Neue BAIT: Was ändert sich? Auslöser für die Änderung der BAIT waren die IKT Leitlinien der Europäischen Bankenaufsichtsbehörde (EBA) vom November 2019. Mit ihren Leitlinien für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) hatte die EBA seinerzeit für den gesamten Binnenmarkt einheitliche Vorgaben eingeführt: für Kreditinstitute, Wertpapierfirmen und Zahlungsdienstleister.
Weil die Inhalte der BAIT auf den Mindestanforderungen an das Risikomanagement (MaRisk) aufbauen, wurde die BAIT-Novelle parallel zur sechsten MaRisk-Novelle entwickelt, und beide Rundschreiben wurden gleichzeitig veröffentlicht. Die wichtigste Änderungen hat nun die BaFin wie folgt erläutert.
#1 Neue BAIT: Was ändert sich?
Im neuen Kapitel „Operative Informationssicherheit“ formuliert die BaFin Anforderungen an die Ausgestaltung von Wirksamkeitskontrollen für bereits umgesetzte Informationssicherheitsmaßnahmen in Form von Tests und Übungen.
Zu den Wirksamkeitskontrollen zählen etwa Abweichungsanalysen (Gapanalysen), Schwachstellenscans, Penetrationstests und Simulationen von Angriffen. Diese Kontrollen sind ein wesentlicher Bestandteil eines effektiven und nachhaltigen Informationssicherheitsmanagementsystems.
Die Institute müssen die Sicherheit der IT-Systeme regelmäßig und anlassbezogen kontrollieren.
Dabei müssen sie Interessenkonflikte vermeiden: Wer an der Konzeption und Umsetzung von Sicherheitsmaßnahmen beteiligt war, darf diese zum Beispiel nicht nachher prüfen.
Die Institute müssen laut BaFin die Ergebnisse solcher Wirksamkeitskontrollen analysieren, Verbesserungsbedarf identifizieren und Risiken angemessen steuern.
#2 Neue Richtlinie zum Informationssicherheitsmanagement
Die Unternehmen sollen die neuen Anforderungen in einer internen Richtlinie fixieren, welche die BaFin nun im Kapitel „Informationssicherheitsmanagement“ fordert. Die Richtlinie muss die Anforderungen an das Logging und Monitoring, also die Protokollierung von Ereignissen und die Überwachung in Echtzeit, und an die Erkennung und Analyse von sicherheitsrelevanten Ereignissen regeln.
So sind beispielsweise sicherheitsrelevante Informationen angemessen zeitnah, regelbasiert und zentral auszuwerten. Auch müssen diese Informationen für eine angemessene Zeit zur späteren Auswertung zur Verfügung stehen. Dafür ist ein Portfolio an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse zu definieren und weiterzuentwickeln.
#3 Neues Kapitel IT-Notfallmanagement
Bereits in den MaRisk wurde dasd Kapitel AT 7.3 „Notfallmanagement“ grundlegend überarbeitet. Dieses bildet nun die Grundlage für das neue BAIT-Kapitel „IT-Notfallmanagement“. Für zeitkritische Prozesse und Aktivitäten sieht es die Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen vor.
Die Wirksamkeit dieser drei Arten von IT-Notfallplänen müssen die Institute laut BAIT jährlich prüfen – und zwar auf der Grundlage eines IT-Testkonzepts.
Das dritte neue Kapitel der BAIT heißt „Management der Beziehungen mit Zahlungsdienstnutzern“. Es stammt aus dem neuen Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten“ (ZAIT). Mit diesem Kapitel wird die Schnittstelle zwischen Finanzinstituten und Zahlungsdienstnutzern geregelt.
Mit den BAIT wird nun auch klar dem Ziel der „Informationssicherheit“ gefolgt. Das enger gesteckte Ziel „IT-Sicherheit“ wird aufgegeben:
Klassische IT-Sicherheit beschränkt sich auf das Handlungsfeld Informationstechnik, während Informationssicherheit den Schutz von relevanten Informationen zum Ziel hat, gleichgültig, in welcher Form sie vorliegen.
Das Handlungsfeld der Informationssicherheit schließt somit alles ein, was im Zusammenhang mit Informationsverarbeitung steht.
Im Hinblick auf das Informationssicherheits- und Informationsrisikomanagement (ISM/IRM) wird nun deutlicher, dass die betroffenen Unternehmensprozesse ihre Wirkung für die gesamte Organisation entfalten müssen und es nicht ausreicht, allein den IT-Betrieb und die Anwendungsentwicklung mit angemessenen Ressourcen auszustatten.
