Prüfung der Umsetzung der BAIT 2021

III. Neuerungen und Überarbeitungen 2021

1. Neu eingefügt wurden folgende Kapitel

• Kapitel 5 – operative Umsetzung der Anforderungen aus Kapitel 4 – Informationssicherheit
• Kapitel 10 – IT-Notfallmanagement
• Kapitel 11 – Beziehungen mit Zahlungsdienstenutzern

2. Umfangreich überarbeitet wurden

• Kapitel 3 – Informationsrisikomanagement
• Kapitel 4 – Informationssicherheitsmanagement

3. Wesentliche neue Inhalte

In Kapitel 3 wurde der Begriff des Informationsverbundes neu eingeführt. Weiter wird eine kompetenzgerechte Genehmigung der Behandlung von Risiken gefordert. Eine laufende Überwachung der Bedrohungslage sowie Vorgaben zum Ergreifen wirksamer technisch-organisatorischer Maßnahmen sind ebenfalls neu aufgenommen worden. In Kapitel 4 wird nochmals explizit die Gesamtverantwortung der Geschäftsleitung betont. Auch Richtlinien für die physische Sicherheit sind zu implementieren. Informationssicherheitsvorfälle sind zeitnah zu analysieren. Eine Richtlinie für Test und Überprüfung der Maßnahmen zum Schutz der Informationssicherheit ist ebenso aufgenommen worden wie die Anforderung eines kontinuierlichen Sensibilisierungs- und Schulungsprogrammes der Mitarbeiter mit Lernerfolgskontrollen.

Kapitel 5 fordert die Implementierung von angemessenen Informationssicherheitsmaßnahmen sowie die frühzeitige Identifizierung von Gefährdungen des Informationsverbundes durch Protokollierung und regelbasierte Auswertungen sowie forensische Analysen. Ein Security Incident Event Management System (SIEM) zur zeitnahen Analyse und Reaktion auf sicherheitsrelevante Ereignisse ist ebenso neu wie die Forderung einer regelmäßigen Sicherheitsüberprüfung durch Abweichungsanalysen, Schwachstellenscans, Penetrationstests und Simulationen von Angriffen.

Kapitel 10 enthält komplett neue Anforderungen an das IT-Notfallmanagement. Diese umfassen die Erstellung eines Notfallkonzepts mit IT-Notfallplänen für alle IT-Systeme, die zeitkritische Aktivitäten und Prozesse unterstützen. Darüber hinaus werden Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne für alle zeitkritischen Aktivitäten und Prozesse verlangt. Auch die Festlegung der kritischen Parameter sowie die Durchführung mindestens jährlicher IT-Notfalltests sind enthalten. Zudem wird die Einrichtung eines ausreichend entfernten (redundanten) Rechenzentrums vorgegeben.

IV. Prüfung der Umsetzung 

1. IT-Strategie

Die IT-Strategie kann grundsätzlich frei gestaltet werden, allerdings sind gewisse Mindestinhalte vorgegeben. Die IT-Strategie ist konsistent zur Geschäftsstrategie der Bank auszugestalten. Die strategischen Ziele sind hinreichend konkret und messbar zu formulieren. Weiter empfiehlt es sich, konkrete Verantwortlichkeiten für die Umsetzung der Maßnahmen zur Zielerreichung, der Überwachung und der Dokumentation der Zielerreichung zu definieren. In jedem Fall sollte an geeigneter Stelle die hohe Bedeutung der Informationssicherheit für das Institut deutlich herausgehoben werden. Die Aufsicht erwartet zudem, dass die Anforderungen der BAIT bereits im Strategieprozess 2021 umfassend integriert wurden. Eine Verschiebung auf den Strategieprozess 2022 könnte zu Feststellungen bei bankaufsichtlichen Prüfungen führen. Die Interne Revision sollte in jedem Fall die vollständige Umsetzung der vorgegebenen Mindestinhalte sowie die hinreichende Konkretisierung der Maßnahmen zu Zielerreichung kritisch prüfen. Diese sind im Wesentlichen die Darstellung der strategischen Entwicklung der Aufbau- und Ablauforganisation des Instituts, das Dateninfrastrukturmodell, die angebotenen IT-Dienstleistungen sowie wichtige Abhängigkeiten von Dritten – beispielsweise den Rechenzentralen. Wichtig ist zudem, die konkreten Standards zu benennen, an denen sich das Institut orientiert – beispielsweise ISO-Normen oder das BSI-Grundschutzhandbuch. Auch die Einbindung der Informationssicherheit in die Organisation des Instituts sollte Erwähnung finden. Das Zielbild der IT-Architektur des Instituts ist darzustellen in Form eines Überblicks über die Anwendungslandschaft. Zudem sind Aussagen zum IT-Notfallmanagement und den in den Fachbereichen selbst betriebenen bzw. entwickelten IT-Systemen erforderlich. Dies umfasst auch den Umgang mit selbst erstellten IT-Anwendungen (IDV) auf Trägersoftware wie Excel oder Access. 

