Nach den Mindestanforderungen an das Risikomanagement (MaRisk) veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht nun die Bankenaufsichtlichen Anforderungen an die IT (BAIT). Das ergänzende Regelwerk definiert verbindliche Anforderungen an die IT-Sicherheit von Banken.

Mit den BAIT reagiert die Bankenaufsicht erstmals auf die Herausforderungen einer zunehmend digitalisierten Finanzwelt. Die Anforderungen stellen einen praxisnahen Rahmen für die Gestaltung der IT von Finanzinstituten dar. Im Mittelpunkt stehen dabei das Management der IT-Ressourcen und das IT-Risikomanagement. Die in den Mindestanforderungen an das Risikomanagement (MaRisk) definierten Vorgaben bleiben dabei bestehen und sind weiter verbindlich umzusetzen.

 

Die vier Themenschwerpunkte der BAIT:

 

1.     IT-Strategie
Definition von Zielen und Maßnahmen durch das Topmanagement, Dokumentation des Soll- und Ist-Zustands, Verbesserung der IT-Infrastruktur, Stärkung der IT-Sicherheit

 

2.     Informationsrisikomanagement
Erfüllung der MaRisk, Implementierung eines internen Kontrollsystems, Erstellung einer Strukturbedarfsanalyse sowie des Schutzbedarfs, durchführen einer Risikoanalyse, Bewertung der Restrisiken, Implementierung eines Berichtwesen

 

3.     Informationssicherheitsmanagement
Ernennung eines IT-Sicherheitsbeauftragten, organisatorische Maßnahmen, Erstellung von Leitlinien und Konzepten, Regelungen zu Informationssicherheitsvorfällen

 

4.     Benutzerberechtigungsmanagement
Klare Definition von Berechtigungen auf Systeme, eindeutige Benutzererkennung, Regelmäßige Überprüfungen, Auswertungen und Reporting

 

Anderes als bei einem neuem Gesetz, entsprechen die Anforderungen bereits dem geltenden Recht. Finanzinstitute sollten daher zügig prüfen, welche Vorgaben noch nicht erfüllt werden und entsprechende Maßnahmen treffen. 

 

Herausforderung für das Topmanagement

Der systematische Umgang mit Risiken ist eine unabdingbare Kernkompetenz von Finanzinstituten und wichtiger Teil einer erfolgreichen Unternehmensstrategie. Dies macht das unternehmerische Handeln komplexer und steht der Erwartung nach steigender Effizienz oftmals gegenüber. Um diesen Anforderungen gerecht zu werden, müssen Prozesse entwickelt und Standards etabliert werden, auf deren Basis eine moderne und effiziente Unternehmensführung möglich ist. Dabei kommt den Bereichen Governance, Risk und Compliance (GRC) eine immer größere Bedeutung zu. GRC bildet dabei den Ordnungsrahmen für eine transparente, risiko- und wertorientierte Unternehmensführung und -steuerung. Darüber hinaus verfügen Unternehmen mit umfassendem GRC Ansatz über mehr Mittel zur Nutzung von Opportunitäten, da sie ihre Risiken und damit ihre Eventualverpflichtungen besser kennen.

 

 

 

Quelle: istockphoto.com/de/portfolio/bluejayphoto