Skip to main content

Welche Verschärfungen bringen die neuen BAIT 2020?

Welche Verschärfungen bringen die neuen BAIT 2020? Die neuen BAIT 2020 gelten künftig nicht nur für alle Kreditinstitute und Finanzdienstleistungsinstitute, sondern auch für Zahlungsinstitute und E-Geld-Institute einschließlich der Institute im Sinne von § 53 Abs. 1 des Kreditwesengesetzes (KWG) bzw. § 42 des Zahlungsdiensteaufsichtsgesetzes (ZAG).

Die neuen BAIT 2020 gelten auch für die Zweigniederlassungen deutscher Institute im Ausland. Auf  Zweigniederlassungen von Unternehmen mit Sitz in einem anderen Staat des Europäischen Wirtschaftsraums nach § 53b KWG bzw. § 39 ZAG finden sie keine Anwendung. Soweit die neuen BAIT auf Bestimmungen der MaRisk verweisen, sind diese auch durch Zahlungsinstitute und E-Geld-Institute anzuwenden. Dasselbe gilt für die Anforderungen gemäß AT 4.4.3 i. V. m. BT 2.3 und BT 2.5 der MaRisk.

 

Welche Verschärfungen bringen die neuen BAIT 2020?

Die neuen BAIT 2020 führen zu folgenden 11 Verschärfungen und Neuerungen:

  1. Verschärfte Anforderungen an die IT Strategie
  2. Verschärfte Anforderungen an die Darstellung des Informationsverbunds
  3. Neue Prüfpflichten für das Informationsrisikomanagement
  4. Verschärfte Anforderungen an die Informationspflichten
  5. Verschärfte Anforderungen an die Pflichten von Geschäftsführer und Vorstände
  6. BaFin fordert eine Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit
  7. Verschärfte Anforderungen an das Schulungsprogramm zur Informationssicherheit
  8. Neue Anforderungen an das IT Notfallmanagement
  9. Spezielle Regelungen für Zahlungsdienstleister
  10. Verschärfte Anforderungen an die Organisation von IT-Projekten
  11. Neue Anforderungen mit dem Kapitel Operative IT-Sicherheit

 

Welche Verschärfungen bringen die neuen BAIT 2020?

 

 

Verschärfte Anforderungen an die IT Strategie

Die IT-Strategie hat die Anforderungen nach AT 4.2 der MaRisk zu erfüllen. Dies beinhaltet insbesondere, dass die Geschäftsleitung eine nachhaltige IT-Strategie festlegt, in der die Ziele, sowie die Maßnahmen zur Erreichung dieser Ziele dargestellt werden.

Mit den neuen BAIT 2020 wird auch gefordert, daß

  • die IT-Systeme,
  • die zugehörigen IT-Prozesse
  • und sonstige Bestandteile des Informationsverbundes

die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen (AT 7.2. Tz. 2) müssen.

 

Verschärfte Anforderungen an die Darstellung des Informationsverbunds

Zu einem Informationsverbund gehören beispielsweise geschäftsrelevante Informationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme sowie Netz- und Gebäudeinfrastrukturen.

Abhängigkeiten und Schnittstellen müssen auch die Vernetzung mit anderen Unternehmen berücksichtigen.

 

Neue Prüfpflichten für das Informationsrisikomanagement

Das Institut hat regelmäßig und anlassbezogen den Schutzbedarf für die Bestandteile seines definierten Informationsverbundes, insbesondere im Hinblick auf die Schutzziele „Integrität“, „Verfügbarkeit“, „Vertraulichkeit“ und „Authentizität“, zu ermitteln.

Der Eigentümer der Information verantwortet die Ermittlung des Schutzbedarfes. Die Schutzbedarfsklassifizierungen sowie die zugehörige Dokumentation sind durch das Informationsrisikomanagement zu überprüfen.

 

Das Informationsrisikomanagement hat die Soll-Ist-Vergleiche zu koordinieren und zu überwachen. Die Ergebnisse der Risikoanalyse sind in den Prozess des Managements der operationellen Risiken zu überführen. Die Behandlung der Risiken ist kompetenzgerecht zu genehmigen.

 

Verschärfte Anforderungen an die Informationspflichten

Das Institut informiert sich laufend über Bedrohungen seines Informationsverbundes, prüft auf Schwachstellen, bewertet deren Auswirkung und ergreift wirksame technische und organisatorische Maßnahmen.