2. Organisatorische und personelle Grundlagen

In diesem Bereich sollten sich keine allzu großen Probleme mehr ergeben. Allerdings solle darauf geachtet werden, dass der Stellenplan, die Arbeitsrichtlinien und das interne Kontrollsystem laufend gepflegt und auf dem aktuellen Stand gehalten werden. Hierfür sollte ein nachvollziehbarer Prozess implementiert sein. Zur Erfüllung der vielfältigen Kontroll- und Überwachungspflichten ist ein systematischer Kontroll- und Überwachungsplan unabdingbar. Auf Grund der Vielfalt und Komplexität sollte auf eine angemessene technische Unterstützung bei der Umsetzung des Kontrollplans hingewirkt werden. Zum Nachweis der angemessenen personellen Ausstattung sind Anforderungsprofile erforderlich, die mit der aktuellen Stellenbesetzung abgeglichen werden, um eventuellen Qualifizierungsbedarf frühzeitig zu erkennen und Bildungsmaßnahmen planen zu können. Auch für wesentliche Anpassungen der Aufbau- und Ablauforganisation ist ein System erforderlich, das die Umsetzung der Anforderungen des AT 8.2 der MaRisk sicherstellt. Dieser fordert, dass vor wesentlichen Veränderungen in der Aufbau- und Ablauforganisation die Auswirkungen auf die Kontrollverfahren und die Kontrollintensität analysiert werden. Auch hier gilt wieder, dass nur hinreichend dokumentierte Maßnahmen auch als durchgeführt angesehen werden.  

3. Kriterien zur Steuerung und Überwachung

Zur Steuerung der für den Betrieb und die Weiterentwicklung der IT-Systeme zuständigen Bereiche durch die Geschäftsleitung sind angemessene quantitative oder qualitative Kriterien durch diese festzulegen. Die Einhaltung der Kriterien ist zu überwachen. Bei der Festlegung der Kriterien können z. B. die Qualität der Leistungserbringungen, die Verfügbarkeit, Wartbarkeit, Anpassbarkeit an neue Anforderungen, Sicherheit der IT-Systeme oder der dazugehörigen IT-Prozesse sowie deren Kosten berücksichtigt werden. Für die Interne Revision gilt es hier, ein besonderes Augenmerk auf die zu Grunde gelegten Kriterien, deren Vollständigkeit und hinreichende Konkretisierung zu legen. Mindestens die Verantwortlichkeiten für Maßnahmen aus der IT-Strategie sollten festgelegt und die Zielerreichung in einem regelmäßigen Reporting überwacht und dokumentiert werden. Bei wesentlichen Abweichungen sind entsprechende Berichtspflichten zu definieren. 

4. Informationsrisikomanagement

In diesem Themenblock dürfte vor allem der neu eingeführte Begriff des Informationsverbundes zu Fragen und Diskussionen führen. Nach Auffassung der BaFin gehören zu einem Informationsverbund beispielsweise geschäftsrelevante Informationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme und deren zugehörige IT-Prozesse sowie Netz- und Gebäudeinfrastrukturen. Dementsprechend sollte institutsindividuell der Informationsverbund anhand dieser Kriterien definiert und in einer geeigneten Software dokumentiert werden. Dabei sind auch die Abhängigkeiten und Schnittstellen zu beschreiben, falls erforderlich auch im Rahmen der Vernetzung mit Dritten. Weiter ist darauf zu achten, dass der Informationsverbund laufend aktuell gehalten wird. Entsprechende Regelungen sollten auch im Beschaffungsprozess für neue Software implementiert sein.

