Montag, 25. Januar 2021

BAIT 2021

Konsultationsentwurf des Rundschreibens „Bankaufsichtliche Anforderungen an die IT“ (BAIT) vom 26.10.2020.

Dirk Optebeck, Informationssicherheits- & Notfallbeauftragter, Sparkasse Bochum

Nachdem die „Bankaufsichtlichen Anforderungen an die IT” zuletzt 2018 aktualisiert wurden, stand nun die Aktualisierung vor dem Hintergrund der im November 2019 durch die Europäische Bankenaufsicht (EBA) veröffentlichten Leitlinien zu ICT und Security Risk Management (EBA-ICT GL) an. Die bisherigen neun Kapitel der BAIT wurden teilweise redaktionell überarbeitet sowie formal angepasst. Bedingt durch die Überführung der europäischen Anforderungen aus den EBA-Leitlinien in nationales Recht wurden der BAIT drei weitere Kapitel hinzugefügt. Operative Informationssicherheit, IT-Notfallmanagement sowie Kundenbeziehungen mit Zahlungsdienstnutzern.

I. Drei neue Kapitel

1. Kapitel 5 „Operative Informationssicherheit”

Die operative Informationssicherheit setzt die Anforderungen des Informationssicherheitsmanagement um. Hierzu werden in der neuen Fassung der BAIT die folgenden Unterpunkte konkretisiert:

  • Das Institut hat auf Basis der Informationssicherheitsleitlinie und Informationssicherheitsrichtlinien angemessene, dem Stand der Technik entsprechende operative Informationssicherheitsmaßnahmen und Prozesse zu implementieren. Ein Fokus wird hier wohl in der Zukunft auf dem Stand der Technik und der damit einhergehenden Aktualisierung der getroffenen Informationssicherheitsmaßnahmen liegen.
  • Gefährdungen des Informationsverbundes sind möglichst frühzeitig zu identifizieren. Die zentrale Auswertung aller sicherheitsrelevanter Informationen, wie z. B. Protokolldaten, Meldungen oder Störungen. Für die hier geforderte regelbasierte Auswertung sind hier aufgrund der zu erwartenden Datenmengen ggf. Automatisierte IT-Systeme einzusetzen.
  • Es ist ein angemessenes Portfolio an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse zu definieren. 
  • Sicherheitsrelevante Ereignisse sind zeitnah zu analysieren, und auf daraus resultierende Informationssicherheitsvorfälle ist unter Verantwortung des Informationssicherheitsmanagement angemessen zu reagieren. Für die zeitnahe Analyse und Reaktion kann es notwendig sein, eine ständig besetzte Stelle z. B. in Form eines SOC (Security Operation Center) einzurichten.
  • Die Sicherheit der IT-Systeme ist regelmäßig, anlassbezogen und unter Vermeidung von Interessenskonflikten zu überprüfen.

2. Kapitel 10 “IT-Notfallmanagement”

Ein übergreifendes Notfallkonzept wurde bereits durch die MaRisk (AT 7.3) gefordert und umgesetzt. In der neuen BAIT werden die Anforderungen jedoch in Bezug auf die IT konkretisiert. Zukünftig müssen die Institute für IT-Systeme mit kritischen Aktivitäten oder Prozessen entsprechende Notfallkonzepte erstellen und diese mindesten jährlich auf Aktualität und Wirksamkeit überprüfen. Die IT-Dienstleister sind hier mit einzubeziehen.

  • Das Institut hat Ziele zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen.
  • Für alle IT-Systeme, die zeitkritische Aktivitäten oder Prozesse unterstützen sind auf Basis des Notfallkonzeptes entsprechende Notfallpläne zu erstellen. Der Inhalt der Notfallpläne sowie der erforderlichen Parameter wurde konkretisiert.
  • Die Wirksamkeit der Notfallpläne ist durch mindestens jährliche IT-Notfalltests zu überprüfen
  • Das Institut hat nachzuweisen, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse aus einem ausreichend entfernten Rechenzentrum und für eine angemessene Zeit sowie für die anschließende Wiederherstellung des IT-Normalbetriebs erbracht werden können.


