„Handlungsdruck für Banken – BAIT-Neuerungen 2021“

Als 2017 die Bank­auf­sicht­li­chen Anfor­de­run­gen an die IT, kurz BAIT, als Kon­kre­ti­sie­rung der in den MaRisk gere­gel­ten regu­la­to­ri­schen Anfor­de­run­gen an die Infor­ma­ti­ons­tech­nik von Ban­ken ein­ge­führt wur­den, ging ein Rau­nen durch die Com­mu­ni­ty. In der BAIT wur­de erst­mals kon­kret vor­ge­ge­ben, wie die Auf­sicht sich die regu­la­to­rik­kon­for­me Aus­ge­stal­tung der Ban­ken IT vor­stellt. Zwar galt für die BAIT das Pro­por­tio­na­li­täts­prin­zip, das eine Aus­ge­stal­tung anhand der kon­kre­ten Situa­ti­on des jewei­li­gen Insti­tuts zuließ. Prü­fungs­er­fah­run­gen von EZB, Bun­des­bank, BaFin, aber auch der haus­ei­ge­nen Revi­si­ons­ab­tei­lun­gen haben jedoch gezeigt, dass die BAIT nicht als gestal­tungs­frei­er „Papier­ti­ger“ ver­stan­den, son­dern als „umzu­set­zen“ vor­ge­ge­ben wer­den. Die spe­zi­fi­schen Anfor­de­run­gen für kri­ti­sche IT-Struk­tu­ren in dem im Jahr 2018 ergänz­ten KRITS-Modul mach­ten deut­lich, dass der mit der BAIT ein­ge­schla­ge­ne Weg sei­tens der BaFin kon­se­quent fort­ge­führt wird.

Zwei Jah­re sind seit­dem ver­gan­gen. Vie­le Insti­tu­te sind auch heu­te noch damit beschäf­tigt, die auf Grund­la­ge der BAIT erfolg­ten Fest­stel­lun­gen aus inter­nen und exter­nen Prü­fun­gen zu bear­bei­ten und ihre IT com­pli­ant zu gestal­ten. Da steht auch bereits eine signi­fi­kan­te Erwei­te­rung der Anfor­de­run­gen aus der BAIT in den Start­blö­cken. 2020 erfolg­te die Kon­sul­ta­ti­ons­pha­se mit den Insti­tu­ten. Für das kom­men­de Jahr 2021 ist vom Go-live der neu­en Ansprü­che auszugehen.

Drei neue Kapi­tel ergän­zen die bestehen­den Anfor­de­run­gen, von denen die ope­ra­ti­ve IT-Sicher­heit und das IT-Not­fall­ma­nage­ment die bei­den bedeut­sa­me­ren sind im Ver­gleich zum Kapi­tel Kun­den­be­zie­hun­gen zu Zahlungsdienstleistern.

Mit dem neu­en Kapi­tel „ope­ra­ti­ve IT-Sicher­heit“ wer­den die bis­he­ri­gen Anfor­de­run­gen an Netz­werk­si­cher­heit, Sys­tem­här­tung, Pene­tra­ti­ons- und Schwach­stel­len­test geschärft und in einem eige­nen Kapi­tel gebündelt.

Das neue Kapi­tel IT-Not­fall­ma­nage­ment trägt der Tat­sa­che Rech­nung, dass sich die EBA-Gui­de­li­nes expli­zit mit die­sem Hand­lungs­feld befas­sen und ergänzt die BAIT um Inhal­te des IT-Not­fall­ma­nage­ments sowie des Busi­ness-Con­ti­nui­ty-Manage­ments. Neben der Identifi­kation der für Not­fäl­le rele­van­ten Res­sour­cen und Pro­zes­se ste­hen Maß­nah­men zur Gewähr­leis­tung der Fort­füh­rung des Geschäfts­be­triebs im Fal­le von Not­fäl­len im Fokus die­ses Kapi­tels. Hin­zu kom­men Anfor­de­run­gen an die Durch­fü­gung von Tests und Übun­gen zur Sicher­stel­lung der Wirk­sam­keit der defi­nier­ten Vorkehrungen.

Über die neu­en Kapi­tel hin­aus wur­den auch bestehen­de Stel­len kon­kre­ti­siert oder erwei­tert. Eine wesent­li­che Ver­än­de­rung im Ver­gleich zu der bestehen­den BAIT liegt im pro­zes­sua­len Betrachtungsgegenstand.

Stan­den bis­her die IT-Pro­zes­se sowie die IT-Sys­te­me als Infor­ma­ti­ons­ver­bund im Mit­tel­punkt der Betrach­tung, sind jetzt sämt­li­che Geschäfts­pro­zes­se im Fokus, und zwar hin­sicht­lich ihrer Unter­stüt­zung mit­tels IT-Anwen­dun­gen, Infra­struk­tu­ren und Daten. Die­ses ist neu und erwei­tert den Scope nach­hal­tig. Vor allem auch des­halb, weil die Ein­bin­dung von exter­nen Dienst­leis­tungs­part­nern nicht mehr pri­mär auf das Hand­lungs­feld Sourcing/Dienstleister­steuerung beschränkt ist. Viel­mehr sind die IT-rele­van­ten Ele­men­te ihrer Leistungsunter­stützung im Pro­zess rele­van­te Scopes. Der Infor­ma­ti­ons­ver­bund als Betrach­tungs­ge­gen­stand erhält so eine ande­re Kom­ple­xi­tät, die es in der Bank regu­la­to­risch zu mana­gen gilt.

