„Handlungsdruck für Banken – BAIT-Neuerungen 2021“
Als 2017 die Bankaufsichtlichen Anforderungen an die IT, kurz BAIT, als Konkretisierung der in den MaRisk geregelten regulatorischen Anforderungen an die Informationstechnik von Banken eingeführt wurden, ging ein Raunen durch die Community. In der BAIT wurde erstmals konkret vorgegeben, wie die Aufsicht sich die regulatorikkonforme Ausgestaltung der Banken IT vorstellt. Zwar galt für die BAIT das Proportionalitätsprinzip, das eine Ausgestaltung anhand der konkreten Situation des jeweiligen Instituts zuließ. Prüfungserfahrungen von EZB, Bundesbank, BaFin, aber auch der hauseigenen Revisionsabteilungen haben jedoch gezeigt, dass die BAIT nicht als gestaltungsfreier „Papiertiger“ verstanden, sondern als „umzusetzen“ vorgegeben werden. Die spezifischen Anforderungen für kritische IT-Strukturen in dem im Jahr 2018 ergänzten KRITS-Modul machten deutlich, dass der mit der BAIT eingeschlagene Weg seitens der BaFin konsequent fortgeführt wird.

Zwei Jahre sind seitdem vergangen. Viele Institute sind auch heute noch damit beschäftigt, die auf Grundlage der BAIT erfolgten Feststellungen aus internen und externen Prüfungen zu bearbeiten und ihre IT compliant zu gestalten. Da steht auch bereits eine signifikante Erweiterung der Anforderungen aus der BAIT in den Startblöcken. 2020 erfolgte die Konsultationsphase mit den Instituten. Für das kommende Jahr 2021 ist vom Go-live der neuen Ansprüche auszugehen.
Drei neue Kapitel ergänzen die bestehenden Anforderungen, von denen die operative IT-Sicherheit und das IT-Notfallmanagement die beiden bedeutsameren sind im Vergleich zum Kapitel Kundenbeziehungen zu Zahlungsdienstleistern.

Mit dem neuen Kapitel „operative IT-Sicherheit“ werden die bisherigen Anforderungen an Netzwerksicherheit, Systemhärtung, Penetrations- und Schwachstellentest geschärft und in einem eigenen Kapitel gebündelt.
Das neue Kapitel IT-Notfallmanagement trägt der Tatsache Rechnung, dass sich die EBA-Guidelines explizit mit diesem Handlungsfeld befassen und ergänzt die BAIT um Inhalte des IT-Notfallmanagements sowie des Business-Continuity-Managements. Neben der Identifikation der für Notfälle relevanten Ressourcen und Prozesse stehen Maßnahmen zur Gewährleistung der Fortführung des Geschäftsbetriebs im Falle von Notfällen im Fokus dieses Kapitels. Hinzu kommen Anforderungen an die Durchfügung von Tests und Übungen zur Sicherstellung der Wirksamkeit der definierten Vorkehrungen.
Über die neuen Kapitel hinaus wurden auch bestehende Stellen konkretisiert oder erweitert. Eine wesentliche Veränderung im Vergleich zu der bestehenden BAIT liegt im prozessualen Betrachtungsgegenstand.
Standen bisher die IT-Prozesse sowie die IT-Systeme als Informationsverbund im Mittelpunkt der Betrachtung, sind jetzt sämtliche Geschäftsprozesse im Fokus, und zwar hinsichtlich ihrer Unterstützung mittels IT-Anwendungen, Infrastrukturen und Daten. Dieses ist neu und erweitert den Scope nachhaltig. Vor allem auch deshalb, weil die Einbindung von externen Dienstleistungspartnern nicht mehr primär auf das Handlungsfeld Sourcing/Dienstleistersteuerung beschränkt ist. Vielmehr sind die IT-relevanten Elemente ihrer Leistungsunterstützung im Prozess relevante Scopes. Der Informationsverbund als Betrachtungsgegenstand erhält so eine andere Komplexität, die es in der Bank regulatorisch zu managen gilt.
Ebenso eine Ausweitung erfahren die Anforderungen an IT-Serviceprozesse. So sind mit der Erweiterung der BAIT die beiden ITIL-Prozesse Capacity-Management und Availability-Management in den Instituten zu etablieren.
Das Capacity-Management sichert die Kapazität der IT-Services sowie der IT-Infrastruktur. Ziel ist, dass alle Komponenten der IT-Services die vereinbarten Kapazitäts- und Performanceziele erreichen, auch unter Berücksichtigung zukünftiger Anforderungen.
Das Availability-Management stellt die Verfügbarkeit der IT-Services sicher, in dem alle Komponenten der IT-Services die vereinbarten Verfügbarkeitsziele erreichen.
Wichtig ist hierbei der Bezug zu den oben beschriebenen Ausweitungen in der Definition des Informationsverbundes. Dadurch wird deutlich, dass eine bankinterne Betrachtung der beiden neuen Prozesse zu kurz greift und die beteiligten Dienstleistungspartner einzubinden sind.
Nachstehende Abbildung fasst diese neuen, respektive verschärften Ansprüche der BAIT-Anforderung zusammen und zeigt, welche Effekte diese auf die Institute erwarten lassen.