Ein weiterer wesentlicher Bestandteil des Informationsrisikomanagements ist ein Sollmaßnahmenkatalog, in dem die Anforderungen zur Erreichung des jeweiligen Schutzbedarfs festgehalten und dokumentiert sind. Dabei sind neben den von der Rechenzentrale definierten Schutzobjekten auch bankindividuell definierte Schutzobjekte zu erfassen. Hier ergeben sich in der Praxis häufig noch Lücken hinsichtlich der Vollständigkeit. Auf Basis des Sollmaßnahmenkatalogs ist eine Risikoanalyse erforderlich. In dieser sind die definierten Sollmaßnahmen mit den tatsächlich durchgeführten Maßnahmen abzugleichen. Dabei sind auch mögliche Bedrohungen, das Schadenspotenzial und die Schadenshäufigkeit sowie der Risikoappetit der Bank zu berücksichtigen. In der Risikoanalyse festgestellte Abweichungen zwischen Schutzbedarf und ergriffenen Maßnahmen sind hinsichtlich des daraus entstehenden Risikos zu bewerten und in das Management des OP-Risk zu überführen. In diesem Zusammenhang ist auch die neue Anforderung der kompetenzgerechten Behandlung der Risiken zu regeln. Ein Anhaltspunkt für Interessenkonflikte ist dann gegeben, wenn die Erfassung der Risiken durch den Informationssicherheitsbeauftragten selbst vorgenommen wird. Dann kann dieser seiner Überwachungspflicht nicht mehr neutral nachkommen. Somit sollte die Risikoerfassung nicht beim ISB angesiedelt werden.

Abschließend sollte bei diesem Thema auch der Prozess zur laufenden Information zu Bedrohungen und Schwachstellen des Informationsverbundes unter die Lupe genommen werden. Verantwortlichkeiten und Dokumentationspflichten sind wie in allen Bereichen detailliert festzulegen. Ebenso sind die heranzuziehenden Informationsmedien wie beispielsweise einschlägige Internetportale oder die Homepage des BSI zu definieren.  

5. Informationssicherheitsmanagement

Bei diesem Themenblock sollte schwerpunktmäßig geprüft werden, ob eine Informationssicherheitsleitlinie im Haus etabliert ist und ob diese die vorgegebenen Mindestinhalte umfasst. Diese beziehen sich auf die Gesamtverantwortung der Geschäftsleitung, die Frequenz und den Umfang des Berichtswesens, die Kompetenzen sowie die grundlegenden Anforderungen hinsichtlich der Informationssicherheit an Personal, Auftragnehmer, Prozesse und Technologien. 

Ein weiterer wesentlicher Bestandteil des Informationssicherheitsmanagements ist die Benennung eines Informationssicherheitsbeauftragten (ISB). Dieser trägt die Gesamtverantwortung für alle Belange der Informationssicherheit im Institut. Dabei sind entsprechende Richtlinien und Prozesse zu etablieren. Insbesondere hat diese Funktion die Einhaltung der vorgegebenen Richtlinien und Prozesse zur Informationssicherheit zu kontrollieren. Hierfür sollte ein Kontrollplan erstellt werden. Der ISB hat auch an der Erstellung und Fortschreibung eines Notfallkonzepts hinsichtlich der Informationssicherheitsbelange mitzuwirken. Bei der Einrichtung der Funktion des ISB ist auf die Vermeidung von Interessenkonflikten zu achten. Der ISB sollte eine neutrale, unabhängige Stellung im Unternehmen analog der Internen Revision oder der Compliance-Funktion haben. Eine Anbindung an die Compliance-Funktion ist möglich, auch die Übernahme der Funktion durch ein Mitglied der Geschäftsleitung erfüllt die Anforderungen. Ausgeschlossen ist die Anbindung an die Interne Revision. Auch die Ansiedelung beim Leiter IT oder Leiter Bankorganisation ist hinsichtlich der Unabhängigkeit kritisch zu sehen.

