Die Bundesanstalt für Finanzdienstleistungen (BaFin) hat im Wege der schnellen Entwicklung in der Digitalisierung im Finanzdienstleistungssektor eine Übersicht über die bankenrechtlichen Anforderungen an die Informationstechnik (BAIT) in einem Rundschreiben erstellt. Der Entwurf vom 23.02.2017 soll als Hilfsmittel zur Ausgestaltung des Managements der IT-Ressourcen und des IT-Risikomanagement dienen. Grundlage der Gestaltung ist § 25a Abs. 1 Kreditwesengesetz (KWG) und Zielstellung ist es insbesondere § 25a Abs. 3 KWG „Risikomanagement auf Gruppenebene“ und § 25b KWG „Auslagerung“ zu konkretisieren (Mindestanforderungen an das Risikomanagement (MaRisk) bleiben unberührt).

Die Anforderungen der Bankenaufsicht können unabhängig davon, ob ein Unternehmen dem Finanzdienstleistungssektor angehört, für die nachfolgenden acht Themenbereiche einer ordnungsgemäßen Geschäftsorganisation hilfreich sein.

Eckpunkte Bankenrechtliche Anforderungen an die IT-Systeme:

 1. IT-Strategie:

– Strategie der Geschäftsleitung für die Mindestanforderungen der IT – Strategische Entwicklung des IT-Aufbaus und der IT-Ablauforganisation;

– Festlegung von Standards;

– Rahmenbedingungen der Informationssicherheitsorganisation;

– Strategische Entwicklung der IT-Architektur;

– Notfallmanagement;

– Unterstützung der Fachbereiche (z. B. Hard- und Software)

 2. IT-Gouvernement:

– Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme (z. B. Personalbereitstellung, Vermeidung von Interessenkonflikten, Festlegung von Kriterien für die Qualität der Leistungserbringung)

3. Informationsrisikomanagement:

– Informationsverarbeitung und -weitergabe in Geschäfts- und Serviceprozessen unterstützt durch Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten und Orientierung an betriebsinternen Erfordernissen, Geschäftsaktivitäten (z.B. Klassifizierung, Risikoanalyse)

4. Informationssicherheitsmanagement:

– Festlegung der Soll-Anforderungen sowie Prozesse der Informationssicherheit

5. Benutzerberechtigungsmanagement:

– Festlegung von Umfang und Nutzerbedingungen der IT-Berechtigungen;

– Zuordnung der IT-Berechtigungen und Vorhandensein von Verfahren zur Einrichtung, Änderung, Deaktivierung oder Löschung;

– Technische und organisatorische Maßnahmen zur Sicherstellung, dass die IT-Berechtigungskonzepte nicht umgangen werden können

 6. IT-Projekte, Anwendungsentwicklung:

– Individuelle Projekte mit Auswirkungsanalyse und Qualitätssicherungsmaßnahmen

 7. IT-Betrieb:

– Geeignete Verwaltung der IT-Systeme unter Berücksichtigung des Lebenszyklus der IT-Systeme inkl. Datensicherung

 8. Auslagerungen und sonstiger Fremdbezug:

– Besondere Anforderungen gemäß AT9 der MaRisk an die Auslagerung bei IT-Dienstleistungen (z. B. Cloud)

Im vollständigen Dokument sind die Anforderungen beschreiben und mit Beispielen untermauert: (https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Konsultation/2017/kon_0217_bankaufsichtliche_anforderungen_it_ba.html).