Schon auf den ersten Blick wird deutlich, dass die neuen ebenso wie die erweiterten Anforderungen der BAIT nicht mittels eines „Quick Hit“ zu bewältigen sind. Zu umfangreich waren und sind die Herausforderungen aus den 2017 und 2018 formulierten Anforderungen der BAIT für die Banken.
Entsprechend der individuellen Ausgangssituation des Instituts und dem Grad der für die eigene IT gewählten Standardisierung gibt es hinsichtlich des Umsetzungshorizonts kurzfristige Aspekte, grundsätzlich aber eher eine langfristige Perspektive. Durch die Ausweitung des Informationsverbundes sind die BAIT kein ausschließliches IT-Thema mehr, sondern ein Prozessthema, das die IT-Unterstützung des jeweiligen Prozesses im Fokus hat. Damit sind neben den Spezialisten des eigenen IT-Bereichs zunehmend solche der relevanten Dienstleistungspartner einzubinden. Darüber hinaus sind auch Experten aus den Fachbereichen der Bank zu involvieren.
Damit wird deutlich, dass insgesamt ein hoher Aufwand für die Institute mit der Umsetzung der Neuerungen in der BAIT verbunden ist.
Vor diesem Hintergrund sind zwei Tätigkeiten von herausgehobener Bedeutung. Erstens die Identifikation des Informationsverbunds für die betroffenen Geschäftsprozesse, um den Handlungsrahmen und die einzubindenden Parteien transparent und vollständig zu identifizieren. Zweitens die darauf aufbauende Ableitung einer Umsetzungsroadmap, die auch den aktuellen Status quo des Instituts berücksichtigt.
Um dieses so zielgerichtet wie möglich zu tun, ist nicht nur die Kenntnis der regulatorischen Anforderungen entscheidend. Wesentlich bedeutsamer ist die umfangreiche Praxisexpertise zu Bankprozessen sowie der in den Prozessen eingesetzten IT-Systeme und ihrer Schnittstellen untereinander. In Kombination mit Erfahrungen aus Audit- und Umsetzungsprojekten im Kontext Bankenregulatorik stellen sie die kritischen Erfolgsfaktoren dar, eine effiziente Umsetzung der BAIT-Neuerungen zu planen und durchzuführen.
Expertise bankon Management Consulting
Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext IT-Regulatorik sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisationsstrukturen, Prozessen und IT-Systemen deutscher Banken und Sparkassen gewährleisten den erforderlichen fachlichen und technischen Hintergrund.
Auf dieser Grundlage unterstützt bankon effizient und zielgerichtet in der Identifikation aller beteiligten Assets am Informationsverbund, der effizienten Erstellung einer Umsetzungsroadmap für die BAIT-Neuerungen sowie der Umsetzung selbst.
Nutzen Sie unsere umfangreichen Erfahrungen und sprechen Sie mit uns:
bankon Management Consulting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://www.bankon.de
E‑Mail: research@bankon.de