Bankaufsichtliche Anforderungen an die IT: Alles, was Banken wissen müssen!

“Bankaufsichtliche Anforderungen an die IT (BAIT)” ist der Titel eines Rundschreibens der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), das in seiner ersten Fassung im November 2017 versendet wurde. Hintergrund von BAIT ist der Paragraf 25a des Kreditwesengesetzes (KWG): Darin finden sich besondere organisatorische Pflichten für Finanzinstitute in Bezug auf das Risikomanagement und die Einrichtung interner Kontrollverfahren.

Eine der hier enthaltenen gesetzlichen Pflichten ist die “angemessene personelle und technisch-organisatorische Ausstattung des Instituts”. Da diese Passage jedoch viel Raum zur Interpretation offen lässt, hat die BaFin mit BAIT konkrete Anforderungen definiert, die Kreditinstitute und Finanzdienstleister in Deutschland in Bezug auf ihre Informationssicherheit umsetzen müssen.

Bei MaRisk, den Mindestanforderungen an das Risikomanagement, handelt es sich ebenso um ein Rundschreiben der BaFin, welches das Kreditwesengesetz konkretisiert. MaRisk erfüllt somit eine ähnliche Rolle wie BAIT, wurde jedoch schon 2005 erstmals veröffentlicht und seitdem mehrmals adaptiert, zuletzt durch eine Novelle im Juni 2023.

MaRisk beschäftigt sich jedoch, wie der Name bereits sagt, vor allem mit dem Thema Risikomanagement. Das Dokument behandelt zwar auch technische Vorgaben, diese decken aber nur knapp zwei Seiten ab. Da MaRisk Anforderungen an die IT-Sicherheit nicht im Detail ausführt, entstand der Bedarf für ein spezifisches Dokument zu diesem Thema: das BAIT-Rundschreiben.

Seit der ursprünglichen Veröffentlichung wurde BAIT insgesamt zweimal aktualisiert. Das BAIT-Update aus dem September 2018 ergänzt die Anforderungen um den Abschnitt kritische Infrastrukturen. Darin enthalten sind Maßnahmen zur Erreichung der KRITIS-Schutzziele für den Finanzsektor, die bei vollständiger Umsetzung als Nachweis der Umsetzung der KRITIS-Verordnung und des IT-Sicherheitsgesetzes dienen.

Die aktuelle Version von BAIT wurde im August 2021 veröffentlicht und fügt drei neue Kapitel hinzu: Operative Informationssicherheit, IT-Notfallmanagement und Management der Beziehungen mit Zahlungsdienstnutzern. Neben der weiteren Konkretisierung der Sicherheitsmaßnahmen, beschäftigt sich diese Neufassung vor allem mit Outsourcing im Finanzbereich, wozu zeitgleich auch MaRisk überarbeitet wurde.

Der Finanzsektor zählt zu jenen Bereichen von hoher gesellschaftlicher Relevanz, die durch das IT-Sicherheitsgesetz bzw. die KRITIS-Verordnung vor Hackern, Ransomware und Cyberangriffen geschützt werden sollen. Durch strengere Vorschriften soll ein Ausfall des Bankwesens verhindert und somit der Zahlungsverkehr und die Bargeldversorgung abgesichert werden.

Ob eine Bank als kritische Infrastruktur zählt oder nicht, ist vom Erreichen bestimmter Schwellenwerte abhängig: Für die Bargeldversorgung beginnt die jährliche Grenze bei 15 Mio. Transaktionen, für die traditionelle Kontoführung bei 100 Mio. Transaktionen und für Wertpapiergeschäfte bei 850.000 Transaktionen. Details in den Anlagen der KRITIS-Verordnung.

Für Finanzdienstleister ab den entsprechenden Schwellenwerten gelten somit dieselben Anforderungen, wie auch für andere kritische Infrastrukturen: die Registrierung beim BSI, das Melden von Sicherheitsvorfällen und die Umsetzung von Sicherheitsmaßnahmen nach aktuellem Stand der Technik. Dabei können Unternehmen sich an internationalen Normen wie ISO 27001 orientieren oder eigene branchenspezifische Sicherheitsstandards zur Zertifizierung vorlegen.

