Bankaufsichtliche Anforderungen an die IT: Alles, was Banken wissen müssen!

“Bankaufsichtliche Anforderungen an die IT (BAIT)” ist der Titel eines Rundschreibens der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), das in seiner ersten Fassung im November 2017 versendet wurde. Hintergrund von BAIT ist der Paragraf 25a des Kreditwesengesetzes (KWG): Darin finden sich besondere organisatorische Pflichten für Finanzinstitute in Bezug auf das Risikomanagement und die Einrichtung interner Kontrollverfahren.

Eine der hier enthaltenen gesetzlichen Pflichten ist die “angemessene personelle und technisch-organisatorische Ausstattung des Instituts”. Da diese Passage jedoch viel Raum zur Interpretation offen lässt, hat die BaFin mit BAIT konkrete Anforderungen definiert, die Kreditinstitute und Finanzdienstleister in Deutschland in Bezug auf ihre Informationssicherheit umsetzen müssen.

Mit dem Digital Operations Resilience Act (DORA) definiert die EU IT-Sicherheitsanforderungen für die Finanzindustrie. Um eine Doppelregulierung zu vermeiden, hat die Finanzaufsicht BaFin die schrittweise Aufhebung von BAIT angekündigt.

Mit dem 17. Januar 2025 sind Organisationen, die ihr IKT-Risikomanagement gemäß DORA betreiben müssen, von BAIT ausgenommen. Mit dem 1. Januar 2027 wird BAIT vollständig aufgehoben, da eine Novelle des Finanzmarktdigitalisierungsgesetzes zeitgleich den Anwenderkreis von DORA erweitert.

Die Rundschreiben VAIT, ZAIT und KAIT (Anforderungen an Versicherungen, Zahlungsdienste und Kapitalverwaltung) werden mit dem 17. Januar 2025 ebenfalls aufgehoben.

Bei MaRisk, den Mindestanforderungen an das Risikomanagement, handelt es sich ebenso um ein Rundschreiben der BaFin, welches das Kreditwesengesetz konkretisiert. MaRisk erfüllt somit eine ähnliche Rolle wie BAIT, wurde jedoch schon 2005 erstmals veröffentlicht und seitdem mehrmals adaptiert, zuletzt durch eine Novelle im Juni 2023.

MaRisk beschäftigt sich jedoch, wie der Name bereits sagt, vor allem mit dem Thema Risikomanagement. Das Dokument behandelt zwar auch technische Vorgaben, diese decken aber nur knapp zwei Seiten ab. Da MaRisk Anforderungen an die IT-Sicherheit nicht im Detail ausführt, entstand der Bedarf für ein spezifisches Dokument zu diesem Thema: das BAIT-Rundschreiben.

Seit der ursprünglichen Veröffentlichung wurde BAIT insgesamt zweimal aktualisiert. Das BAIT-Update aus dem September 2018 ergänzt die Anforderungen um den Abschnitt kritische Infrastrukturen. Darin enthalten sind Maßnahmen zur Erreichung der KRITIS-Schutzziele für den Finanzsektor, die bei vollständiger Umsetzung als Nachweis der Umsetzung der KRITIS-Verordnung und des IT-Sicherheitsgesetzes dienen.

Die aktuelle Version von BAIT wurde im Dezember 2024 veröffentlicht und bereitet das schrittweise Auslaufen der Regulierung vor. Neben dem reduzierten Anwenderkreis von BAIT wurde dazu auch Kapitel 11 aufgehoben. Dieses betrifft die Beziehungen zu Zahlungsdienstleistern, welche ebenfalls durch DORA reguliert werden.

Als Orientierungshilfe finden Sie im Folgenden eine Zusammenfassung aller 12 Kapitel, die in BAIT enthalten sind. Naturgemäß handelt es sich dabei um eine verkürzte Wiedergabe, die dem Überblick dient, aber nicht alle Forderungen des Dokuments vollständig abdeckt. Bei weiteren Fragen empfiehlt sich der Blick in den vollständigen Text von BAIT, der von der BaFin als PDF-Download angeboten wird.

Dieser Abschnitt gibt der Geschäftsleitung die Verantwortung, eine nachhaltige IT-Strategie festzulegen, die sowohl Ziele als auch konkrete Maßnahmen zur Umsetzung enthält. Vorgesehene Inhalte der IT-Strategie sind unter anderem: die strategische Entwicklung der IT-Architektur und der IT-Abläufe, das Festlegen von Zuständigkeiten in der Organisation, eine Zuordnung, an welchen Standards das Unternehmen sich orientiert, sowie Aussagen zum IT-Notfallmanagement und im Betrieb verwendeten Komponenten (Hardware und Software).

Unter Governance lässt sich sinngemäß die Umsetzung und Einhaltung der zuvor beschriebenen Strategie innerhalb des Unternehmens verstehen. Auch hier liegt die Verantwortung bei der Geschäftsleitung, die dafür sorgen muss, dass Vorgaben zeitnah durchgesetzt bzw. angepasst werden, die betroffenen Fachbereiche mit den nötigen Ressourcen ausgestattet sind und es keine Interessenskonflikte durch unvereinbare Tätigkeiten gibt (etwa Durchführung und Kontrolle durch dieselbe Person). Siehe auch Segregation of Duties.