Die BAIT forden nun auch, dass die Institute ein umfassendes Programm zur Schulung und Sensibilisierung der Beschäftigten für das Thema Informationssicherheit entwickeln müssen.
Die EBA-Leitlinien setzen das Accountability-Prinzip um und fordern eine klare Zuweisung von Verantwortlichkeiten. Dies wird in den BAIT wie folgt umgesetzt:
Es sind weitere Rollen und Aufgaben des Informationssicherheits- und Informationsrisikomanagements zu benennen.
Diese sind von den Verantwortlichkeiten für die Geschäftsprozesse abzugrenzen.
#6 Accountability-Prinzip: Beispiel für die klare Zuweisung von Verantwortlichkeiten:Fachbereiche, die verantwortlich für die einzelnen Geschäftsprozesse sind, müssen den Schutzbedarf der jeweiligen Prozesse ermitteln und zu dokumentieren. Verantwortlich für die Prüfung dieser Ermittlung und Dokumentation ist dagegen das Informationsrisikomanagement.
Angesichts der Komplexität von Cyberbedrohungen betonen die BAIT nun ausdrücklich, wie wichtig es ist, dass sich die Institute über aktuelle externe und interne Bedrohungen und Schwachstellen informieren. Die Geschäftsleitung ist über die Ergebnisse der Risikoanalyse und Veränderungen der Risikosituation zu unterrichten.
Bedrohungen und Schwachstellen sind auch vom Informationsrisikomanagement zu berücksichtigen, sofern sie Risiken für die Organisation darstellen können. Die aufsichtsrechtlichen Anforderungen werden nun im Kapitel „Informationsrisikomanagement“ der BAIT vorgegeben.
Anforderungen an die physische Sicherheit, wie sie in den EBA-Leitlinien beschrieben werden, greifen die BAIT auch auf. Die Unternehmen müssen beispielsweise
eine Richtlinie zur physischen Sicherheit verfassen,
Zutrittskontrollen durchführen und
einen angemessenen Perimeterschutz etablieren, der dem Stand der Technik entspricht.
Definition Perimeterschutz: Beim Perimeterschutz handelt es sich um den Schutz des Geländes zwischen Gebäude und Grundstücksgrenze.
Neue BAIT: Was ändert sich? Teilnehmer haben auch folgende Seminare MaRisk + SREP + Depot A gebucht:
Wir benötigen Ihre Zustimmung, bevor Sie unsere Website weiter besuchen können.Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Sie können Ihre Auswahl jederzeit unter Einstellungen widerrufen oder anpassen.Einige Services verarbeiten personenbezogene Daten in den USA. Mit Ihrer Einwilligung zur Nutzung dieser Services stimmen Sie auch der Verarbeitung Ihrer Daten in den USA gemäß Art. 49 (1) lit. a DSGVO zu. Das EuGH stuft die USA als Land mit unzureichendem Datenschutz nach EU-Standards ein. So besteht etwa das Risiko, dass US-Behörden personenbezogene Daten in Überwachungsprogrammen verarbeiten, ohne bestehende Klagemöglichkeit für Europäer.
Wenn Sie unter 16 Jahre alt sind und Ihre Zustimmung zu freiwilligen Diensten geben möchten, müssen Sie Ihre Erziehungsberechtigten um Erlaubnis bitten.Wir verwenden Cookies und andere Technologien auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.Personenbezogene Daten können verarbeitet werden (z. B. IP-Adressen), z. B. für personalisierte Anzeigen und Inhalte oder Anzeigen- und Inhaltsmessung.Weitere Informationen über die Verwendung Ihrer Daten finden Sie in unserer Datenschutzerklärung.Einige Services verarbeiten personenbezogene Daten in den USA. Mit Ihrer Einwilligung zur Nutzung dieser Services stimmen Sie auch der Verarbeitung Ihrer Daten in den USA gemäß Art. 49 (1) lit. a DSGVO zu. Das EuGH stuft die USA als Land mit unzureichendem Datenschutz nach EU-Standards ein. So besteht etwa das Risiko, dass US-Behörden personenbezogene Daten in Überwachungsprogrammen verarbeiten, ohne bestehende Klagemöglichkeit für Europäer.Hier finden Sie eine Übersicht über alle verwendeten Cookies. Sie können Ihre Einwilligung zu ganzen Kategorien geben oder sich weitere Informationen anzeigen lassen und so nur bestimmte Cookies auswählen.