BAIT ist nicht die einzige Vorschrift, die Anforderungen an die Cybersicherheit von Finanzdienstleistern stellt. Mittlerweile existieren mehrere vergleichbare Rundschreiben, die sich mit je eigenen Sparten des Finanzsektors befassen und aufgrund ihrer ähnlichen Namen leicht für Verwirrung sorgen können. Ein kurzer Überblick:

Als Orientierungshilfe finden Sie im Folgenden eine Zusammenfassung aller 12 Kapitel, die in BAIT enthalten sind. Naturgemäß handelt es sich dabei um eine verkürzte Wiedergabe, die dem Überblick dient, aber nicht alle Forderungen des Dokuments vollständig abdeckt. Bei weiteren Fragen empfiehlt sich der Blick in den vollständigen Text von BAIT, der von der BaFin als PDF-Download angeboten wird.

Dieser Abschnitt gibt der Geschäftsleitung die Verantwortung, eine nachhaltige IT-Strategie festzulegen, die sowohl Ziele als auch konkrete Maßnahmen zur Umsetzung enthält. Vorgesehene Inhalte der IT-Strategie sind unter anderem: die strategische Entwicklung der IT-Architektur und der IT-Abläufe, das Festlegen von Zuständigkeiten in der Organisation, eine Zuordnung, an welchen Standards das Unternehmen sich orientiert, sowie Aussagen zum IT-Notfallmanagement und im Betrieb verwendeten Komponenten (Hardware und Software).

Unter Governance lässt sich sinngemäß die Umsetzung und Einhaltung der zuvor beschriebenen Strategie innerhalb des Unternehmens verstehen. Auch hier liegt die Verantwortung bei der Geschäftsleitung, die dafür sorgen muss, dass Vorgaben zeitnah durchgesetzt bzw. angepasst werden, die betroffenen Fachbereiche mit den nötigen Ressourcen ausgestattet sind und es keine Interessenskonflikte durch unvereinbare Tätigkeiten gibt (etwa Durchführung und Kontrolle durch dieselbe Person). Siehe auch Segregation of Duties.

Teil des Informationsrisikomanagements ist die Einrichtung angemessener Überwachungs- und Steuerungsprozesse, um die Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit von verarbeiteten Daten zu gewährleisten. Um den Schutzbedarf in Bezug auf diese Kategorien regelmäßig ermitteln zu können, müssen Institute stets einen Überblick über alle Bestandteile ihres Informationsverbunds haben (inklusive der Vernetzung mit Dritten). Ebenso ist die laufende Beobachtung, Prüfung und Bewertung von Schwachstellen vorgesehen.

Unter Informationssicherheitsmanagement versteht man Richtlinien und Prozesse, um IT-Sicherheit dauerhaft in einer Organisation zu etablieren. Der Aufbau eines Informationssicherheits-managementsystems steht im Zentrum der Norm ISO 27001 und zählt ebenso zu den Voraussetzungen des BSI-IT-Grundschutzes.

Konkret schreibt BAIT den Beschluss und die interne Kommunikation einer Informationssicherheitsleitlinie vor. Darauf aufbauend sind entsprechende Richtlinien und Prozesse zur Umsetzung zu definieren, sowie ein Informationssicherbeitsbeauftragter zu bestimmen. Dieser ist für die Kontrolle der Einhaltung von Regelungen zur Informationssicherheit zuständig und koordiniert regelmäßige Maßnahmen zur Sensibilisierung des Personals, neben vielen weiteren Aufgaben.

Die notwendigen technischen Schritte, um die Absicherung digitaler Arbeitsabläufe zu gewährleisten, fallen unter das Kapitel Operative Informationssicherheit. Dazu zählen etwa: Schwachstellenmanagement, Perimeterschutz, Netzwerk-Segmentierung und Verschlüsselung von Daten.

