Bankaufsichtliche Anforderungen an die IT (BAIT)

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) stellen Anforderungen an Kreditinstitute für technische und organisatorische Maßnahmen zum verbesserten Schutz der eingesetzten IT-Ressourcen, inklusive der IT-Systeme, die gegebenenfalls von Drittanbietern bezogen werden. Die BAIT wurden am 3. November 2017 in einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht. Am 14. September 2018 kam es zu einer Aktualisierung der Veröffentlichung mit einem ergänzenden Abschnitt zum Thema Kritische Infrastrukturen.

Die BAIT basieren auf den Mindestanforderungen an das Risikomanagement (MaRisk). Bezüglich den technischen und organisatorischen Maßnahmen für eine verbesserte IT- und Datensicherheit orientieren sich diese Anforderungen wiederum an den Grundsätzen des IT-Sicherheitsgesetzes bzw. der Normen der ISO 2700x-Standards. Konkret müssen Kreditinstitute ihre IT-Infrastruktur so gestalten, dass die Integrität, Verfügbarkeit und Authentizität der verarbeiteten Daten sichergestellt ist. Eine besondere Erwähnung finden in den MaRisk Zugriffsrechte und eingerichtete Berechtigungen. So wird die Anforderung gestellt, dass Berechtigungen nicht im Widerspruch zu den organisatorischen Zuordnungen von Mitarbeitern im Unternehmen stehen dürfen.

Die Überwachung von Benutzerzugriffen auf Systeme und Daten, ggf. mit entsprechender Alarmierung bei unautorisierten Zugriffen, kommt hier als technisches Hilfsmittel zum Einsatz, um die Integrität der Benutzerrollen zu gewährleisten. Punkt 29 der BAIT bestätigt dies: „Das Institut hat nach Maßgabe des Schutzbedarfs und der Soll-Anforderungen Prozesse zur Protokollierung und Überwachung einzurichten, die überprüfbar machen, dass die Berechtigungen nur wie vorgesehen eingesetzt werden.“

Mehr Infos: BaFin Rundschreiben 10/2017 in der Fassung vom 14.09.2018

Mehr Infos: BaFin Erläuterungen zu den MaRisk in der Fassung vom 27.10.2017