Eine weitere wichtige Begriffsbestimmung in diesem Kapitel der BAIT ist der Informationssicherheitsvorfall. Dieser ist für das Institut zu definieren. Die Definition hat sich grundsätzlich am jeweiligen Schutzbedarf der Schutzobjekte zu orientieren. Für die Definition hat das Institut geeignete Kriterien festzulegen. Abzugrenzen vom Informationssicherheitsvorfall sind die Begriffe „Sicherheitsrelevantes Ereignis“ und „Ungeplante Abweichung vom Regelbetrieb“. Dies dürfte in der Praxis nicht ganz einfach werden. Für die sachgerechte Umsetzung dieser Vorgabe sind die Begriffe nebst Erläuterungen in der schriftlich fixierten Ordnung in möglichst verständlicher Weise zu erläutern. 

Die ergriffenen Maßnahmen im Rahmen des Informationssicherheitsmanagements sind regelmäßig auf ihre Funktionsfähigkeit zu überprüfen und zu testen. Auch hierfür wird eine entsprechende Richtlinie gefordert. Flankierend ist auch ein angemessenes Sensibilisierungs- und Schulungsprogramm einzurichten. Im Regelfall wird dies sinnvollerweise über elektronische Medien, wie beispielsweise Web-Based-Trainings stattfinden. Dabei sollte auch überwacht werden, dass alle relevanten Mitarbeiter dieses Programm absolviert haben. Eine Lernzielkontrolle ist nicht explizit vorgeschrieben, könnte aber den Effekt der Schulungsmaßnahmen verbessern. 

6. Identitäts- und Rechtemanagement

Hier sind grundsätzlich die Anforderungen aus den MaRisk zur minimalen Rechtevergabe zu beachten. Für besonders sensible Berechtigungen wie Administratorenrechte sind besondere Überwachungs- und Kontrolltätigkeiten erforderlich. Die Basis bilden angemessene Rollen- und Berechtigungskonzepte. Ein besonderes Augenmerk sollte auf nicht personalisierte Berechtigungen, beispielsweise rein technische User oder Dummy-User gelegt werden. Hier ist die Rezertifizierung durch eine neutrale Stelle unabdingbar. Auch für die Einrichtung, Änderung und Löschung von Berechtigungen sind standardisierte Prozesse zu empfehlen. Dabei ist insbesondere auf eine angemessene Einbindung der Personalprozesse zu achten. In der Praxis kommt es leider immer wieder vor, dass Mitarbeitende ausscheiden oder in andere Funktionen wechseln und die vergebenen Rechte nicht oder deutlich zu spät gelöscht bzw. angepasst werden. Die Berechtigungen sind umfassend zu dokumentieren, so dass jederzeit nachgewiesen werden kann, wer zu welchem Zeitpunkt welche Rechte innehatte. 

Wie in fast allen Kapiteln der BAIT sind auch beim Identitäts- und Rechtemanagement Prozesse zur Überwachung der vergebenen Berechtigungen erforderlich. Ein wichtiger Bestandteil dabei ist die regelmäßige Rezertifizierung der Berechtigungen durch Vorgesetzte oder neutrale Stellen im Betrieb. Die Verantwortlichkeiten und die Frequenz der Rezertifizierung sind klar zu definieren und festzulegen, ebenso die entsprechende Dokumentation. Die Frequenz kann sich am Risikogehalt der vergebenen Berechtigungen orientieren und entsprechend differenziert gestaltet werden. Besondere Anforderungen gelten für die Administratorenrechte. Hier sind neben einer Rezertifizierung in kürzeren Abständen zusätzlich noch angemessene Kontrollen für die Nutzung der Admin-Rechte, auch als „High-Level-Controls“ bezeichnet, zu implementieren. Dies ist in der Praxis meist nicht ganz einfach umzusetzen, da nur wenige Spezialisten in der Lage sein dürften, die Tätigkeit der Administratoren tatsächlich wirksam kontrollieren können. Daher sollte die Umsetzung dieser Anforderung einen Schwerpunkt im Rahmen der Revisionstätigkeit darstellen.

