MaRisk-Novelle und BAIT - November 2017

 

10.11.2017

 

Mit den Veröffentlichungen der MaRisk-Novelle (09/2017) und der Bankenaufsichtlichen Anforderung an die IT (BAIT 10/2017) von der Bundesanstalt für Finanzdienstleistungen (BaFin) treten neue, verschärfte Anforderungen an die IT-Sicherheit für die Finanzinstitute in Kraft. 

 

Die neuen Anforderungen wurden auch angesichts der von den Banken immer weitreichenderen Auslagerung von IT und IT-Prozessen an externe Dienstleister veröffentlicht. Hierdurch besteht die zunehmende Gefahr, dass im größeren Umfang die Informationssicherheit verloren gehen könnte. Um diese Risiken angemessen zu minimieren wird die Durchführung einer regelmäßigen Risikobewertung gefordert (BAIT Pkt. 8). 

 

BAIT

 

Zudem wird die Festlegung einer allgemeinen IT-Strategie (BAIT Pkt. 1) und IT-Governance (BAIT Pkt. 2) gefordert, welche die Steuerung und Überwachung des IT-Betriebs und der IT-Weiterentwicklung beinhalten.

 

Außerdem müssen für Hard- und Software Schutzbedarfe (Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit) bestimmt werden (MaRisk AT 7.2 Tzn. 4 und BAIT Pkt. 3). Die Finanzinstitute müssen ferner einen Informationssicherheitsbeauftragten installieren, der unabhängig von IT-Betrieb und IT-Entwicklung weitreichende Befugnisse hat (BAIT Pkt. 4). 

 

Explizit wird hierbei neben der Standard IT-Software auch auf die in den Fachbereichen selbst entwickelten und eingesetzten Anwendungen (sogenannte Individuelle Datenverarbeitung – IDV) eingegangen, die ein bedeutendes Risikopotential innerhalb der Banksteuerung aufweisen können (MaRisk AT 7.2 Tzn. 5, BAIT Pkt. 1 Tzn. 2). Zu dieser IDV gehören unter anderem Access- und Excel-Anwendungen, mit denen beispielsweise Adress- oder Marktpreisrisiken bestimmt und bewertet, Investitionen geplant oder möglicherweise sogar komplexe Simulationen (z.B. bezüglich Liquidität und Fälligkeiten) durchgeführt werden. Auch für diese müssen separate Schutzbedarfe ermittelt werden (BAIT Pkt. 6 Tzn. 43).

 

Hierfür wird zunächst ein Verfahren zur Identifizierung der gesamten IDV benötigt (BAIT Pkt. 6 Tzn. 44). Neben einer auch hier geforderten Schutzbedarfsfeststellung (BAIT Pkt. 6 Tzn. 43) ist die Qualität der Anwendung sicherzustellen (BAIT Pkt. 6 Tzn. 36). Außerdem sollte für die IDV auch die (Mindest-)Dokumentationsanforderung erfüllt sein (BAIT Pkt. 6 Tzn. 40).

 

Der Softwarehersteller Stromwerken bietet in Kooperation mit Schallcon Business Solutions eine Applikation an, welche Sie hinsichtlich der Identifizierung, der Risikokategorisierung, der Dokumentation sowie der Qualitätssicherung Ihrer IDV unterstützt.

 

Falls Sie Interesse haben sprechen Sie uns gerne an.