Logo
MaRisk und BAIT– was verändert sich in 2021?


Die BaFin hat am 26. Oktober 2020 einen Konsultationsentwurf zur Änderung der „Mindestanforderungen an das Risikomanagement (MaRisk)“ sowie einen Entwurf zur Novelle der „Bankaufsichtlichen Anforderungen an die IT (BAIT)“ veröffentlicht. Die BaFin positioniert dabei die BAIT ergänzend zu den MaRisk als zentrale regulatorische Anforderung an das IT-Management in Banken. Insbesondere die Anforderungen der „EBA-Leitlinien für das IKT- und Sicherheitsrisikomanagement (ICT Guidelines)“ werden über die BAIT in nationale Regelungen überführt.

In beiden Konsultationen finden sich zahlreiche Änderungen, Erweiterungen und Konkretisierungen. Nachfolgende Handlungsfelder sind insbesondere für die Informationssicherheit und den Datenschutz relevant:

1. Operative Informationssicherheit

In diesem Abschnitt werden neue konkrete Vorgaben zur Umsetzung eines Informationssicherheitsmanagements betont. Dies gilt insbesondere für:

  • Sicherheitsrelevante Informationen (Sicherheitsmeldungen, CERT-Meldungen, aber auch Störungen oder Protokolldaten) sind zeitnah, regelbasiert und zentral auszuwerten. Dies lässt sich insbesondere für Protokolldaten nur mit Hilfe von entsprechenden Security Information and Event Management (SIEM) - Tools praktisch umsetzen.
  • Regeln zur Identifizierung von sicherheitsrelevanten Ereignissen sind nicht nur zu beschreiben, sondern auch regelmäßig zu testen und anlassbezogen auf ihre Wirksamkeit hin zu prüfen.
  • IT-Systeme sind regelmäßig, anlassbezogen und unter Vermeidung von Interessenkonflikten zu überprüfen. Diese Überprüfung schließt u. a. Abweichungsanalysen (Gap-Analyse), Schwachstellenscans, Penetrationstests und Simulationen von Angriffen mit ein.

2.    Identitäts- und Rechtemanagement

  • Zusätzlich zu dem bereits vorhandenen Identitäts- und Rechtemanagement müssen nun jegliche Zugriffs-, Zugangs- und Zutrittsrechte auf Bestandteile bzw. zu Bestandteilen des Informationsverbundes einem standardisierten Prozess und Kontrollen unterliegen. Dies schließt somit nun auch die Zugangskontrolle zu relevanten Räumen (z. B. Server- und Technikräume) mit ein.
  • Aktionen von technischen Usern und automatisierten Prozessen müssen nun auch verantwortlichen Personen zugeordnet werden können.

3.    IT-Notfallmanagement

  • Neben den oft schon vorliegenden Prozesslandkarten werden jetzt auch die Mindestinhalte an eine Business Impact Analyse definiert.
  • Es wird zukünftig eine quartalsweise anstatt einer jährlichen Berichterstattung gefordert.
  • Eine risikoorientiertere Überprüfung des Notfallkonzepts ist künftig erforderlich.

4.    Datenschutz

Die 6. MaRisk-Novelle wird einmal mehr auch das Compliance-Thema Datenschutz mit adressieren. Hervorzuheben sind hier insbesondere die nachfolgend erläuterten zwei Themen:

  • Organisatorisch wird in den Erläuterungen zu AT 4.4.2 Tz. 4 der MaRisk-Konsultationsfassung klargestellt, dass der Datenschutzbeauftragte zusammen mit anderen Fachrichtungen (u. a. Geldwäschebeauftragter, WpHG- und MaRisk-Compliance) Teil einer Compliance-Einheit sein darf. Dies entspricht auch schon bislang der guten fachlichen Praxis und kann damit als unproblematische Gestaltung auch für nicht große und komplexe Institute herangezogen werden. Im Umkehrschluss gilt dann allerdings auch, dass Informationssicherheitsbeauftragter und Datenschutzbeauftragter intern nicht mehr in Personalunion besetzt werden dürfen, da ansonsten ein entsprechender Interessenkonflikt vorliegt. Auch wenn AT 4.4.2 Tz. 4 MaRisk grundsätzlich nur für große und komplexe Institute gilt, dürfte diese Auslegung auch auf kleinere Institute ausstrahlen und Besetzungen in Personalunion kritisch hinterfragt werden.
  • Im Zuge der neuen Anforderungen an das Auslagerungsmanagement stellt auch AT 9 MaRisk steigende Anforderungen an den Datenschutz. So ist besonders hervorzuheben, dass nicht mehr nur wesentliche Auslagerungen unter dem Blickwinkel datenschutzrechtlicher Vertragsgestaltung zu beachten sind,sondern dies zukünftig für alle Auslagerungengilt. Daher gilt es, in Bezug auf den Datenschutz, die Konstellationen in konsistente Vertragssituationen zu bringen, insbesondere in Bezug auf die Auftragsvereinbarung nach Art. 28 DSGVO sowie die Vereinbarung erforderlicher Sicherheitsmaßnahmen, die datenschutzrechtlich immer auch an Art. 32 DSGVO zu messen sind und die Anforderungen von Privacy by Design & Privacy by Default nach Art. 25 DSGVO beachten sollten. Die Nachhaltung datenschutzrechtlicher Anforderung setzt sich darüber hinaus auch im Rahmen der laufenden Überwachungfort. Hier ist insbesondere auf die entsprechende Verzahnung von Dienstleistersteuerung und Datenschutzmanagement zu achten. Sofern Cloud-Dienstleistungen im Einsatz sind, werden zudem erhöhte Anforderungen bezüglich eines risikobasierten Ansatzes der Lokalisierung von Datenspeicherungsstandorten sowie entsprechender Migrations- und Exitstrategien für den Notfall und wirtschaftlichen Ausfall (u. a. Insolvenz) des Dienstleisters gestellt. Das war zwar bislang auch schon Regelungsinhalt entsprechender Vereinbarungen, oftmals aber nicht durch entsprechende Szenarien bezüglich einer Verlagerung oder eines Re-Insourcings untermauert.