7. Projekte und Anwendungsentwicklung

In diesem Kapitel werden umfangreiche Anforderungen an die Durchführung und Steuerung von IT-Projekten und die Entwicklung eigener Anwendungen gestellt. Im Bereich der Projekte können grundsätzlich die bestehenden Regelungen zum Projektmanagement zu Grunde gelegt werden. Eine wesentliche Ergänzung besteht aber in Maßnahmen zur Überwachung und Steuerung der Projektrisiken aus IT-Projekten. Hierfür sind ebenfalls ein Prozess sowie entsprechende Berichtspflichten zu implementieren. 

Das größte Problem bei der Umsetzung der BAIT dürfte für viele Institute der Umgang mit Eigenentwicklungen sein. Dies betrifft nicht nur die Eigenprogrammierung, sondern auch sämtliche Entwicklungen, die auf Basis der gängigen Trägersoftware wie Excel oder Access, erstellt werden (Eigenentwicklung). Diese sind sehr weit verbreitet, insbesondere in den sensiblen Bereichen Rechnungswesen und Gesamtbanksteuerung. Auch die Abfragen in Zusammenhang mit einem vorhandenen Date-Warehouse, beispielsweise SQL-Abfragen, fallen unter diese Anforderungen. Grundlage für einen sachgerechten Umgang bildet eine umfassende Richtlinie für Eigenentwicklungen mit dezidierten Dokumentationsanforderungen. Als Grundsatz kann festgelegt werden, dass anhand der Dokumentation einer Eigenentwicklung ein sachkundiger Dritter in der Lage sein muss, die Funktion der Entwicklung zu verstehen und nachzuvollziehen. Weiter sind angemessene Test- und Freigabeverfahren in fachlicher und technischer Hinsicht zu implementieren. Der Umfang der Dokumentation richtet sich ausschließlich nach dem Schutzbedarf der Anwendung und ausdrücklich nicht nach der Komplexität von Formeln oder Makros. Besonders sensibel sind steuerungs- oder rechnungslegungsrelevante Entwicklungen. Hier ist eine ausführliche Dokumentation zwingend erforderlich. Das Grundproblem von Anwendungen auf Trägersoftware ist, dass diese technisch nicht vollständig vor beabsichtigten oder unabsichtlichen Veränderungen wirksam geschützt werden können. Auch die Möglichkeit der Versionierung bieten diese Tools nur in unzureichendem Umfang. Zell- und Blattschutz sind obligatorisch, aber nicht wirklich ausreichend. Gefordert wird ein vollständiges Verzeichnis aller derartigen Entwicklungen, das laufend aktuell zu halten ist. Dies kann nur gelingen, wenn eine entsprechende Software die Server laufend überwacht und bei neuen oder geänderten Anwendungen einen Dokumentations- und Freigabeprozess automatisch generiert. Hier ist umfangreiches Feststellungspotenzial vorhanden, daher sollte im Rahmen der Prüfung durch die Interne Revision umfassend geprüft und vorhandene Lücken aufgezeigt werden. 

8. IT-Auslagerungen

Bei Auslagerungen im IT-Bereich gelten grundsätzlich die umfassenden Anforderungen aus AT 9 MaRisk. Die BAIT konkretisieren diese durch spezielle zusätzliche Anforderungen. Auch hier spielt der Schutzbedarf der ausgelagerten Aktivitäten die entscheidende Rolle für den Umfang der zu Grunde gelegten Anforderungen. Auch der sonstige Fremdbezug von IT-Dienstleistungen fällt unter diese Regelungen. Gefordert ist eine vollständige und aktuelle Übersicht über die Auslagerungsverträge mit IT-Bezug. Die ausgelagerten IT-Dienstleistungen sind einer Risikoanalyse zu unterziehen. Aus dem Ergebnis der Risikobewertung leiten sich dann der Schutzbedarf und die zu ergreifenden Maßnahmen ab. Die Ergebnisse sind auch an das Risikocontrolling weiterzugeben, da sie Einfluss auf die Bewertung der OP-Risk haben können. Die Qualität der Erbringung der ausgelagerten Aktivitäten durch den Dienstleister ist laufend anhand von geeigneten Kenngrößen zu überwachen. 

