Inhalte der BAIT

Die BaFin veröffentlichte am 3.11.2017 ein verbindliches Regelwerk über die Bankaufsichtlichen Anforderungen an die IT (BAIT). Darin werden KWG und MaRisk konkretisiert bzw. ergänzt. In dem 20-seitigen Schreiben spezifiziert die BaFin Anforderungen an IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte, Anwendungsentwicklung, IT-Betrieb (inkl. Datensicherung) und Auslagerungen von IT-Dienstleistungen. Grundsätzlich sollen bei der Ausgestaltung der IT-Systeme und der dazugehörigen Prozesse auch gängige Standards wie die IT-Grundschutzkataloge oder ISO/IEC 2700X herangezogen werden.

Nach der BAIT ist eine Informationssicherheitsleitlinie durch die Geschäftsleitung zu definieren. Zu deren Unterstützung und zur Vermeidung von Interessenskonflikten ist verbindlich, die organisatorisch und prozessual unabhängige Funktion eines Informationssicherheitsbeauftragten einzurichten. Zudem verfasst der Informationssicherheitsbeauftragte quartalsweise Berichte an die Geschäftsleitung über alle Probleme und besonderen Vorkommnisse, die die IT-Sicherheit betreffen.

Zentrale Aspekte der BAIT sind ein sicheres und nachvollziehbares IT-Management und ein konkretisiertes IT-Risikomanagement. So sind konsistente Prozesse für die Vergabe von Benutzerberechtigungen zu definieren und das Vorgehen soll dabei nach dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) erfolgen. Im Rahmen des Informationsrisikomanagements sollen Informationsverbünde mit gegenseitigen Abhängigkeiten modelliert werden und Schutzziele für die einzelnen Bestandteile festgehalten werden. Die Geschäftsleitung ist quartalsweise über die Ergebnisse der Risikoanalyse und Veränderungen an der Risikosituation zu unterrichten.

Unterstützung durch ibi systems iris

In ibi systems iris können viele Teilbereiche einzeln, aber auch in Verbindung mit anderen Bereichen und somit gesamtheitlich betrachtet werden. ibi systems iris unterstützt bei der Umsetzung der Anforderungen aus den BAIT und gewährleistet stets einen umfassenden Überblick über alle Aspekte der Informationssicherheit.

Die BAIT – aber auch KWG, MaRisk, ISO/IEC 2700X und die IT-Grundschutzkataloge des BSI – können in ibi systems iris unter den Regelwerken hinterlegt und mit anderen relevanten Elementen in Verbindung gebracht werden.

Der Informationsverbund eines Unternehmens kann mittels Assets und Prozessen abgebildet und deren Abhängigkeiten zueinander modelliert werden. Für jedes Asset und jeden Prozess ist es möglich, den Schutzbedarf für die vier Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität“ festzustellen. Dabei kann der Schutzbedarf manuell eingegeben werden und/oder sich durch Vererbung basierend auf der Modellierung ergeben. Des Weiteren können Dokumente, Feststellungen (z.B. Schwachstellen), Prüfungen und Kennzahlen in der Software angelegt werden.

Der Informationssicherheitsbeauftragte kann mit dem Tool alle Belange der Informationssicherheit managen und z.B. Maßnahmen definieren sowie ein effektives Informationsrisikomanagement für das Unternehmen etablieren. Die Risiken werden dabei angelegt, mit den relevanten Elementen verknüpft (u.a. bestimmte Kapitel eines Regelwerks wie den BAIT, betroffene Assets und/oder Prozesse, Schwachstellen), in einem iterativen Vorgehen bewertet und mit geeigneten Maßnahmen zur Risikobehandlung in Verbindung gebracht.

Ein umfangreiches Reporting mit individueller Berichtserstellung gewährleistet stets einen gesamtheitlichen Überblick über alle Belange der Informationssicherheit. So können etwa die quartalsweisen Berichte an die Geschäftsleitung im Handumdrehen und mit nur wenigen Klicks erstellt werden.

Zurück zur Übersicht

____________________

Quellen:

  • Bundesanstalt für Finanzdienstleistungsaufsicht (2017): Bankaufsichtliche Anforderungen an die IT (BAIT), Online im Internet: https://www.bafin.de/SharedDocs/Downloads/DE/Rundschreiben/dl_rs_1710_ba_BAIT.pdf?__blob=publicationFile&v=6, Abfrage: 11.01.2018, 14:43 Uhr.