Teil des Informationsrisikomanagements ist die Einrichtung angemessener Überwachungs- und Steuerungsprozesse, um die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit von verarbeiteten Daten zu gewährleisten. Um den Schutzbedarf in Bezug auf diese Kategorien regelmäßig ermitteln zu können, müssen Institute stets einen Überblick über alle Bestandteile ihres Informationsverbunds haben (inklusive der Vernetzung mit Dritten). Ebenso ist die laufende Beobachtung, Prüfung und Bewertung von Schwachstellen vorgesehen.

Unter Informationssicherheitsmanagement versteht man Richtlinien und Prozesse, um IT-Sicherheit dauerhaft in einer Organisation zu etablieren. Der Aufbau eines Informationssicherheits-managementsystems steht im Zentrum der Norm ISO 27001 und zählt ebenso zu den Voraussetzungen des BSI-IT-Grundschutzes.

Konkret schreibt BAIT den Beschluss und die interne Kommunikation einer Informationssicherheitsleitlinie vor. Darauf aufbauend sind entsprechende Richtlinien und Prozesse zur Umsetzung zu definieren, sowie ein Informationssicherbeitsbeauftragter zu bestimmen. Dieser ist für die Kontrolle der Einhaltung von Regelungen zur Informationssicherheit zuständig und koordiniert regelmäßige Maßnahmen zur Sensibilisierung des Personals, neben vielen weiteren Aufgaben.

Die notwendigen technischen Schritte, um die Absicherung digitaler Arbeitsabläufe zu gewährleisten, fallen unter das Kapitel Operative Informationssicherheit. Dazu zählen etwa: Schwachstellenmanagement, Perimeterschutz, Netzwerk-Segmentierung und Verschlüsselung von Daten.

Um relevante Sicherheitsvorfälle zu erkennen sind entsprechende Kriterien zu definieren, etwa ein Anstieg nicht autorisierter Zugriffsversuche. Ebenso ist die operative Security regelmäßig durch Schritte wie Schwachstellenscans, Penetrationstests und simulierte Angriffe zu überprüfen.

Das Identitäts- und Rechtemanagement (auch als Identity und Access Management bezeichnet) stellt sicher, dass nur berechtigte Benutzer auf IT-Systeme und sensible Daten zugreifen können. BAIT setzt hierbei ein Berechtigungskonzept voraus, welches die Einhaltung der Funktionstrennung sicherstellt und den Zugriff nach dem Sparsamkeitsgrundsatz auf ein Minimum beschränkt. Man spricht auch vom Need-to-Know bzw. Least-Privilege-Prinzip. Um die konsequente Einhaltung dieses Konzepts sicherzustellen, müssen:

Vor wesentlichen Veränderungen an Systemen oder der Inbetriebnahme neuer Komponenten und Anwendungen muss eine Auswirkungsanalyse durchgeführt werden. Bei der Entwicklung neuer Anwendungen sind Ziele hinsichtlich der Funktionalität klar zu dokumentieren und angemessene Vorkehrungen zu treffen, um verarbeitete Daten zu schützen.

Es muss eine Methodik für das Testen von Anwendungen vor ihrer ersten Inbetriebnahme definiert werden, aber auch nach der Aktivierung müssen eigene Projekte und Programme laufend überwacht werden (z.B. Überprüfung des Quellcodes).

Um im laufenden Betrieb den notwendigen Überblick über den Informationsverbund sicherzustellen, müssen Organisationen den Standort der Systeme und ihre Eigentümer (Verantwortlichen) dokumentieren. Systeme sind regelmäßig zu aktualisieren und die Risiken durch nicht mehr unterstützte Programme und Komponenten aktiv zu steuern.

Weitere Aspekte, die den IT-Betrieb von Finanzdienstleistern betreffen, sind etwa die Sicherung von Daten, die Planung des Leistungsbedarfs von Systemen, sowie die Dokumentation von Änderungen und Störungen.

Dieser Abschnitt definiert Anforderungen an den Umgang mit externer Software und Services wie Cloud-Diensten oder Backup-Lösungen. Bei der Auslagerung ist im Vorfeld eine Risikobewertung durchzuführen und auf die Einhaltung des Risikomanagements zu achten. Die Verantwortlichen für Informationssicherheit und Notfallmanagement müssen ebenso in die Auslagerung eingebunden werden, außerdem sind entsprechende Bewertungen regelmäßig zu überprüfen und erneuern.

Institute müssen ein Notfallkonzept definieren, das sowohl die Wiederherstellung der vollen Funktion als auch die Geschäftsfortführung während Notfällen abdeckt. Dazu muss vor allem erfasst werden, welche Abhängigkeiten es in den IT-Systemen und bezüglich externer Dienstleister gibt, sowie welche Ressourcen notwendig sind, um eine eingeschränkte Fortführung zeitkritischer Geschäftsprozesse sicherzustellen. Auch eine jährliche Überprüfung der Wirksamkeit des Notfallplans ist vorgesehen.

