Header Gesetzliche Anforderungen Bankenaufsichtliche Anforderungen an die IT (BAIT)
Header Gesetzliche Anforderungen Bankenaufsichtliche Anforderungen an die IT (BAIT) mobil
Sie befinden sich hier: Start > Gesetzliche Anforderungen > Bankaufsichtliche Anforderungen an die IT (BAIT)

Bankaufsichtliche Anforderungen an die IT (BAIT)

Veröffentlicht:
03.11.2017

Betroffen:
Kredit- und Finanzdienstleistungsinstitute

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) stellen Anforderungen an Kreditinstitute für technische und organisatorische Maßnahmen zum verbesserten Schutz der eingesetzten IT-Ressourcen, inklusive der IT-Systeme, die gegebenenfalls von Drittanbietern bezogen werden. Die BAIT wurden am 3. November 2017 in einem Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht. Am 14. September 2018 kam es zu einer Aktualisierung der Veröffentlichung mit einem ergänzenden Abschnitt zum Thema Kritische Infrastrukturen.

Die BAIT basieren auf den Mindestanforderungen an das Risikomanagement (MaRisk). Bezüglich den technischen und organisatorischen Maßnahmen für eine verbesserte IT- und Datensicherheit orientieren sich diese Anforderungen wiederum an den Grundsätzen des IT-Sicherheitsgesetzes bzw. der Normen der ISO 2700x-Standards. Konkret müssen Kreditinstitute ihre IT-Infrastruktur so gestalten, dass die Integrität, Verfügbarkeit und Authentizität der verarbeiteten Daten sichergestellt ist. Eine besondere Erwähnung finden in den MaRisk Zugriffsrechte und eingerichtete Berechtigungen. So wird die Anforderung gestellt, dass Berechtigungen nicht im Widerspruch zu den organisatorischen Zuordnungen von Mitarbeitern im Unternehmen stehen dürfen.

Die Überwachung von Benutzerzugriffen auf Systeme und Daten, ggf. mit entsprechender Alarmierung bei unautorisierten Zugriffen, kommt hier als technisches Hilfsmittel zum Einsatz, um die Integrität der Benutzerrollen zu gewährleisten. Punkt 29 der BAIT bestätigt dies: „Das Institut hat nach Maßgabe des Schutzbedarfs und der Soll-Anforderungen Prozesse zur Protokollierung und Überwachung einzurichten, die überprüfbar machen, dass die Berechtigungen nur wie vorgesehen eingesetzt werden.“

Mehr Infos: BaFin Rundschreiben 10/2017 in der Fassung vom 14.09.2018

Mehr Infos: BaFin Erläuterungen zu den MaRisk in der Fassung vom 27.10.2017

Weitere Vorschriften aus der Regulatorik