Um relevante Sicherheitsvorfälle zu erkennen sind entsprechende Kriterien zu definieren, etwa ein Anstieg nicht autorisierter Zugriffsversuche. Ebenso ist die operative Security regelmäßig durch Schritte wie Schwachstellenscans, Penetrationstests und simulierte Angriffe zu überprüfen.

Das Identitäts- und Rechtemanagement (auch als Identity und Access Management bezeichnet) stellt sicher, dass nur berechtigte Benutzer auf IT-Systeme und sensible Daten zugreifen können. BAIT setzt hierbei ein Berechtigungskonzept voraus, welches die Einhaltung der Funktionstrennung sicherstellt und den Zugriff nach dem Sparsamkeitsgrundsatz auf ein Minimum beschränkt. Man spricht auch vom Need-to-Know bzw. Least-Privilege-Prinzip. Um die konsequente Einhaltung dieses Konzepts sicherzustellen, müssen:

Vor wesentlichen Veränderungen an Systemen oder der Inbetriebnahme neuer Komponenten und Anwendungen muss eine Auswirkungsanalyse durchgeführt werden. Bei der Entwicklung neuer Anwendungen sind Ziele hinsichtlich der Funktionalität klar zu dokumentieren und angemessene Vorkehrungen zu treffen, um verarbeitete Daten zu schützen.

Es muss eine Methodik für das Testen von Anwendungen vor ihrer ersten Inbetriebnahme definiert werden, aber auch nach der Aktivierung müssen eigene Projekte und Programme laufend überwacht werden (z.B. Überprüfung des Quellcodes).

Um im laufenden Betrieb den notwendigen Überblick über den Informationsverbund sicherzustellen, müssen Organisationen den Standort der Systeme und ihre Eigentümer (Verantwortlichen) dokumentieren. Systeme sind regelmäßig zu aktualisieren und die Risiken durch nicht mehr unterstützte Programme und Komponenten aktiv zu steuern.

Weitere Aspekte, die den IT-Betrieb von Finanzdienstleistern betreffen, sind etwa die Sicherung von Daten, die Planung des Leistungsbedarfs von Systemen, sowie die Dokumentation von Änderungen und Störungen.

Dieser Abschnitt definiert Anforderungen an den Umgang mit externer Software und Services wie Cloud-Diensten oder Backup-Lösungen. Bei der Auslagerung ist im Vorfeld eine Risikobewertung durchzuführen und auf die Einhaltung des Risikomanagements zu achten. Die Verantwortlichen für Informationssicherheit und Notfallmanagement müssen ebenso in die Auslagerung eingebunden werden, außerdem sind entsprechende Bewertungen regelmäßig zu überprüfen und erneuern.

Institute müssen ein Notfallkonzept definieren, das sowohl die Wiederherstellung der vollen Funktion als auch die Geschäftsfortführung während Notfällen abdeckt. Dazu muss vor allem erfasst werden, welche Abhängigkeiten es in den IT-Systemen und bezüglich externer Dienstleister gibt, sowie welche Ressourcen notwendig sind, um eine eingeschränkte Fortführung zeitkritischer Geschäftsprozesse sicherzustellen. Auch eine jährliche Überprüfung der Wirksamkeit des Notfallplans ist vorgesehen.

Institute sind verpflichtet, Zahlungsdienstnutzer über Sicherheitsrisiken zu informieren und ihnen Möglichkeiten zur Anpassung bereitzustellen, etwa das Deaktivieren bestimmter Funktionen (z.B. Auslandsüberweisungen außerhalb des SEPA-Raums) oder das Anpassen von Limits für Überweisungen.

Um nicht-autorisierte Zugriffe rasch zu erkennen, müssen Benachrichtigungen für getätigte und fehlgeschlagene Transaktionen angeboten werden. Außerdem haben Institute Zahlungsdienstnutzer hinsichtlich dieser Risiken zu unterstützen und zu beraten, indem sie angemessene Kommunikationskanäle einrichten.