Hierbei sind interne und externe Veränderungen (z. B. der Bedrohungslage) zu berücksichtigen. Maßnahmen können z. B. die direkte Warnung von Mitarbeitern, das Sperren von betroffenen Schnittstellen und den Austausch von betroffenen IT-Systemen umfassen.

 

Verschärfte Anforderungen an die Pflichten von Geschäftsführer und Vorstände

Die neuen BAIT 2020 führen zu verschärften Anforderungen an die Genehmigungs- und Kontrollpflichten von Geschäftsführern und Vorständen. Die Geschäftsleitung erkennt ihre Gesamtverantwortung für die Informationssicherheit an und wird regelmäßig über die für ihr Institut relevanten grundlegenden Belange der Informationssicherheit informiert.

Die Geschäftsleitung entscheidet über den Umgang mit wesentlichen Informationssicherheitsrisiken. Die grundlegenden Anforderungen an Personal, Auftragnehmer, Prozesse und Technologien zur Gewährleistung von Informationssicherheit werden dargelegt.

 

Die Geschäftsleitung hat die Funktion des Informationssicherheitsbeauftragten einzurichten. Sofern es die Risikosituation erfordert, kann der Informationssicherheitsbeauftragte durch ein Informationssicherheitsmanagement-Team unterstützt werden.

 

BaFin fordert mit den neuen BAIT 2020 eine Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit

Das Institut hat eine Richtlinie über das Testen und Überprüfen der Maßnahmen zum Schutz der Informationssicherheit einzuführen und fortzuschreiben.

Die neuen BAIT 2020 fordern die Erstellung einer Richtlinie. Diese muss folgende Punkte berücksichtigen:

  • die allgemeine Bedrohungslage
  • die individuelle Risikosituation des Instituts
  • die Art, Umfang und Frequenz von Tests und Überprüfungen
  • Regelungen zur Vermeidung von Interessenkonflikten

 

Verschärfte Anforderungen an das Schulungsprogramm zur Informationssicherheit

Das Institut hat ein kontinuierliches und angemessenes Sensibilisierungs- und Schulungsprogramm für Informationssicherheit festzulegen.

Der Erfolg der festgelegten Sensibilisierungs- und Schulungsmaßnahmen ist zu messen und auszuwerten.

Das Programm sollte zielgruppenorientiert mindestens folgende Aspekte berücksichtigen:

  • persönliche Verantwortung für eigene Handlungen und Unterlassungen
  • sowie allgemeine Verantwortlichkeiten zum Schutz von Informationen
  • grundsätzliche Verfahren zur Informationssicherheit (wie Berichterstattung über Informationssicherheitsvorfälle) und
  • allgemeingültige Sicherheitsmaßnahmen (z. B. zu Passwörtern, Social Engineering, Prävention von Schadsoftware und dem Verhalten bei Verdacht auf Schadsoftware).

 

Neue BAIT 2020 stellen verschärfte Anforderungen an das IT Notfallmanagement

Mit den neue BAIT 2020 wird das Kapitel IT-Notfallmanagement eingeführt. Dieses fordert Regelungen zu folgenden Bereichen:

  • Das Institut hat strategische Vorgaben zum Notfallmanagement zu definieren und hieraus abgeleitet einen Notfallmanagementprozess festzulegen.
  • Für Notfälle in zeitkritischen Aktivitäten und Prozessen ist Vorsorge zu treffen (Notfallkonzept). Die im Notfallkonzept festgelegten Maßnahmen müssen dazu geeignet sein, das Ausmaß möglicher Schäden zu reduzieren (vgl. MaRisk AT 7.3 Tz. 1).
  • Das Notfallkonzept muss Geschäftsfortführungs- sowie Wiederanlaufpläne umfassen (vgl. MaRisk AT 7.3 Tz. 2). Die Wirksamkeit und Angemessenheit des Notfallkonzeptes ist regelmäßig durch Notfalltests zu überprüfen.
  • Für zeitkritische Aktivitäten und Prozesse ist sie für alle relevanten Szenarien mindestens jährlich nachzuweisen (vgl. MaRisk AT 7.3 Tz. 2).

