BaFin Journal 082021 CoverDie Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlichte am 16. August 2021 eine neue Fassung ihrer BAIT (Bankaufsichtliche Anforderungen an die IT). Die Aufsicht stellt darin klar, welche Rahmenbedingungen sie für eine sichere Informationsverarbeitung und Informationstechnik erwartet. Die aktuelle Novelle enthält keine grundlegend neuen Anforderungen, sondern konkretisiert bestehende Vorgaben. Dennoch sind die BAIT an einigen Stellen erweitert und angepasst worden (vgl. BaFin Journal August 2021). Beispielhaft steht hierfür das neue Kapitel „Operative Informationssicherheit“.

In diesem formuliert die Aufsicht Anforderungen an die Ausgestaltung von Wirksamkeitskontrollen für bereits umgesetzte Informationssicherheitsmaßnahmen in Form von Tests und Übungen. Solche Wirksamkeitskontrollen wie etwa Abweichungsanalysen, Schwachstellenscans, Penetrationstests und Simulationen von Angriffen sind, wie es seitens der BaFin heißt, wesentlicher Bestandteil eines jeden effektiven und nachhaltigen Informationssicherheitsmanagementsystems.

Den Instituten wird auferlegt, die Ergebnisse solcher Wirksamkeitskontrollen zu analysieren, Verbesserungsbedarf zu identifizieren und Risiken angemessen zu steuern. Die Unternehmen sollen die neuen Anforderungen darüber hinaus in einer internen Richtlinie fixieren, welche die Aufsicht nun im Kapitel „Informationssicherheitsmanagement“ fordert.

Im Hinblick der Komplexität von Cyberbedrohungen betonen die BAIT des Weiteren ausdrücklich, wie wichtig es sei, dass sich die betroffenen Institute über aktuelle externe und interne Bedrohungen und Schwachstellen informieren und die Geschäftsleitung über die Ergebnisse der Risikoanalyse und Veränderungen der Risikosituation unterrichten (vgl. dazu Kapitel „Informationsrisikomanagement“). Insgesamt war es BaFin und Deutscher Bundesbank wichtig, in den BAIT dem Ziel der „Informationssicherheit“ zu folgen und nicht dem – enger gestecktem – Ziel „IT-Sicherheit“.


Wir haben die Kommentarfunktion wegen zu vieler Spam-Kommentare abgeschaltet. Sie können uns aber trotzdem Ihre Meinung zu diesem Artikel als Leserbrief direkt zusenden. Falls Sie wünschen, dass wir Ihren Leserbrief als Kommentar dem Artikel hinzufügen, vermerken Sie dies bitte in der Mail an uns.
leserbrief@pr-journal.de