Dieses Kapitel richtet sich nicht an alle Finanzinstitute, sondern an jene die gemäß der KRITIS-Verordnung als kritische Infrastrukturen eingestuft werden. Diesen Einrichtungen steht es frei, sich bei der Umsetzung angemessener Sicherheitsstandards an internationale Normen zu halten oder einen eigenen bzw. branchenspezifischen Ansatz zertifizieren zu lassen. Daher sind die hier enthaltenen Vorgaben nicht verpflichtend, sondern eine alternative Möglichkeit, um den Nachweis des Schutzes zu erbringen.

Im Wesentlichen handelt sich bei den hier definierten Anforderungen um das Beachten des KRITIS-Schutzziels im Informationsrisiko- und Informationssicherheitsmanagement, sowie den Notfallmaßnahmen. Das Schutzziel ist dabei die durchgehende Aufrechterhaltung des Zahlungsverkehrs und der Bargeldversorgung, die auch im Notfall gewährleistet sein müssen.

Die Anforderungen von BAIT bedeuten für Finanzinstitute einen zum Teil erheblichen organisatorischen Aufwand. Umso wichtiger ist es, in Bereichen, die es erlauben, die Ansprüche an die Informationssicherheit durch automatisierte Lösungen zu erfüllen. Das Kapitel Identitäts- und Rechtemanagement lässt sich etwa durch passende IAM-Tools abdecken, die sowohl den Verwaltungsaufwand als auch das Risiko von Fehlern deutlich reduzieren.

Dank seiner schnellen Installation, dem Import von Benutzerdaten und vielen vorgefertigten Plugins lässt sich die IAM-Lösung tenfold besonders leicht in bestehende Strukturen integrieren. Benutzerkonten und Zugriffsrechte können so in allen verknüpften Systemen über eine zentrale Plattform verwaltet werden. Dank der Active Directory Schnittstelle und dem tenfold Generic Connector ist auch die Integration von Kernbankensoftware und weiteren branchenspezifischen Programmen möglich.

In tenfold werden Zugriffsrechte automatisch nach dem Least-Privilege-Prinzip vergeben, welches sowohl zu den Best Practices der Cybersicherheit als auch den BAIT Anforderungen zählt. Dazu setzt tenfold auf rollenbasierte Berechtigungsvergabe: Über Rollen-Profile können Organisationen je nach Aufgabe und Abteilung Standardrechte für Mitarbeiter festlegen, die tenfold nun selbstständig zuweist. Somit werden Rechte nicht nur automatisch vergeben, sondern auch automatisch wieder entzogen, wenn ein Mitarbeiter die Abteilung wechselt oder das Institut verlässt.

In der Praxis sind neben Standardrechten häufig auch zusätzliche Berechtigungen notwendig. Um bei der Vergabe den Ansprüchen der BaFin zu genügen, erlaubt tenfold das Einrichten von eigenen Genehmigungsworkflows, über die der jeweilige Fachbereich in die Entscheidung eingebunden wird. Zudem können befristete Rechte vergeben werden, die nach Ablauf automatisch wieder erlöschen.

Die von BAIT vorgesehene Rezertifizierung von Berechtigungen, also die regelmäßige Überprüfung, ob bestehende Rechte noch benötigt werden, lässt sich dank tenfold schnell und einfach abwickeln. Mithilfe von automatisierten Benachrichtigungen werden die jeweiligen Entscheidungsträger in regelmäßigen Intervallen dazu aufgefordert zu bestätigen, ob Berechtigungen auf Ressourcen in ihrer Verantwortung noch benötigt werden. Veraltete Zugriffsrechte können so mit nur einem Klick entfernt werden.

Sämtliche Änderungen an Berechtigungen, wie etwa die Bestätigung oder Löschung im Rahmen der Rezertifizierung, werden von tenfold vollständig dokumentiert, um die spätere Nachvollziehbarkeit zu gewährleisten. Somit hilft die IAM-Software dabei, BAIT Anforderungen hinsichtlich der Dokumentation (Kapitel 6.6) zu erfüllen und erleichtert den Nachweis der Compliance im Rahmen von Audits.