Eben­so eine Aus­wei­tung erfah­ren die Anfor­de­run­gen an IT-Ser­vice­pro­zes­se. So sind mit der Erwei­te­rung der BAIT die bei­den ITIL-Pro­zes­se Capa­ci­ty-Manage­ment und Avai­la­bi­li­ty-Manage­ment in den Insti­tu­ten zu etablieren.

Das Capa­ci­ty-Manage­ment sichert die Kapa­zi­tät der IT-Ser­vices sowie der IT-Infra­struk­tur. Ziel ist, dass alle Kom­po­nen­ten der IT-Ser­vices die ver­ein­bar­ten Kapa­zi­täts- und Per­for­mance­zie­le errei­chen, auch unter Berück­sich­ti­gung zukünf­ti­ger Anforderungen.

Das Avai­la­bi­li­ty-Manage­ment stellt die Ver­füg­bar­keit der IT-Ser­vices sicher, in dem alle Kom­po­nen­ten der IT-Ser­vices die ver­ein­bar­ten Ver­füg­bar­keits­zie­le erreichen.

Wich­tig ist hier­bei der Bezug zu den oben beschrie­be­nen Aus­wei­tun­gen in der Defi­ni­ti­on des Infor­ma­ti­ons­ver­bun­des. Dadurch wird deut­lich, dass eine bank­in­ter­ne Betrach­tung der bei­den neu­en Pro­zes­se zu kurz greift und die betei­lig­ten Dienst­leis­tungs­part­ner ein­zu­bin­den sind.

Nach­ste­hen­de Abbil­dung fasst die­se neu­en, respek­ti­ve ver­schärf­ten Ansprü­che der BAIT-Anfor­de­rung zusam­men und zeigt, wel­che Effek­te die­se auf die Insti­tu­te erwar­ten lassen.

Schon auf den ers­ten Blick wird deut­lich, dass die neu­en eben­so wie die erwei­ter­ten Anfor­de­run­gen der BAIT nicht mit­tels eines „Quick Hit“ zu bewäl­ti­gen sind. Zu umfang­reich waren und sind die Her­aus­for­de­run­gen aus den 2017 und 2018 for­mu­lier­ten Anfor­de­run­gen der BAIT für die Banken.

Ent­spre­chend der indi­vi­du­el­len Aus­gangs­si­tua­ti­on des Insti­tuts und dem Grad der für die eige­ne IT gewähl­ten Stan­dar­di­sie­rung gibt es hin­sicht­lich des Umset­zungs­ho­ri­zonts kurz­fris­ti­ge Aspek­te, grund­sätz­lich aber eher eine lang­fris­ti­ge Per­spek­ti­ve. Durch die Aus­wei­tung des Infor­ma­ti­ons­ver­bun­des sind die BAIT kein aus­schließ­li­ches IT-The­ma mehr, son­dern ein Pro­zess­the­ma, das die IT-Unter­stüt­zung des jewei­li­gen Pro­zes­ses im Fokus hat. Damit sind neben den Spe­zia­lis­ten des eige­nen IT-Bereichs zuneh­mend sol­che der rele­van­ten Dienst­leis­tungs­part­ner ein­zu­bin­den. Dar­über hin­aus sind auch Exper­ten aus den Fach­be­rei­chen der Bank zu involvieren.

Damit wird deut­lich, dass ins­ge­samt ein hoher Auf­wand für die Insti­tu­te mit der Umset­zung der Neue­run­gen in der BAIT ver­bun­den ist.

Vor die­sem Hin­ter­grund sind zwei Tätig­kei­ten von her­aus­ge­ho­be­ner Bedeu­tung. Ers­tens die Iden­ti­fi­ka­ti­on des Infor­ma­ti­ons­ver­bunds für die betrof­fe­nen Geschäfts­pro­zes­se, um den Hand­lungs­rah­men und die ein­zu­bin­den­den Par­tei­en trans­pa­rent und voll­stän­dig zu iden­ti­fi­zie­ren. Zwei­tens die dar­auf auf­bau­en­de Ablei­tung einer Umset­zungs­road­map, die auch den aktu­el­len Sta­tus quo des Insti­tuts berücksichtigt.

Um die­ses so ziel­ge­rich­tet wie mög­lich zu tun, ist nicht nur die Kennt­nis der regu­la­to­ri­schen Anfor­de­run­gen ent­schei­dend. Wesent­lich bedeut­sa­mer ist die umfang­rei­che Pra­xis­ex­per­ti­se zu Bank­pro­zes­sen sowie der in den Pro­zes­sen ein­ge­setz­ten IT-Sys­te­me und ihrer Schnitt­stel­len unter­ein­an­der. In Kom­bi­na­ti­on mit Erfah­run­gen aus Audit- und Umset­zungs­pro­jek­ten im Kon­text Ban­ken­re­gu­la­to­rik stel­len sie die kri­ti­schen Erfolgs­fak­to­ren dar, eine effi­zi­en­te Umset­zung der BAIT-Neue­run­gen zu pla­nen und durchzuführen.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge unter­stützt ban­kon effi­zi­ent und ziel­ge­rich­tet in der Iden­ti­fi­ka­ti­on aller betei­lig­ten Assets am Infor­ma­ti­ons­ver­bund, der effi­zi­en­ten Erstel­lung einer Umsetzungs­roadmap für die BAIT-Neue­run­gen sowie der Umset­zung selbst.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
http://www.ban​kon​.de
E‑Mail: research@bankon.de