Mitarbeiter einer Bank verarbeitet Zahlungsdaten eines Kunden über einen sicheren Laptop.

Durch das Rundschreiben Bankaufsichtliche Anforderungen an die IT (kurz: BAIT) hat die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht 2017 genaue Vorgaben definiert, wie Banken und Kreditinstitute Auflagen an die Informationssicherheit aus dem Kapitalwesengesetz umzusetzen haben.

Inzwischen sind die BAIT-Anforderungen auf insgesamt 12 Kapitel angewachsen, die sowohl Governance und organisatorische Pflichten, als auch technische Maßnahmen enthalten. In unserem Überblick erfahren Sie, was Finanzdienstleister tun müssen, um BAIT Compliance zu erreichen!

Inhalte (verbergen)

BAIT – Was ist das genau?

“Bankaufsichtliche Anforderungen an die IT (BAIT)” ist der Titel eines Rundschreibens der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), das in seiner ersten Fassung im November 2017 versendet wurde. Hintergrund von BAIT ist der Paragraf 25a des Kreditwesengesetzes (KWG): Darin finden sich besondere organisatorische Pflichten für Finanzinstitute in Bezug auf das Risikomanagement und die Einrichtung interner Kontrollverfahren.

Eine der hier enthaltenen gesetzlichen Pflichten ist die “angemessene personelle und technisch-organisatorische Ausstattung des Instituts”. Da diese Passage jedoch viel Raum zur Interpretation offen lässt, hat die BaFin mit BAIT konkrete Anforderungen definiert, die Kreditinstitute und Finanzdienstleister in Deutschland in Bezug auf ihre Informationssicherheit umsetzen müssen.

BAIT und MaRisk: Was ist der Unterschied?

Bei MaRisk, den Mindestanforderungen an das Risikomanagement, handelt es sich ebenso um ein Rundschreiben der BaFin, welches das Kreditwesengesetz konkretisiert. MaRisk erfüllt somit eine ähnliche Rolle wie BAIT, wurde jedoch schon 2005 erstmals veröffentlicht und 2017 sowie 2021 adaptiert.

MaRisk beschäftigt sich jedoch, wie der Name bereits sagt, vor allem mit dem Thema Risikomanagement. Technische Vorgaben (insbesondere rund um die IT-Berechtigungsvergabe) sind zwar darin enthalten, decken aber nur knapp zwei Seiten des Dokuments ab. Da MaRisk Anforderungen an die IT-Sicherheit nicht im Detail ausführt, entstand der Bedarf für ein spezifisches Dokument zu diesem Thema: das BAIT-Rundschreiben.

Sie möchten wissen, wie tenfold Ihr Unternehmen beim Erfüllen der Bankaufsichtlichen Anforderungen an die IT unterstützt? Nähere Informationen bietet unser Beitrag zum Thema IAM für Finanzdienstleister.

BAIT Änderungen: Der aktuelle Stand

Seit der ursprünglichen Veröffentlichung wurde BAIT insgesamt zweimal aktualisiert. Das BAIT-Update aus dem September 2018 ergänzt die Anforderungen um den Abschnitt kritische Infrastrukturen. Darin enthalten sind Maßnahmen zur Erreichung der KRITIS-Schutzziele für den Finanzsektor, die bei vollständiger Umsetzung als Nachweis der Umsetzung des IT-Sicherheitsgesetzes dienen (alternativ zu B3S).

Eine neue Version aus dem August 2021 fügt drei zusätzliche Kapitel zu BAIT hinzu: Operative Informationssicherheit, IT-Notfallmanagement und Management der Beziehungen mit Zahlungsdienstnutzern. Neben der weiteren Konkretisierung der Sicherheitsmaßnahmen, beschäftigt sich diese Neufassung vor allem mit Outsourcing im Finanzbereich, wozu zeitgleich auch MaRisk überarbeitet wurde.

Zwei Administratoren im Server-Raum eines Dienstleistung-Unternehmens für Banken.

BAIT und KRITIS: Banken als kritische Infrastruktur

Der Finanzsektor zählt zu jenen Bereichen von hoher gesellschaftlicher Relevanz, die durch das IT-Sicherheitsgesetz bzw. die KRITIS-Verordnung vor Hackern, Ransomware und Cyberangriffen geschützt werden sollen. Durch strengere Vorschriften soll ein Ausfall des Bankwesens verhindert und somit der Zahlungsverkehr und die Bargeldversorgung abgesichert werden.