 

Das Institut hat im Rahmen des Notfallmanagements strategische Vorgaben für das IT-Notfallmanagement festzulegen. Organisatorische Aspekte wie z. B. Schnittstellen zu anderen Bereichen (u. a. Risikomanagement oder Informationssicherheitsmanagement) sind zu beachten.

Das Institut hat auf Basis des Notfallkonzepts für alle IT-Systeme, welche zeitkritische Aktivitäten und Prozesse unterstützen, IT-Notfallpläne zu erstellen. IT-Notfallpläne umfassen Wiederanlauf-, Notbetriebs- und Wiederherstellungspläne sowie die dafür festgelegten Parameter und berücksichtigen Abhängigkeiten.

Parameter umfassen u. a.:

  • Maximal tolerierbare Ausfallzeit der Geschäftsprozesse (Recovery Time Objective – RTO)
  • Maximal tolerierbarer Zeitraum, in dem Datenverlust hingenommen werden kann (Recovery Point Objective – RPO)
  • Wiederanlaufniveau der IT-Systeme und –Prozesse
  • Konfiguration für den Notbetrieb

 

Abhängigkeiten umfassen u. a.:

  • Abhängigkeiten von vor- und nachgelagerten Geschäftsprozessen und den eingesetzten IT-Systemen des Instituts und der (IT-)Dienstleister
  • Abhängigkeiten bei der Wiederherstellungspriorisierung der IT-Prozesse und -Systeme
  • Notwendige Ressourcen, um eine (eingeschränkte) Fortführung der Geschäftsprozesse zu gewährleisten
  • Abhängigkeiten von externen Faktoren (Gesetzgeber, Anteilseigner, Öffentlichkeit, etc.)

 

Die Wirksamkeit der IT-Notfallpläne ist durch mindestens jährliche Notfalltests zu überprüfen. Die Tests müssen alle IT-Systeme, welche zeitkritische Aktivitäten und Prozesse unterstützen, vollständig abdecken.

Abhängigkeiten zwischen IT-Systemen bzw. von gemeinsam genutzten IT-Systemen sind angemessen zu berücksichtigen. Hierfür ist ein Testkonzept zu erstellen. Das Testkonzept beinhaltet sowohl Tests einzelner IT-Systeme (z. B. Komponenten, einzelne Anwendungen) als auch deren Zusammenfassung zu Systemverbünden (z. B. Hochverfügbarkeitscluster).

Das Institut hat über Übungen nachzuweisen, dass bei Ausfall eines Rechenzentrums die zeitkritischen Aktivitäten und Prozesse aus einem ausreichend entfernten Rechenzentrum und für eine angemessene Zeit sowie für die anschließende Wiederherstellung des ordentlichen IT-Betriebs erbracht werden können.

 

Neue BAIT 2020 führen zu speziellen Regelungen für Zahlungsdienstleister

Mit dem Kapitel Kundenbeziehungen mit Zahlungsdienstnutzern werden in den BAIT spezielle Regelungen für Zahlungsdienstleister geschaffen.

Dieses Kapitel richtet sich eigens an Institute, die Zahlungsdienste im Sinne des § 1 Abs. 1 Satz 2 ZAG erbringen (im Folgenden als Zahlungsdienstleister bezeichnet). Zahlungsdienstleister haben Prozesse zur Beratung und Hilfestellung für die Zahlungsdienstnutzer einzurichten, welche das Bewusstsein der Zahlungsdienstnutzer für mögliche Gefahren und Sicherheitsrisiken stärken.

Die eingerichteten Verfahren sind aktuell zu halten und an neue Risikolagen anzupassen. Anpassungen sind dem Zahlungsdienstnutzer in angemessener Form zu kommunizieren. Zahlungsdienstleister haben – falls technisch möglich – dem Zahlungsdienstnutzer die Möglichkeit zu bieten, einzelne der angebotenen Zahlungsfunktionalitäten zu deaktivieren.

Falls der Zahlungsdienstleister mit dem Zahlungsdienstnutzer Betragsobergrenzen gemäß § 675k Abs. 1 BGB vereinbart hat, ist dem Zahlungsdienstnutzer die Möglichkeit zu geben, die vereinbarten Grenzen anzupassen. Zur Erkennung von betrügerischer oder nicht autorisierter Nutzung der Zahlungskonten des Zahlungsdienstnutzers, sollen Zahlungsdienstleister dem Zahlungsdienstnutzer die Möglichkeit bieten, Benachrichtigungen über getätigte und fehlgeschlagene Transaktionen zu erhalten.

