Dr. Stefan Scheve, Leiter des Sachgebiets Sparkassen, Regionalbereich Banken und Finanzaufsicht der Deutschen Bundesbank, Hauptverwaltung in Bremen, Niedersachsen und Sachsen-Anhalt, Hannover.
I. Einleitung und Grundlagen[1]
Datenverfügbarkeit und -sicherheit stehen schon seit einigen Jahre im Fokus der Aufsicht. Auch Defizite, teilweise sowohl in der Fachpresse als auch in Tagesmedien dargestellt, haben hierzu beigetragen. Die Abhängigkeit der Kreditinstitute von EDV- bzw. IDV-Anwendungen hat stetig zugenommen. Mit Auslagerungen von Dienstleistungen an Rechenzentren bzw. sogenannte Mehrmandantendienstleister nimmt dieses Problem an Bedeutung zu. Weltweit sind Daten- bzw. IT-Risiken in den letzten Jahren stärker in den bankenaufsichtlichen Fokus gerückt. Unter dem Stichwort BCBS 239 hat der Basler Ausschuss für Bankenaufsicht (Banking Committee on Banking Supervision) der Bank für Internationalen Zahlungsausgleich (BIZ, Bank for International Settlement) schon im Jahr 2013 wegweisende Vorgaben gesetzt. Durch die fünfte MaRisk-Novelle wurden 2017 wesentliche BCBS 239-Vorgaben als zwingende Vorgaben für deutsche Sparkassen und Banken eingeführt. Weitere Vorgaben setzen die 2017 eingeführten und nun unter dem Datum vom 16.08.2021 überarbeiteten „Bankaufsichtlichen Anforderungen an die IT (BAIT)“[2].
Die 2017 veröffentlichte fünfte MaRisk-Novelle übertrug die Prinzipien der BCBS 239 proportional in deutsche Vorgaben. Somit wurden die Erwartungen der deutschen Aufsicht an Sparkassen und Banken in Deutschland für die Risikodatenaggregation und Risikoberichterstattung konkretisiert.
Ergänzend sei auch auf das Bundesamt für Sicherheit in der Informationstechnik (BSI) und auf die International Organisation for Standardization hingewiesen. Beide Institutionen geben wichtige Vorgaben, die sich in den MaRisk und den BAIT wiederfinden. So gibt das BSI das Grundschutzkompendium (IT-Grundschutzkataloge) heraus. Internationale Sicherheitsstandards (insbesondere ISO Standards 270xx) stammen von der International Organisation for Standardization. Die Kreditinstitute sind nach MaRisk und BAIT verpflichtet, bei der Ausgestaltung der IT-Systeme und der IT-Prozesse auf gängige Standards abzustellen.
II. Überblick über die Bankaufsichtliche Anforderungen an die IT (BAIT)
Am 03.11.2017 hat die BaFin die erste Fassung der BAIT als Rundschreiben 10/2017 (BA) veröffentlicht[3]. [...]
Beitragsnummer: 18325