Ob eine Bank als kritische Infrastruktur zählt oder nicht, ist vom Erreichen bestimmter Schwellenwerte abhängig: Für die Bargeldversorgung beginnt die jährliche Grenze bei 15 Mio. Transaktionen, für die traditionelle Kontoführung bei 100 Mio. Transaktionen und für Wertpapiergeschäfte bei 850.000 Transaktionen. Details in den Anlagen der KRITIS-Verordnung.

Für Finanzdienstleister ab den entsprechenden Schwellenwerten gelten somit die selben Anforderungen, wie auch für andere kritische Infrastrukturen: die Registrierung beim BSI, das Melden von Sicherheitsvorfällen und die Umsetzung von Sicherheitsmaßnahmen nach aktuellem Stand der Technik. Dabei können Unternehmen sich an internationalen Normen wie ISO 27001 orientieren oder eigene branchenspezifische Sicherheitsstandards zur Zertifizierung vorlegen.

Weitere Informationen finden Sie in unserem Beitrag zum Thema IAM und KRITIS oder der Orientierungshilfe des BSI.

BAIT, VAIT, KAIT, ZAIT & Co.

BAIT ist nicht die einzige Vorschrift, die Anforderungen an die Cybersicherheit von Finanzdienstleistern stellt. Mittlerweile existieren mehrere vergleichbare Rundschreiben, die sich mit je eigenen Sparten des Finanzsektors befassen und aufgrund ihrer ähnlichen Namen leicht für Verwirrung sorgen können. Ein kurzer Überblick:

Ein Stapel an Dokumenten und Informationen liegt auf dem Computer eines Bankmitarbeiters.

BAIT Anforderungen: Alle Kapitel im Überblick

Als Orientierungshilfe finden Sie im Folgenden eine Zusammenfassung aller 12 Kapitel, die in BAIT enthalten sind. Naturgemäß handelt es sich dabei um eine verkürzte Wiedergabe, die dem Überblick dient, aber nicht alle Forderungen des Dokuments vollständig abdeckt. Bei weiteren Fragen empfiehlt sich der Blick in den vollständigen Text von BAIT, der von der BaFin als PDF-Download angeboten wird.

Wichtig: BAIT ist nach eigener Definition inhaltlich nicht abschließend. Das bedeutet, dass Finanzinstitute auch bei Erfüllung aller darin enthaltenen Vorgaben weiterhin verpflichtet sind, ihre Sicherheitsmaßnahmen an aktuelle Technik und gängige Standards anzupassen. Dazu gehören etwa die Norm ISO 27001 sowie der BSI-IT-Grundschutz.

IT-Strategie

Dieser Abschnitt gibt der Geschäftsleitung die Verantwortung, eine nachhaltige IT-Strategie festzulegen, die sowohl Ziele als auch konkrete Maßnahmen zur Umsetzung enthält. Vorgesehene Inhalte der IT-Strategie sind unter anderem: die strategische Entwicklung der IT-Architektur und der IT-Abläufe, das Festlegen von Zuständigkeiten in der Organisation, eine Zuordnung, an welchen Standards das Unternehmen sich orientiert, sowie Aussagen zum IT-Notfallmanagement und im Betrieb verwendeten Komponenten (Hardware und Software).

IT-Governance

Unter Governance lässt sich sinngemäß die Umsetzung und Einhaltung der zuvor beschriebenen Strategie innerhalb des Unternehmens verstehen. Auch hier liegt die Verantwortung bei der Geschäftsleitung, die dafür sorgen muss, dass Vorgaben zeitnah durchgesetzt bzw. angepasst werden, die betroffenen Fachbereiche mit den nötigen Ressourcen ausgestattet sind und es keine Interessenskonflikte durch unvereinbare Tätigkeiten gibt (etwa Durchführung und Kontrolle durch die selbe Person).

