen die BAIT nun ausdrücklich, wie wichtig es ist, dass sich die Institute über aktuelle externe und interne Bedrohungen und Schwachstellen informieren. Die Geschäftsleitung ist über die Ergebnisse der Risikoanalyse und Veränderungen der Risikosituation zu unterrichten.

Bedrohungen und Schwachstellen sind auch vom Informationsrisikomanagement zu berücksichtigen, sofern sie Risiken für die Organisation darstellen können. Die aufsichtsrechtlichen Anforderungen werden nun im Kapitel „Informationsrisikomanagement“ der BAIT vorgegeben.

Anforderungen an die physische Sicherheit, wie sie in den EBA-Leitlinien beschrieben werden, greifen die BAIT auch auf. Die Unternehmen müssen beispielsweise

  • eine Richtlinie zur physischen Sicherheit verfassen,
  • Zutrittskontrollen durchführen und
  • einen angemessenen Perimeterschutz etablieren, der dem Stand der Technik entspricht.

Definition Perimeterschutz: Beim Perimeterschutz handelt es sich um den Schutz des Geländes zwischen Gebäude und Grundstücksgrenze.

 

Neue BAIT: Was ändert sich? Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:

Seminare MaRisk + SREP

Seminare Depot A

Seminare Auslagerungscontrolling

Seminar Risikomanagement Compliance