Vergangene Fassungen von BAIT haben sich auch mit der Verwaltung der Beziehung zu Zahlungsdienstnutzern befasst, um diese etwa über Sicherheitsrisiken zu informieren oder Kontrollfunktionen zu garantieren (z.B. das Sperren von Auslandsüberweisungen oder Anpassen von Limits).

Im Rahmen des schrittweisen Auslaufens von BAIT ist dieses Kapitel in der aktuellen Fassung aufgehoben.

Dieses Kapitel richtet sich nicht an alle Finanzinstitute, sondern an jene die gemäß der KRITIS-Verordnung als kritische Infrastrukturen eingestuft werden. Diesen Einrichtungen steht es frei, sich bei der Umsetzung angemessener Sicherheitsstandards an internationale Normen zu halten oder einen eigenen bzw. branchenspezifischen Ansatz zertifizieren zu lassen. Daher sind die hier enthaltenen Vorgaben nicht verpflichtend, sondern eine alternative Möglichkeit, um den Nachweis des Schutzes zu erbringen.

Im Wesentlichen handelt sich bei den hier definierten Anforderungen um das Beachten des KRITIS-Schutzziels im Informationsrisiko- und Informationssicherheitsmanagement, sowie den Notfallmaßnahmen. Das Schutzziel ist dabei die durchgehende Aufrechterhaltung des Zahlungsverkehrs und der Bargeldversorgung, die auch im Notfall gewährleistet sein müssen.

Der regulatorische Druck auf Finanzinstitute steigt stetig. Anforderungen an die IT-Sicherheit, die in BAIT ihren Anfang nahmen, werden durch neuere Gesetze wie DORA aufgegriffen und dabei zunehmend erweitert.

Für betroffene Unternehmen ist die Erfüllung dieser Anforderungen mit erheblichem Aufwand verbunden. Nur mit geeigneten Tools lassen sich die strengen Sicherheitsvorgaben erfolgreich umsetzen und der Aufwand für IT-Teams dabei in Grenzen halten.

Ein zentrales Thema: Identitäts- und Rechtemanagement, um sensible Finanzdaten vor unberechtigtem Zugriff zu schützen. Hier erlaubt die automatische Verwaltung mit einer Identity & Access Management Lösung sowohl den betrieblichen Aufwand als auch das Risiko für Fehler zu minimieren.

In tenfold werden Zugriffsrechte automatisch nach dem Least-Privilege-Prinzip vergeben, welches sowohl zu den Best Practices der Cybersicherheit als auch den BAIT Anforderungen zählt. Dazu setzt tenfold auf rollenbasierte Berechtigungsvergabe: Über Profile können Organisationen je nach Aufgabe und Abteilung Standardrechte für Mitarbeiter festlegen, die tenfold nun selbstständig zuweist. Somit werden Rechte nicht nur automatisch vergeben, sondern auch automatisch wieder entzogen, wenn ein Mitarbeiter die Abteilung wechselt oder das Institut verlässt.

In der Praxis sind neben Standardrechten häufig auch zusätzliche Berechtigungen notwendig. Um bei der Vergabe den Ansprüchen der BaFin zu genügen, erlaubt tenfold das Einrichten von eigenen Genehmigungsworkflows, über die der jeweilige Fachbereich in die Entscheidung eingebunden wird. Zudem können befristete Rechte vergeben werden, die nach Ablauf automatisch wieder erlöschen.

Um die im Finanzbereich essenzielle Trennung zwischen operativem Geschäft und Kontrollfunktionen zu gewährleisten, ermöglicht es tenfold, nicht vereinbare Rechte gegenseitig auszuschließen. Dadurch kann die Funktionstrennung auch über mehrere IT-Systeme hinweg problemlos umgesetzt werden.

Ein Tagging-System für Berechtigungen erlaubt es dabei, ganze Gruppen von Rechten schnell und einfach in Konflikt zueinander zu setzen. Anstatt jeden Einzelfall separat durchzuexerzieren lassen sich so problematische Konstellationen mit wenigen Klicks gegenseitig ausschließen.

Die von BAIT vorgesehene Rezertifizierung von Berechtigungen, also die regelmäßige Überprüfung, ob bestehende Rechte noch benötigt werden, lässt sich dank tenfold schnell und einfach abwickeln. Mithilfe von automatisierten Benachrichtigungen werden die jeweiligen Entscheidungsträger in regelmäßigen Intervallen dazu aufgefordert zu bestätigen, ob Berechtigungen auf Ressourcen in ihrer Verantwortung noch benötigt werden. Veraltete Zugriffsrechte können so mit nur einem Klick entfernt werden.

Sämtliche Änderungen an Berechtigungen, wie etwa die Bestätigung oder Löschung im Rahmen der Rezertifizierung, werden von tenfold vollständig dokumentiert, um die spätere Nachvollziehbarkeit zu gewährleisten. Somit hilft die IAM-Software dabei, BAIT Anforderungen hinsichtlich der Dokumentation (Kapitel 6.6) zu erfüllen und erleichtert den Nachweis der Compliance im Rahmen von Audits.