This site uses cookies to provide you with a more responsive and personalised service. By using this site you agree to our use of cookies. Please read our PRIVACY POLICY for more information on the cookies we use and how to delete or block them.
Aktuelles:

BAIT / VAIT Readiness / IT-Aufsicht bei Banken und Versicherern

02.06.2022

Die Corona-Pandemie hat gezeigt, dass effiziente und sichere IT-Infrastrukturen einen zentralen Wirtschaftsfaktor darstellen. IT-Sicherheit ist nicht erst seit der Pandemie im Fokus von Aufsichtsbehörden und Gesetzgebern, ihre Relevanz hat aber in der letzten Zeit noch einmal deutlich zugenommen. Daher hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) mit den Bankaufsichtliche[n] Anforderungen an die IT (BAIT) und den Versicherungsaufsichtliche[n] Anforderungen an die IT (VAIT) Regeln und Anforderungen definiert, wie Finanzinstitute und Versicherer IT-Risiken, die sich im Kontext intern oder extern bereitgestellter Informations- und Kommunikationstechnologie ergeben, identifizieren, mindern und handhaben sollten. Mit einer BAIT Novelle in 2021 wurden die Anforderungen dann noch einmal verschärft. Die VAIT zogen Anfang 2022 mit analogen Anforderungen nach und rückte damit wieder näher an die BAIT heran.

Die Verschärfungen der Vorgaben betreffen zum Beispiel die Vorsorge zur Verhinderung und Behandlung von IT-Notfällen sowie die Umsetzung des Informationssicherheitsmanagement in der operativen Informationssicherheit. So müssen unter anderem sicherheitsrelevante Ereignisse zukünftig nachweislich zeitnah analysiert, und auf daraus resultierende Informationssicherheitsvorfälle angemessen reagiert werden. Dies kann in der Regel nur durch die Einrichtung einer ständig besetzten Stelle zum Beispiel in Form eines SOC (Security Operation Center) sichergestellt werden.

Auch wenn in den aktuellen Versionen der BAIT bzw. VAIT viele Anforderungen noch einmal konkretisiert wurden, bleibt der Interpretationsspielraum hoch. Dies stellt viele betroffene Unternehmen vor eine besondere Herausforderung, wenn z.B. im Rahmen einer § 44 KWG-Sonderprüfung, die in der Regel erheblich von den Standardprüfungen durch einen Abschlussprüfer abweicht, Compliance zu den regulatorischen Anforderungen nachgewiesen werden muss. Hier ist es notwendig auf Erfahrungswerte und Best Practices aus regulatorischer Prüfpraxis zurückzugreifen.

In diesem und noch folgenden Beiträgen wollen wir einzelne regulatorische Aspekte in den Blick nehmen, wo die regulatorischen Vorgaben Spielraum lassen und die Gefahr besteht, dass dies zu Umsetzungslücken und zu wesentlichen Feststellungen im Rahmen von regulatorischen Prüfungen führt.    

Das erste Thema in diesem Zusammenhang das wir näher betrachten wollen ist die Individuelle Datenverarbeitung (IDV). IDV bezieht sich auf IT-Anwendungen, die in den Fachbereichen selbst entwickelt und / oder betrieben werden. Diese Anwendungen unterliegen daher auch nicht den zentral etablierten Prozessen für Software Development und Change-Management der Unternehmens-IT. Meist kommen für IDV Technologien à la Excel & Co zum Einsatz.

IDV-Anwendungen ermöglichen Benutzern Daten direkt zu verwalten, zu kontrollieren und zu manipulieren, wodurch schnell Lösungen bereitgestellt werden, um Funktionslücken zu schließen, die möglicherweise in bestehenden zentral bereitgestellten Geschäftsanwendungen vorhanden sind. IDV-Anwendungen sind damit flexible und leistungsstarke Tools und sind deshalb fester Bestandteil in nahezu allen Versicherungs- und Bank-Prozessen geworden.

Aufgrund oft fehlender Integritäts-Kontrollen, unzureichender Testkonzepte und Sicherheitsmaßnahmen sind sie anderseits häufig fehleranfällig und stellen somit meist ein erhebliches operationelles Risiko dar. Daher überrascht es auch wenig, dass das Thema IDV in den Fokus der BaFin gerückt ist. BAIT und VAIT machen Vorgaben hinsichtlich der Inventarisierung, Klassifizierung, Dokumentation, Sicherheits- und Programmierstandards, die sicherstellen sollen, dass auch eine regulatorisch konforme Nutzung von IDV-Anwendungen möglich bleibt. Wie diese Vorgaben regulatorisch korrekt im Sinne von BAIT und VAIT umgesetzt werden können, zeigen wir exemplarisch an den wesentlichen Anforderungen in diesem Zusammenhang.

Bereits in der schriftlich zu fixierenden IT-Strategie erwartet die Regulatorik Aussagen zu den in den Fachbereichen eines Unternehmens selbst betriebenen bzw. entwickelten IT-Systemen und Anwendungen. Hier ist es nicht ausreichend, grundsätzlich die Nutzung von IDV für ein Unternehmen strategisch zu ermöglichen. Vielmehr muss aufgezeigt werden, wie die Nutzung von IDV in Abhängigkeit vom Schutzbedarf der mittels IDV zu verarbeitenden Daten aussehen soll. Insbesondere sollten Aussagen darüber gemacht werden, welche möglichen Technologien für IDV zulässig sind und welches Vorgehen für den Fall geplant ist, dass der Schutzbedarf das realisierbare Schutzniveau einer Technologie übersteigt. Da IDV nicht selten im Kontext geschäftskritischer Prozesse zum Einsatz kommt, sollte dies bereits in den strategischen Überlegungen zum Thema IDV ausreichend bedacht werden.