10. IT-Notfallmanagement

Vor dem Hintergrund der herausragenden Bedeutung einer funktionierenden IT-Landschaft für die Kreditinstitute ist ein angemessenes Notfallkonzept unabdingbar. Dieses beginnt mit der konkreten Festlegung des Notfallmanagementprozesses. Für zeitkritische Aktivitäten und Prozesse ist eine besondere Vorsorge in Form von Notfallkonzepten erforderlich. Die Notfallkonzepte müssen Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne umfassen. Hierfür sind jeweils geeignete Parameter festzulegen. Bei Verbundinstituten, die einem Rechenzentrum angeschlossen sind, werden diese Anforderungen meist umfassend vom Rechenzentrum erfüllt. Für bankeigene oder fremd betriebene Systeme hingegen ist jedoch die Entwicklung eigener Konzepte erforderlich. Auch das beste Konzept wird im Ernstfall nur funktionieren, wenn es regelmäßig getestet und in Form von simulierten Notfällen auf die Funktionsfähigkeit hin geprüft wird. Notfalltests oder Notfallübungen werden in der Praxis nicht immer in der Frequenz und Intensität durchgeführt, die erforderlich ist. Daher sollte die Revision hier besonders kritisch prüfen und die Dokumentationen der Notfallübungen umfassend untersuchen. Auch die Planung der Notfallübungen ist mit der tatsächlichen Durchführung abzugleichen und eventuelle Abweichungen transparent zu machen. 

V. Ableitung des Handlungsbedarfs 

Die umfassenden Prüfungshandlungen im Rahmen eines BAIT-Umsetzungschecks werden naturgemäß auch eine Vielzahl von Maßnahmen zur Beseitigung der festgestellten Defizite nach sich ziehen. Die normalerweise zu Grunde zu legende Erledigungsfrist wird sich hier häufig nicht einhalten lassen. Vor diesem Hintergrund ist zu empfehlen, hier mit Zeit- und Maßnahmenplänen zu operieren, die in der Gesamtheit die Umsetzung der Anforderungen der BAIT sicherstellen. Durch die vorgegebene Einbindung verschiedener Funktionen wie ISB, Compliance oder Datenschutz ist gegebenenfalls auch die Implementierung eines Projektes zur Umsetzung zu überlegen.

VI. Fazit 

Die Prüfung der Umsetzung der BAIT 2021 verlangt der Internen Revision hohe fachliche und zeitliche Anforderungen ab. Die Bildung angemessener Prüfungsschwerpunkte ist daher unverzichtbar. Die erforderlichen Ressourcen und Qualifikationen in der Internen Revision sind nicht immer im erforderlichen Umfang vorhanden. Eine Qualifizierung der Mitarbeitenden sollte frühzeitig erfolgen. Ein Verzicht auf eine derartige Prüfung ist aber angesichts der Bedeutung der Thematik für das Institut und des Fokus der Bankenaufsicht nicht zu empfehlen. Bei bisher durchgeführten bankaufsichtlichen Prüfungen haben sich regelmäßig gewichtige und schwerwiegende Feststellungen ergeben. Ziel der Revision sollte es wie immer sein, eventuelle Mängel im Vorfeld aufzugreifen und auf deren Beseitigung hinzuwirken, um die Anzahl und Gewichtung der externen Feststellungen so weit wie möglich zu reduzieren. 

PRAXISTIPPS

• Planen Sie eine umfassende Umsetzungsprüfung der BAIT 2021.
• Achten Sie bei der Verwendung von Muster-Arbeitsrichtlinien auf eine angemessene Anpassung an die Situation des Instituts.
• Prüfen Sie insbesondere die ausreichende Kontrolle von Administratorenrechten.
• Ein weiterer Schwerpunkt sollte auf den Eigenentwicklungen in Excel und Access liegen.
• Achten Sie auf die regelmäßige Durchführung von Notfallübungen.