Informationsrisikomanagement

Teil des Informationsrisikomanagements ist die Einrichtung angemessener Überwachungs- und Steuerungsprozesse, um die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit von verarbeiteten Daten zu gewährleisten. Um den Schutzbedarf in Bezug auf diese Kategorien regelmäßig ermitteln zu können, müssen Institute stets einen Überblick über alle Bestandteile ihres Informationsverbunds haben (inklusive der Vernetzung mit Dritten). Ebenso ist die laufende Beobachtung, Prüfung und Bewertung von Schwachstellen vorgesehen.

[GRATIS WHITEPAPER] Berechtigungsmanagement in der ISO 27001 und dem BSI IT-Grundschutz

Erfahren Sie alles über den den Zusammenhang zwischen den Kontrollen der ISO 27002 und den entsprechenden Bausteinen im IT-Grundschutz.

Zum Download

[GRATIS WHITEPAPER] Berechtigungsmanagement in der ISO 27001 und dem BSI IT-Grundschutz

Erfahren Sie alles über den den Zusammenhang zwischen den Kontrollen der ISO 27002 und den entsprechenden Bausteinen im IT-Grundschutz.

Zum Download

Informationssicherheitsmanagement

Unter Informationssicherheitsmanagement versteht man Richtlinien und Prozesse, um IT-Sicherheit dauerhaft in einer Organisation zu etablieren. Es ist Kern der Norm ISO 27001 bzw. 27002 und zählt ebenso zu den Voraussetzungen des BSI-IT-Grundschutzes.

Konkret schreibt BAIT den Beschluss und die interne Kommunikation einer Informationssicherheitsleitlinie vor. Darauf aufbauend sind entsprechende Richtlinien und Prozesse zur Umsetzung zu definieren, sowie ein Informationssicherbeitsbeauftragter zu bestimmen. Dieser ist für die Kontrolle der Einhaltung von Regelungen zur Informationssicherheit zuständig und koordiniert regelmäßige Maßnahmen zur Sensibilisierung des Personals, neben vielen weiteren Aufgaben.

Operative Informationssicherheit

Die notwendigen technischen Schritte, um die Absicherung digitaler Arbeitsabläufe zu gewährleisten, fallen unter das Kapitel Operative Informationssicherheit. Dazu zählen etwa: Schwachstellenmanagement, Perimeterschutz, Netzwerk-Segmentierung und Verschlüsselung von Daten.

Um relevante Sicherheitsvorfälle zu erkennen sind entsprechende Kriterien zu definieren, etwa ein Anstieg nicht autorisierter Zugriffsversuche. Ebenso ist die operative Security regelmäßig durch Schritte wie Schwachstellenscans, Penetrationstests und simulierte Angriffe zu überprüfen.

Hand, die ein digitales Schloss hält. Symbolbild für Cybersecurity im Finance-Sektor.

Identitäts- und Rechtemanagement

Das Identitäts- und Rechtemanagement (auch als Identity Access Management bezeichnet) stellt sicher, dass nur berechtigte Benutzer auf IT-Systeme und sensible Daten zugreifen können. BAIT setzt hierbei ein Berechtigungskonzept voraus, welches den Zugriff nach dem Sparsamkeitsgrundsatz auf ein Minimum beschränkt. Man spricht auch vom Need-to-Know bzw. Least-Privilege-Prinzip. Um die konsequente Einhaltung dieses Konzepts sicherzustellen, müssen:

  • Sämtliche Zugänge einem eindeutigen Benutzer zugeordnet sein.

  • Fachbereiche in die Erstellung, Änderung und Löschung von Benutzerkonten eingebunden werden.

  • Berechtigungen durch Rezertifizierung regelmäßig überprüft und zeitnah entzogen werden.

  • Alle Prozesse bei der Änderung von Benutzern und Berechtigungen nachvollziehbar dokumentiert werden.

Bei der Verwaltung von Berechtigungen stellen menschliche Fehler und Unaufmerksamkeit die größte Fehlerquelle dar. Automatisierte IAM-Lösungen schützen vor Pannen und reduzieren den Verwaltungsaufwand. Mehr zu den Risiken von manuellem Berechtigungsmanagement.

IT-Projekte und Anwendungsentwicklung

Vor wesentlichen Veränderungen an Systemen oder der Inbetriebnahme neuer Komponenten und Anwendungen muss eine Auswirkungsanalyse durchgeführt werden. Bei der Entwicklung neuer Anwendungen sind Ziele hinsichtlich der Funktionalität klar zu dokumentieren und angemessene Vorkehrungen zu treffen, um verarbeitete Daten zu schützen.

