Markus Wietzke, Teamkoordinator Zentrales Auslagerungsmanagement, IT- & Dienstleistersteuerung, Sparkasse Hannover

Ohne IT geht in der heutigen Bankenwelt gar nichts mehr. Es gibt so gut wie keine Dienstleistung einer Bank, die nicht auf irgendeine Art und Weise von IT abhängig ist. Kein Wunder also, dass die BaFin sich genötigt sah, „Bankaufsichtliche Anforderungen an die IT“ zu veröffentlichen, in denen sie beschreibt, wie sie die Anforderungen des §25a KWG an eine ordnungsgemäße IT einschätzt. Daraus ergeben sich allerdings erhebliche Handlungsfelder für die Kreditinstitute.

Auslagerung „durch die Hintertür“

Laut AT 9, Tz.1 der aktuellen (und voraussichtlich auch der neuen) MaRisk ist der reine Bezug von Software inklusive der damit verbundenen Dienstleistungen als Fremdbezug einzustufen. Was ist aber z. B. mit Programmiertätigkeiten an einer Software, mit der Bilanzen analysiert werden und die als Basis für Kreditentscheidungen genutzt wird? Was ist, wenn die Software, mit der die Bank ihre Liquiditätskennzahlen täglich ermittelt, auf einem Server bei einer anderen Firma läuft? Flapsig gesagt ist zu fragen: Guckt da einer mal darauf, was mit „unserer Software“ passiert? Hier kommt dann doch wieder eine Abgrenzungsentscheidung ins Spiel: Wenn die Dienstleistungen sich um eine Software drehen, die zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation von Risiken dient (oben 2. Fall) oder diese für die Durchführung von bankgeschäftlichen Aufgaben lt. §1 KWG von wesentlicher Bedeutung ist (1. Fall), liegt eben doch wahrscheinlich eine Auslagerung vor. Dies einzuschätzen obliegt jedem Institut selbst und ist individuell zu beurteilen. Auch hier gilt: Jede dieser Entscheidungen ist für Dritte nachvollziehbar zu dokumentieren. Und Achtung: Alleine das Hosten solch einer relevanten Software stellt dann auch eine Auslagerung dar!

Da es sicher Hunderte einzelner Softwarestücke bei jedem Institut gibt, und bei jedem geschaut werden muss, ob Dienstleistungen mit der Software eingekauft werden und ob diese Software in eine der beiden o. g. Kriterien fällt, ist ein strukturierter, standardisierter und nachvollziehbarer Entscheidungsprozess zu installieren. Liegt ein Auslagerungstatbestand vor, ist die reguläre Risikoanalyse nach AT 9 MaRisk für den Dienstleister zusätzlich zu Risikobewertungen für die Software etc. durchzuführen.

Ist bei Fremdbezug also alles gut?

„Jein“, müsste man sagen. Wenn keine Auslagerung vorliegt, entfällt natürlich die Risikoanalyse nach AT9 MaRisk. Allerdings verlangen die BAIT auch in diesen Fällen eine Betrachtung möglicher Risiken. Hier ist zu differenzieren, ob es sich nur um eine reine Dienstleistung handelt, also z. B. eine Programmiertätigkeit an bereits eingesetzter Software, oder ob sogar die Software selbst erst noch mit eingekauft wird. Für den reinen Dienstleistungsbezug gilt es, eine Risikobewertung durchzuführen, d. h. eine Gegenüberstellung unserer Anforderungen an den Dienstleister mit seinen Angaben aus dem Vertrag. Welche Anforderungen das Kreditinstitut als sinnvoll erachtet, hängt vom Schutzbedarf des Prozesses ab, den der neue Dienstleister übernehmen soll. Je höher z. B. die Vertraulichkeit, die Integrität oder die Verfügbarkeit des Prozesses und damit der Dienstleistung eingeschätzt wird, desto strengere Kriterien werden im Rahmen dieser Risikobewertung an den Vertrag gelegt.

Wird gleich eine ganze Software inklusive Unterstützungsleistungen erworben, kann die Software im Vordergrund stehen und mit ihr die Daten. Zu betrachten ist wieder der Schutzbedarf des durch die Software abgehandelten Prozesses. Dieses Mal muss dann die Software, die diesen Schutzbedarf des Prozesses praktisch vererbt bekommt, unsere Anforderungen erfüllen. Dies geschieht in der Regel durch Technisch-organisatorische Maßnahmen. 

Sind alle unsere Anforderungen an den Vertrag bzw. an die Software erfüllt, kann die Risikobewertung damit erledigt sein. Gibt es Lücken, sind diese intern zu bewerten, ggf. weitere Maßnahmen zu veranlassen bzw. diese in die OpRisk-Szenarien mit aufzunehmen.

Seminartipps

• PraxisFalle IT-Dienstleistungen: Auslagerung vs. sonstiger Fremdbezug, 14.04.2021, Zoom
• Risiko-Reporting nach Neuen MaRisk, 03.05.2021, Zoom

 Zu beachten ist aber, dass bei allen diesen Anforderungen an den Fremdbezug von Dienstleistungen oder Software nicht ein höherer Aufwand betrieben wird als bei einer Auslagerung selbst. Die Verhältnismäßigkeit sollte immer gewahrt bleiben.

Fazit

Über allen Vorgängen, ob nun Auslagerungen oder Fremdbezügen, schwebt im Aufsichts-recht immer die Frage: haben wir uns als Kreditinstitut genaue Gedanken über mögliche Risiken gemacht, vor allem dadurch, dass wir interne Prozesse aus der Hand geben? Welche haben wir identifiziert und wie sind wir damit umgegangen? Wenn dadurch ein solides Risikomanagement erkennbar wird, dann klappt’s auch mit der Aufsicht.

PRAXISTIPPS

• Führen Sie ein Register aller Anwendungsbezüge mit nachvollziehbaren Entscheidungen, in welche Kategorie (Auslagerung, Fremdbezug IT-Dienstleistung etc.) diese eingestuft worden sind.
• Holen Sie dazu alle ins Boot, vor allem das Vertragsmanagement und die IT-Organisation, es müssen alle das gleiche Verständnis der Thematik haben.
• Sichten Sie bereits jetzt den Konsultationsentwurf zu den BAIT II (https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Konsultation/2020/kon_13_20_Konsultation_der_BAIT_ba.html).