Alle Prozesse und Standards, die bei der Verwendung von IDV im Unternehmen von Bedeutung sind, müssen im Detail in einer IDV-Richtlinie geregelt werden. Insbesondere müssen die Prozesse zur Identifizierung, Inventarisierung, Berechtigungsvergabe, Freigabe, Schutzbedarfsfeststellung und zum Rezertifizieren im Kontext von IDV definiert werden. Dabei müssen die Prozesse nachweislich geeignet sein, die im Unternehmen im Einsatz befindlichen IDV-Anwendungen vollständig zu identifizieren und zu erfassen. Alle IDV-Anwendungen müssen dann entsprechend ihrem Schutzbedarf einer Risikoklasse zugeordnet werden. Dies sollte analog und konsistent zu den im Unternehmen bereits etablierten Verfahren des Informationsrisikomanagements erfolgen.

Um IDV-Anwendungen entsprechend den ermittelten Risikoklassen angemessen zu schützen, müssen noch geeignete Sicherheitssollmaßnahmen definiert werden. Hier muss darauf geachtet werden, dass definierte Sicherheitsanforderungen auch mit den im Unternehmen verwendeten IDV-Technologien realisierbar sind. So ist der einfache Passwortschutz einer Excel-Datei in der Regel keine ausreichende Zugriffskontrolle für eine hoch geschäftskritische IDV-Anwendung, wenn die Nutzung mittels Passwortes nicht eindeutig einer handelnden Person zugeordnet werden kann. Da der Schutzbedarf kritischer Arbeitsabläufe oft die technischen Schutzmöglichkeiten übersteigt, sollte in der IDV-Richtlinie definiert sein, welche Technologien für welche IDV-Risikoklassen genutzt werden dürfen.

In der IDV-Richtlinie müssen Vorgaben für Anwendungsentwicklung wie Programmierrichtlinien, Coding-Standards, Dokumentationsrichtlinien, Versionskontrolle, Richtlinien für die Anforderungsermittlung sowie Konzepte für Test und Abnahme festgeschrieben werden. Grundsätzlich sollte sich bei der Definition der Vorgaben für IDV an den analogen Richtlinien und Prozessen orientiert werden, die für die Anwendungsentwicklung durch die zentrale Unternehmens-IT gemäß eines standardisierten Software Development Life Cycle gelten. Es muss aber beachtet werden, dass IDV-Technologien wie Excel nur bedingt über den Funktionsumfang und die Security-Features vollwertiger Programmierplattformen wie z.B. Java verfügen. Hier müssen die Programmierrichtlinien und definierte Sicherheitsmaßnahmen auf die im Unternehmen zulässigen IDV- Technologien zugeschnitten sein.

Natürlich müssen alle in der IDV-Richtlinie definierten Prozesse und Standards auch angemessen umgesetzt werden und es sollte daher bei der Erstellung der Richtlinie frühzeitig berücksichtigt werden, ob ausreichende Ressourcen, Kapazitäten und geeignete Technologien dafür zur Verfügung stehen.

IDV-Anwendungen, die entsprechend der in der IDV-Richtlinie definierten Prozesse identifiziert und klassifiziert wurden, müssen vollständig in einem IDV-Inventar erfasst werden.

Bei der Erhebung von IDV-Anwendungen der fortlaufenden Pflege des IDV-Inventars müssen die einzelnen Fachbereiche mit einbezogen werden, da nur hier genaue Kenntnis über Details wie Zweck und Risikoklassifizierung der IDV-Anwendungen vorhanden ist. Auch sollte in einem mindestens jährlichen Zyklus eine Rezertifizierung der einzelnen Anwendungen durch die jeweilig Verantwortlichen erfolgen, um die Vollständigkeit und Aktualität des Inventars sicher zu stellen.  Im Rahmen der Rezertifizierung muss auch geprüft werden, ob die Klassifizierung weiterhin einer möglicherweise geänderten Risikolage entspricht und es muss ggf. eine Anpassung der Einstufung und eine Neubewertung der genutzten Technologien und der verfügbaren Sicherheitsvorkehrungen getroffen werden.   

Die Inventarisierung muss zwingend in einem zentralen Register erfolgen. Hierfür können im Unternehmen bereits gebräuchliche Lösungen wie Confluence oder SharePoint genutzt werden. Zu jeder IDV-Anwendung sollten mindestens folgende Informationen erfasst werden:

  • Name und Zweck der Anwendung
  • Versionierung, Datumsangabe
  • Fremd- oder Eigenentwicklung
  • Fachlich und technisch verantwortliche Mitarbeiter
  • Verwendete Technologie
  • Ergebnis der Risikoklassifizierung und die daraus abgeleiteten Schutzmaßnahmen

Fazit

Um trotz der Interpretationsspielräume die BAIT & VAIT noch lassen, die regulatorischen Vorgaben korrekt umzusetzen und optimal auf eine regulatorische Prüfung vorbereitet zu sein, ist es notwendig auf bewährte Best Practices und bestehende Erfahrungen aus der regulatorischer Prüfpraxis zuzugreifen. Wir haben am Beispiel IDV die wesentlichen Anforderungen vorgestellt und Hinweise für deren Umsetzung gegeben. Eine Umsetzung von regulatorischen Anforderungen sollte aber immer unternehmensspezifisch und unter Berücksichtigung der konkreten Risikosituation erfolgen.

An dieser Stelle sei abschließend darauf hingewiesen, dass es natürlich unabhängig von regulatorischen Vorgaben im eigenen Interesse eines Unternehmens liegt, angemessene Regeln, Prozesse und Infrastrukturen für die Informations- und Kommunikationstechnologie im Unternehmen zu etablieren sowie auf eine adäquate IT-Sicherheit abzustellen.