Seminartipps

 


3. Kapitel 11 „Kundenbeziehungen mit Zahlungsdienstnutzern”

Das Kapitel „Kundenbeziehungen mit Zahlungsdienstnutzern” wird im Rahmen eines separaten Rundschreibens „Zahlungsdiensteaufsichtliche Anforderungen an die IT” (ZAIT) seitens der BaFin veröffentlicht.


Buchtipps

 


II. Aktualisierung der bestehenden Kapitel

1. Kapitel 1 „IT-Strategie”

Hier gab es nur geringe inhaltliche Anpassungen. Erwähnenswert ist hier die verbindliche Aufnahme der Informationssicherheit in die IT-Strategie.


2. Kapitel 2 „IT-Governance”

Das Kapitel 2 wurde maßgeblich nur redaktionell überarbeitet.

 

3. Kapitel 3 „Informationsrisikomanagement”

Hier wurde unter 3.3 ergänzt, dass zum Informationsverbund auch Netz und Gebäudeinfrastrukturen gehören und dass bei der Vernetzung mit Dritten auch die Abhängigkeiten und Schnittstellen zu berücksichtigen sind.

Im hinzugefügten Abschnitt 3.5 wurde festgelegt, dass die Schutzbedarfsfeststellung inkl. der zugehörigen Dokumentation durch das Informationsrisikomanagement zu überprüfen ist.

Im ebenfalls neuen Abschnitt 3.10 wurde definiert, dass das Institut sich laufend über Bedrohungen seines Informationsverbundes informiert und interne sowie externe Veränderungen berücksichtigt.

 

4. Kapitel 4 „Informationssicherheitsmanagement”

Neben einigen Konkretisierungen wurde der Abschnitt 4.9 hinzugefügt. In diesem wird ein kontinuierliches und angemessenes Sensibilisierungs- und Schulungsprogramm für Informationssicherheit gefordert. Die zielgruppenorientierten Mindestinhalte wurden entsprechend konkretisiert.

 

5. Kapitel 6 „Identitäts- und Rechtemanagement”

Unter Abschnitt 6.1 wurde zusätzlich hinzugefügt, dass jegliche Zugriffs-, Zugangs- und Zutrittsrechte auf Bestandteile bzw. zu Bestandteilen des Informationsverbundes standardisierten Prozessen und Kontrollen unterliegen sollten.

 

6. Kapitel 7 „IT-Projekte und Anwendungsentwicklung”

Der Abschnitt 7.2 organisatorische Grundlagen wurde in der Kommentierung entsprechend konkretisiert.

 

7. Kapitel 8 „IT-Betrieb

Im neu hinzugefügten Abschnitt 8.8 wurde Folgendes festgelegt: Der aktuelle Leistungs- und Kapazitätsbedarf ist abzuschätzen. Die Leistungserbringung ist zu planen und zu überwachen, um insbesondere Engpässe zeitnah zu erkennen und angemessen zu reagieren. Bei der Planung sind Leistungs- und Kapazitätsbedarf von Informationssicherheitsmaßnahmen zu berücksichtigen.

 

8. Kapitel 9 „Auslagerungen und sonstiger Bezug von IT-Dienstleistungen”

In diesem Kapitel wurden nur redaktionelle Anpassungen durchgeführt.

 

PRAXISTIPPS

Da zu erwarten ist, dass die BAIT-Novelle in der ersten Hälfte 2021 in Kraft tritt und wie zuletzt nur mit einer kurzen Übergangsfrist zu rechnen ist, bietet sich folgendes Vorgehen an:

  • Frühzeitige Auseinandersetzung mit dem Konsultationsentwurf, um bestehende Abweichungen zu identifizieren.
  • Beachtung der durch den höheren Detailierungsgrad resultierenden höheren Dokumentationsaufwände.
  • Einplanung von Ressourcen zur Abarbeitung der identifizierten Abweichungen.
  • Frühzeitige Verzahnung des Risikomanagements mit dem Informationsrisikomanagement.
  • Überprüfung der Notfallpläne mit dem Hinblick auf die zukünftig mindestens jährlich durchzuführenden Notfalltests.

 


Beitragsnummer: 16026

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.