Es muss eine Methodik für das Testen von Anwendungen vor ihrer ersten Inbetriebnahme definiert werden, aber auch nach der Aktivierung müssen eigene Projekte und Programme laufend überwacht werden (z.B. Überprüfung des Quellcodes).

IT-Betrieb

Um im laufenden Betrieb den notwendigen Überblick über den Informationsverbund sicherzustellen, müssen Organisationen den Standort der Systeme und ihre Eigentümer (Verantwortlichen) dokumentieren. Systeme sind regelmäßig zu aktualisieren und die Risiken durch nicht mehr unterstützte Programme und Komponenten aktiv zu steuern.

Weitere Aspekte, die den IT-Betrieb von Finanzdienstleistern betreffen, sind etwa die Sicherung von Daten, die Planung des Leistungsbedarfs von Systemen, sowie die Dokumentation von Änderungen und Störungen.

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Dieser Abschnitt definiert Anforderungen an den Umgang mit externer Software und Services wie Cloud-Diensten oder Backup-Lösungen. Bei der Auslagerung ist im Vorfeld eine Risikobewertung durchzuführen und auf die Einhaltung des Risikomanagements zu achten. Die Verantwortlichen für Informationssicherheit und Notfallmanagement müssen ebenso in die Auslagerung eingebunden werden, außerdem sind entsprechende Bewertungen regelmäßig zu überprüfen und erneuern.

IT-Notfallmanagement

Institute müssen ein Notfallkonzept definieren, das sowohl die Wiederherstellung der vollen Funktion als auch die Geschäftsfortführung während Notfällen abdeckt. Dazu muss vor allem erfasst werden, welche Abhängigkeiten es in den IT-Systemen und bezüglich externer Dienstleister gibt, sowie welche Ressourcen notwendig sind, um eine eingeschränkte Fortführung zeitkritischer Geschäftsprozesse sicherzustellen. Auch eine jährliche Überprüfung der Wirksamkeit des Notfallplans ist vorgesehen.

Management der Beziehungen mit Zahlungsdienstnutzern

Institute sind verpflichtet, Zahlungsdienstnutzer über Sicherheitsrisiken zu informieren und ihnen Möglichkeiten zur Anpassung bereitzustellen, etwa das Deaktivieren bestimmter Funktionen (z.B. Auslandsüberweisungen außerhalb des SEPA-Raums) oder das Anpassen von Limits für Überweisungen.

Um nicht-autorisierte Zugriffe rasch zu erkennen, müssen Benachrichtigungen für getätigte und fehlgeschlagene Transaktionen angeboten werden. Außerdem haben Institute Zahlungsdienstnutzer hinsichtlich dieser Risiken zu unterstützen und zu beraten, indem sie angemessene Kommunikationskanäle einrichten.

Kritische Infrastrukturen

Dieses Kapitel richtet sich nicht an alle Finanzinstitute, sondern an jene die gemäß der KRITIS-Verordnung als kritische Infrastrukturen eingestuft werden. Diesen Einrichtungen steht es frei, sich bei der Umsetzung angemessener Sicherheitsstandards an internationale Normen zu halten oder einen eigenen bzw. branchenspezifischen Ansatz zertifizieren zu lassen. Daher sind die hier enthaltenen Vorgaben nicht verpflichtend, sondern eine alternative Möglichkeit, um den Nachweis des Schutzes zu erbringen.

Im Wesentlichen handelt sich bei den hier definierten Anforderungen um das Beachten des KRITIS-Schutzziels im Informationsrisiko- und Informationssicherheitsmanagement, sowie den Notfallmaßnahmen. Das Schutzziel ist dabei die durchgehende Aufrechterhaltung des Zahlungsverkehrs und der Bargeldversorgung, die auch im Notfall gewährleistet sein müssen.

[GRATIS WHITEPAPER] IAM in der BSI-Kritisverordnung

In unserem Whitepaper finden Sie sämtliche Informationen darüber, welche Funktionen von tenfold welche Maßnahmenempfehlungen des BSI für Betreiber Kritischer Infrastrukturen abdecken.