Der Zahlungsdienstleister hat den Zahlungsdienstnutzer über die Aktualisierung sicherheitsrelevanter Prozesse in Bezug auf die Erbringung des Zahlungsdienstes angemessen zu informieren. Der Zahlungsdienstleister soll Möglichkeiten zur Kommunikation für Sicherheitsanfragen, Kundenhinweise und Fragen jeglicher Art in Bezug auf die erbrachten Zahlungsdienste anbieten. Der Zahlungsdienstnutzer ist angemessen über die Kontaktmöglichkeiten zu informieren.

 

Verschärfte Anforderungen an die Organisation von IT-Projekten

Die organisatorischen Grundlagen für IT-Projekte und die Kriterien für deren Anwendung sind zu regeln.

Organisatorische Grundlagen gewährleisten u. a.:

  • Einbindung betroffener Beteiligter (insbesondere des Informationssicherheitsbeauftragten)
  • Projektdokumentation (z. B. Projektantrag, Projektabschlussbericht)
  • Quantitative und qualitative Ressourcenausstattung
  • Steuerung der Informationssicherheitsrisiken
  • Unabhängige Qualitätssicherungsmaßnahmen
  • Aufarbeitung der gewonnenen Erkenntnisse (Lessons Learned)

 

Neue Anforderungen der BAIT 2020 mit dem Kapitel Operative IT-Sicherheit

Die operative IT-Sicherheit setzt die Anforderungen des Informationssicherheitsmanagements um. IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen.

Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen (vgl. AT 7.2 Tz. 2 MaRisk). Es ist ein Verfahren zur frühzeitigen Erkennung von Gefährdungen des Informationsverbunds zu betreiben (vgl. AT 4.3.2 Tz. 2 MaRisk).

 

Das Institut hat auf Basis der Informationssicherheitsleitlinie und Informationssicherheitsrichtlinien angemessene, dem Stand der Technik entsprechende, operative IT-Sicherheitsmaßnahmen und Prozesse zu implementieren. Die neuen BAIT 2020 stellen an die IT-Sicherheitsmaßnahmen und -prozesse folgende Anforderungen:

  • Schwachstellenmanagement zur Erkennung, Bewertung, Behandlung und Dokumentation von Schwachstellen
  • Segmentierung und Kontrolle des Netzwerks (einschließlich Richtlinienkonformität der Endgeräte)
  • Sichere Konfiguration von IT-Systemen (Härtung)
  • Verschlüsselung von Daten bei Speicherung und Übertragung gemäß Schutzbedarf
  • mehrstufigen Schutz der IT-Systeme z. B. vor nicht autorisiertem Zugriff, Datenverlust, Manipulation oder Verfügbarkeitsangriffen

 

Gefährdungen des Informationsverbundes sind möglichst frühzeitig zu identifizieren. Potentiell sicherheitsrelevante Informationen sind angemessen zeitnah, regelbasiert und zentral auszuwerten.

Diese Informationen müssen bei Transport und Speicherung geschützt werden und für eine angemessene Zeit zur späteren Auswertung zur Verfügung stehen. Potentiell sicherheitsrelevante Informationen sind z. B. Protokolldaten, Meldungen und Störungen, welche Hinweise auf Verletzung der Schutzziele geben können.

Die regelbasierte Auswertung (z. B. über Parameter, Korrelationen von Informationen, Abweichungen oder Muster) großer Datenmengen erfordert in der Regel den Einsatz automatisierter IT-Systeme. Spätere Auswertungen umfassen u. a. forensische Analysen und interne Verbesserungsmaßnahmen. Der Zeitraum sollte der Bedrohungslage entsprechend bemessen sein.

Es ist ein angemessenes Portfolio an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse zu definieren. Regeln sind vor Inbetriebnahme zu testen. Die Regeln sind regelmäßig auf Vollständigkeit und Wirksamkeit zu prüfen und weiterzuentwickeln. Regeln erkennen beispielsweise, ob vermehrt nicht autorisierte Zugriffsversuche stattgefunden haben, erwartete Protokolldaten nicht mehr angeliefert werden oder die Uhrzeiten der anliefernden IT-Systeme voneinander abweichen.