Kommen Sie gerne auf uns zu und wir besprechen, wie wir Sie optimal bei der Umsetzung der neuen Anforderungen beraten und unterstützen können.

Referenzen
Referenzen

„Alle Kollegen empfanden die zweitägige Schulung zum Thema OSPlus Produktadministration als gut investierte Zeit. Mein persönlicher Eindruck wurde dadurch bestätigt. Erste Ideen, wie wir die neuen Ansätze zum Einsatz bringen können, sprudelten bereits kurze Zeit danach. Alle Kollegen – auch die, die meinten sie wären nicht so betroffen oder sie wüssten schon alles – haben bisher "Unbekanntes" als wertvolle Hilfestellung erkannt. Insbesondere das Stöbern im lebenden System war eine Hilfe.“

Gabriele Sarnow, stellvertretende Leiterin Interne Revision der Sparkasse Celle

Referenzen
Referenzen

„Seit über 10 Jahren haben wir die Bereiche Informationssicherheits-Management und Datenschutz an die s-consit ausgelagert. Insbesondere schätzen wir die problemlose Zusammenarbeit sowohl auf fachlicher als auch persönlicher Ebene. Die s-consit ist uns stets ein verlässlicher Partner!"

Joachim Dietmar Ziegler, Vorsitzender des Vorstandes der Sparkasse Parchim-Lübz

Referenzen
Referenzen

„Wir haben seit mehreren Jahren die Aufgabe des Informationssicherheitsbeauftragten an die s-consit ausgelagert und freuen uns über die stets reibungslose Zusammenarbeit. Zuverlässigkeit, Erreichbarkeit und hohe Fachkompetenz erleben wir im täglichen Umgang. Maßnahmen werden mit Augenmaß und partnerschaftlich umgesetzt. Weiter so!“

Jörg Winther, Leiter IT-Management der Sparkasse Münsterland Ost

Referenzen
Referenzen

„Die Strategieberatung wurde individuell auf unsere Bedürfnisse ausgerichtet und von den Mitarbeitern der s-consit professionell und zielorientiert umgesetzt. Die Strategieberatung der s-consit hat die zukünftigen Erfolge der Sparkasse somit aktiv beeinflusst.“

Horst Wanik, Vorsitzender des Vorstandes der Kreissparkasse Gelnhausen

Referenzen
Referenzen

„Unsere kurzfristige Anfrage auf Unterstützung im Bereich Rechnungswesen wurde unkompliziert umgesetzt. Der Einsatz der s-consit war eine absolut wertvolle und hilfreiche Unterstützung. Wir sind sehr zufrieden!“

Thomas Maus, Vorsitzender des Vorstandes der Kreissparkasse Schlüchtern

Referenzen
Referenzen

"Der Bericht zur DAW-Protokollauswertung durch die s-consit stellt für die Sparkasse einen enormen Mehrwert im Rahmen des IKS dar. Sie ist sehr übersichtlich gegliedert und konsolidiert die wesentlichsten Informationen aus den Tätigkeiten der Sparkassen Administratoren im Umfeld des 'Dezentralen Adminstrationswerkzeuges'. Die abgeleiteten Handlungsempfehlungen der s-consit aus der monatlichen Protokollauswertung unterstützen den IT-Verantwortlichen deutlich bei der Wahrnehmung seiner High-Level-Kontrollen. Das Preis-Leistungsverhältnis ist meines Erachtens nach top! Ich werde das Produkt der s-consit bei passender Gelegenheit weiterempfehlen.“

Andreas von Oesen, Leiter IT-Organisation der Weser-Elbe Sparkasse

Referenzen
Referenzen

„Unser Ziel bei der Beauftragung der s-consit war neben der Sicherstellung der Jahresabschlusserstellung auch die Gewährleistung der vollständigen Funktionsfähigkeit des Fachbereichs. Dieses wurde zu unserer vollsten Zufriedenheit erfüllt. Wir bedanken uns für die äußerst gute Zusammenarbeit!“

Michael Scholz, Mitglied des Vorstandes der Sparkasse Donauwörth

Referenzen
Referenzen

"Die REV-Tools unterstützen uns, sodass wir die Abläufe im Rechnungswesen effizienter gestalten können."

Stefan Müller, Leiter Betriebswirtschaft/Planung, Kreissparkasse Schlüchtern

Referenzen
Referenzen

"Das Quality Assessment der s-consit hat die strategische Ausrichtung meiner Revisionsprozesse zur Prüfungsplanung, Berichterstattung und Mängelverfolgung bestätigt. Besonders profitieren konnte ich von den Hinweisen zur Ausgestaltung der Organisationsrichtlinien für die Interne Revision, die praktischen Beispiele aus anderen Sparkassen waren dabei sehr wertvoll für die Weiterentwicklung unserer Revisionsfunktion."

Stephan Thörmer, Abteilungsleiter Interne Revision der Sparkasse Barnim