Zum Download

[GRATIS WHITEPAPER] IAM in der BSI-Kritisverordnung

In unserem Whitepaper finden Sie sämtliche Informationen darüber, welche Funktionen von tenfold welche Maßnahmenempfehlungen des BSI für Betreiber Kritischer Infrastrukturen abdecken.

Zum Download

BAIT und IAM

Die Anforderungen von BAIT bedeuten für Finanzinstitute einen zum Teil erheblichen organisatorischen Aufwand. Umso wichtiger ist es, in Bereichen, die es erlauben, die Ansprüche an die Informationssicherheit durch automatisierte Lösungen zu erfüllen. Das Kapitel Identitäts- und Rechtemanagement lässt sich etwa durch passende IAM-Tools abdecken, die sowohl den Verwaltungsaufwand als auch das Risiko von Fehlern deutlich reduzieren.

Dank seiner schnellen Installation, dem Import von Benutzerdaten und vielen vorgefertigten Plugins lässt sich die IAM-Lösung tenfold besonders leicht in bestehende Strukturen integrieren. Benutzerkonten und Zugriffsrechte können so in allen verknüpften Systemen über eine zentrale Plattform verwaltet werden. Dank der Active Directory Schnittstelle und dem tenfold Generic Connector ist auch die Integration von Kernbankensoftware und weiteren branchenspezifischen Programmen möglich.

Leichte Benutzerverwaltung bei Einhaltung gängiger Vorschriften und Gesetze.

Berechtigungsvergabe nach Sparsamkeitsgrundsatz

In tenfold werden Zugriffsrechte automatisch nach dem Least-Privilege-Prinzip vergeben, welches sowohl zu den Best Practices der Cybersicherheit als auch den BAIT Anforderungen zählt. Dazu setzt tenfold auf rollenbasierte Berechtigungsvergabe: Über Rollen-Profile können Organisationen je nach Aufgabe und Abteilung Standardrechte für Mitarbeiter festlegen, die tenfold nun selbstständig zuweist. Somit werden Rechte nicht nur automatisch vergeben, sondern auch automatisch wieder entzogen, wenn ein Mitarbeiter die Abteilung wechselt oder das Institut verlässt.

In der Praxis sind neben Standardrechten häufig auch zusätzliche Berechtigungen notwendig. Um bei der Vergabe den Ansprüchen der BaFin zu genügen, erlaubt tenfold das Einrichten von eigenen Genehmigungsworkflows, über die der jeweilige Fachbereich in die Entscheidung eingebunden wird. Zudem können befristete Rechte vergeben werden, die nach Ablauf automatisch wieder erlöschen.

Rezertifizierung und Dokumentation

Die von BAIT vorgesehene Rezertifizierung von Berechtigungen, also die regelmäßige Überprüfung, ob bestehende Rechte noch benötigt werden, lässt sich dank tenfold schnell und einfach abwickeln. Mithilfe von automatisierten Benachrichtigungen werden die jeweiligen Entscheidungsträger in regelmäßigen Intervallen dazu aufgefordert zu bestätigen, ob Berechtigungen auf Ressourcen in ihrer Verantwortung noch benötigt werden. Veraltete Zugriffsrechte können so mit nur einem Klick entfernt werden.

Sämtliche Änderungen an Berechtigungen, wie etwa die Bestätigung oder Löschung im Rahmen der Rezertifizierung, werden von tenfold vollständig dokumentiert, um die spätere Nachvollziehbarkeit zu gewährleisten. Somit hilft die IAM-Software dabei, BAIT Anforderungen hinsichtlich der Dokumentation (Kapitel 6.6) zu erfüllen und erleichtert den Nachweis der Compliance im Rahmen von Audits.

[GRATIS WHITEPAPER] Identitäts- & Rechtemanagement in den Bankaufsichtlichen Anforderungen an die IT

Finden Sie heraus, wie tenfold Sie bei der Umsetzung von BAIT im Bereich Identity und Access Management unterstützen kann.

Zum Download

[GRATIS WHITEPAPER] Identitäts- & Rechtemanagement in den Bankaufsichtlichen Anforderungen an die IT

Finden Sie heraus, wie tenfold Sie bei der Umsetzung von BAIT im Bereich Identity und Access Management unterstützen kann.

Zum Download