Unternehmen der Finanzbranche müssen allein zum Schutz von Daten und IT-Systemen zahlreiche Regelungen einhalten. Außer DSGVO und IT-Sicherheitsgesetz sind Anforderungen aus BAIT, VAIT und KAIT umzusetzen. Diese Verwaltungsvorschriften der BaFin geben den Rahmen für die technisch-organisatorische Ausstattung der IT in den Unternehmen der Finanzwirtschaft in Deutschland vor.
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) untersteht dem Bundesministerium der Finanzen und überwacht und kontrolliert die Funktionsfähigkeit, Integrität und Stabilität des deutschen Finanzsystems. So soll sichergestellt werden, dass Banken, Versicherungsunternehmen und Kapitalverwaltungen zahlungsfähig sind, dass sie nicht für Zwecke wie Geldwäsche missbraucht werden und dass ihre Angebote an die Verbraucher im Sinn des Verbraucherschutzes verständlich und transparent sind.
Dem hohen Stellenwert entsprechend, den die BaFIn den informationstechnischen Systemen der Finanzbranche als Basis-Infrastruktur für sämtliche Prozesse beimisst, gibt die BaFin auch Regelungen für Informationssicherheit und IT-Governance vor, mit denen die IT-Sicherheit erhöht und das Bewusstsein für die mit der IT verbundenen Risiken geschärft werden sollen. Dafür hat sie Verwaltungsanweisungen mittels unmittelbar in Kraft getretenen Rundschreiben herausgegeben:
- für die Banken und Kreditinstitute die Bankaufsichtlichen Anforderungen an die IT (BAIT) im November 2017,
- für die Versicherungsunternehmen die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) im Sommer 2018 und
- für Investment-Gesellschaften die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) im Herbst 2019.
Konkretisierung bestehender Anforderungen
BAIT, VAIT und KAIT konkretisieren, vertiefen und ergänzen in Teilen bereits bestehende Anforderungen, beispielsweise aus dem Kreditwesengesetz und dem Versicherungsaufsichtsgesetz sowie aus den BaFin-Verwaltungsanweisungen MaRisk (Mindestanforderungen für das Risikomanagement), MaGo (Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen) und KAMaRisk (Mindestanforderungen an das Risikomanagement von Kapitalverwaltungsgesellschaften).
Die Anforderungsbereiche
Grundsätzlich orientieren sich die Anforderungen von BAIT, VAIT und KAIT an IT-Sicherheitsgesetz und ISO 2700x. Sie umfassen acht Bereiche mit Anforderungen an
- IT-Strategie,
- IT-Governance,
- Informationssicherheitsmanagement mit der Einrichtung der Funktion eines Informationssicherheitsbeauftragten,
- Informationsrisikomanagement,
- Benutzerrechtezugangsmanagement nach den Need-to-know-Prinzip,
- IT-Projekte und Anwendungsentwicklung, einschließlich der Anwendungsentwicklung durch Endbenutzer in den Fachbereichen
- IT-Betrieb sowie
- Auslagerung von IT-Dienstleistungen.
Ein neunter, optionaler Anforderungsbereich betrifft Kritische Infrastrukturen für die Anbieter, die aufgrund ihrer Dienstleistungen und ihrer Größe der KRITIS-Verordnung unterliegen.
Inhaltlich stimmen BAIT, VAIT und KAIT im wesentlichen überein, mit Ausnahme der Kritischen Infrastrukturen. In den KAIT ist dieser Aspekt nicht enthalten, da der Tätigkeitsbereich nicht als kritisch eingestuft ist. Gegenüber BAIT und VAIT enthält KAIT Ergänzungen innerhalb der acht Anforderungsbereiche. Sie resultieren aus Unterschieden in den Regelungen, die den Verwaltungsanweisungen zugrunde liegen, und aus aktuellen Entwicklungen der IT. Die KAIT als die jüngste der Verwaltungsanweisungen für den Finanzsektor enthalten somit auch Aspekte, die in BAIT und VAIT künftig ebenfalls zu erwarten sind.
