Skip to main content
main-content

20.03.2017 | IT-Compliance | Im Fokus | Onlineartikel

Geschäftsführung soll die IT besser im Blick haben

Autor:
Anja Kühner

Die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) stellt diese Woche ihre Bankaufsichtlichen Anforderungen an die IT (BAIT) zur Konsultation. Insbesondere Banken haben beim Dauerbrenner IT noch einen kritikwürdigen Status-Quo.

Die Vorgaben der Bankenaufseher für Kreditinstitute können stellvertretend für alle Unternehmen gesehen werden – denn Fragen rund um IT-Strategie, IT-Governance, Notfallmanagement, Berechtigungen und das Informationsrisikomanagement gehen weit über reine Technikfragen hinaus. Sie können überlebensrelevant für ein Unternehmen sein. Bei der IT sind deutsche Finanzinstitute keinesfalls eine Vorzeige-Branche. 

Empfehlung der Redaktion

2014 | Buch

Ich glaube, es hackt!

Ein Blick auf die irrwitzige Realität der IT-Sicherheit

Die Technik, die uns heute überschwemmt, lässt uns gar keine Chance mehr, alles so abzusichern, dass wir auch wirklich sicher sind. Lernen Sie die Waffen Ihrer Gegner und Ihre eigenen Abwehrmöglichkeiten kennen. Aber keine Sorge, bei diesem Blick in

"Unsere IT-Prüfungen in Banken enden meist mit einem verheerenden Ergebnis – kein Institut schnitt bisher besser als mit der Schulnote vier ab", berichtete Raimund Röseler, Exekutivdirektor Bankenaufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin), auf der Veranstaltung "IT-Aufsicht bei Banken" am 16. März in Bonn.

IT-Sicherheit steht weiter im Mittelpunkt

Ein Schwerpunkt der Veranstaltung lag auf der Erläuterung der Bankaufsichtlichen Anforderungen an die IT (BAIT), die die Bafin in dieser Woche veröffentlichen will. "In der BAIT stehen viele Banalitäten", sagte Raimund Röseler, Exekutivdirektor Bankenaufsicht der Bafin. Wenn die Bafin diese veröffentliche, dann habe dies einen Grund. Er wies darauf hin, dass die Geschäftsleitung für die Umsetzung und Einhaltung der BAIT verantwortlich sei, denn sie „werden dazu beitragen, in den Banken das unternehmensweite Bewusstsein für das IT-Risiko und die IT-Sicherheit zu erhöhen."

Cyber-Gefahren drohen jedoch nicht nur durch Hacker. Auch Mitarbeiter, Dienstleister oder ein technischer Ausfall von IT-Ketten können Auslöser von Störungen oder Unterbrechungen sein. "Irgendwann wird aufgrund von Problemen in der IT ein großer Schaden entstehen. Und wir wollen als Teil der Branche den Impact minimieren", betonte Bafin-Präsident Felix Hufeld in Bonn. Die detaillierten BAIT ähneln daher einer Checkliste für die Geschäftsführung: "Mit dem Kopf ein Problem erkannt zu haben, ist das eine, eine Lösung strukturiert umzusetzen etwas anderes", so Hufeld.

Mit den Vorgaben zur IT will die Aufsichtsbehörde genau dies erreichen. Dazu konkretisiert sie die Bestimmungen der Mindestanforderungen an das Risikomanagement (MaRisk) im Hinblick auf die IT. "Es handelt sich nicht um eine Erweiterung", stellte Jens Obermöller, Referatsleiter Kompetenz IT-Sicherheit der Bafin, klar. Kritik übte er vor allem an denjenigen Instituten, die noch immer keine IT-Strategie festgelegt haben. Auch das Schadenmanagement lasse zu wünschen übrig.

Acht Schwerpunkte für eine bessere IT

Insgesamt stellen die BAIT auf acht Schwerpunkte ab: 

  • IT-Strategie, 
  • IT-Governance, 
  • Informationsrisikomanagement,
  • Informationssicherheitsmanagement,
  • Benutzerberechtigungsmanagement, 
  • IT-Projekte und Anwendungsentwicklung sowie 
  • IT-Betrieb und 
  • IT-Dienstleistungen. 

Wichtig ist den Aufsehern beispielsweise die personelle Trennung von IT und deren Aufsicht ebenso wie die zwischen Datenschutz und dem Beauftragten für Informationssicherheit. Auch müsse sichergestellt werden, dass Störungsmeldungen der Geschäftsleitung bekannt und nicht von der IT unter dem Radar gehalten werden.

Insbesondere die Bereiche Outsourcing und Cloud Services wurden eifrig diskutiert. Problematisch sei beispielsweise, dass die beauftragten externen Dienstleister die ihnen übertragenen Tätigkeiten, wie beispielsweise die Softwareentwicklung, auf weitere Anbieter weitergeben. Bei Outsourcing auf zweiter oder dritter Ebene hätten sich laut Obermöller in den vergangenen Jahren Konzentrationen auf wenige zentrale Dienstleister ergeben. "Wenn dort ein Programmierfehler oder Sicherheitslücken in eine neue Anwendung programmiert werden, dann kann es schnell das ganze Bankensystem betreffen, ohne dass dies den Instituten bewusst wäre", beschreibt er. Mit der Veröffentlichung der BAIT soll noch diese Woche eine sechswöchige Konsultationsphase beginnen. Im Anschluss daran plant die Bafin ein separates Rundschreiben zu den Regelungen.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

2017 | OriginalPaper | Buchkapitel

Informationssicherheit

Quelle:
Grundkurs Wirtschaftsinformatik

2015 | OriginalPaper | Buchkapitel

Was ist Cyber Security?

Die wichtigsten Begriffe als Eckpfeiler eines Fachgebiets
Quelle:
Cyber Security

01.09.2016 | IT | Ausgabe 10/2016

Kriminelle setzen auf bewährte Masche

Das könnte Sie auch interessieren

25.10.2016 | Bank-IT | Nachricht | Onlineartikel

Banken wissen um die Bedeutung der Cyber-Sicherheit

05.02.2016 | Finanzbranche | Im Fokus | Onlineartikel

Banken müssen sich gegen Datenraub wappnen

13.03.2017 | IT-Strategie | Im Fokus | Onlineartikel

Veraltete IT erfolgreich modernisieren

Premium Partner

GI LogoNeuer Inhalt

BranchenIndex Online

Die B2B-Firmensuche für Industrie und Wirtschaft: Kostenfrei in Firmenprofilen nach Lieferanten, Herstellern, Dienstleistern und Händlern recherchieren.

Whitepaper

- ANZEIGE -

Erforderliche Schutzmaßnahmen für das (vernetzte) Auto

Längst sind moderne Autos kleine Rechnernetzwerke auf Rädern. Was bedeutet dies für die Sicherheit? Dieser Beitrag liefert einen Überblick über Angriffsmethoden und Sicherheitstechnologien für moderne Fahrzeuge. Jetzt gratis downloaden!