Am 16. August 2021 verkündet die BaFin zahlreiche Anpassungen an ihren Mindestanforderungen an das Risikomanagement (MaRisk) sowie den Bankenaufsichtlichen Anforderungen an die IT, kurz BAIT.  Zudem vollzieht sie nun die langangekündigte Einführung der IT-Anforderungen an Zahlungs- und E-Geld-Institute (ZAIT).

In ihren jeweiligen Rundschreiben konkretisiert die BaFin in der BAIT spezifische Anforderungen in Richtung der technisch-organisatorische Ausstattung von Bankinstituten für eine ordnungsgemäße Geschäftsführung hinsichtlich Informationstechnik und Cybersicherheit.

Alle Rundschreiben (VAIT, BAIT, ZAIT) ähneln sich dahingehend, dass es eine Reihe von grundlegenden Anforderungen – angelehnt an die Leitlinien der Europäischen Bankenaufsichtsbehörde – gibt, die die regulierten Institute bzw. Unternehmen in Bezug auf die Informationssicherheit zwingend nachweislich umzusetzen haben. In unserer Artikelreihe behandeln wir Lösungen für diese Top-Themen:

• Klassifizierung von IT-Assets: Die Finanzinstitute sollten die zuvor identifizierten Geschäftsfunktionen, Unterstützungsprozesse und IT-Assets im Hinblick auf ihre Kritikalität einstufen und dabei mindestens die Anforderungen bezüglich Vertraulichkeit, Integrität und Verfügbarkeit berücksichtigen. Abgeleitet aus der Klassifizierung sind angemessene Schutzmaßnahmen zu treffen und zu kontrollieren.
• Sicherer Betrieb: Durch die Identifizierung und Bewertung von möglichen Schwachstellen sollte durch Einspielen von kritischen Sicherheitspatches oder durch alternative Maßnahmen sichergestellt werden, dass Software und Firmware auf dem neuesten Stand sind. Dies gilt auch für Software, welche die Finanzinstitute ihren internen und externen Nutzern zur Verfügung stellen. Hinzu kommen die Implementierung sicherer Konfigurations-Baselines aller Netzwerkkomponenten, die Einführung einer Endgerätesicherheit einschließlich Servern, Arbeitsplätzen und mobilen Geräten, die Gewährleistung des Vorhandenseins von Mechanismen zur Überprüfung der Integrität von Software, Firmware und Daten sowie die Verschlüsselung von Daten bei Speicherung und Übertragung (gemäß der Datenklassifizierung).
• Monitoring: Die Finanzinstitute sollten Regelungen und Verfahren erstellen und einführen, um ungewöhnliche Aktivitäten zu identifizieren, welche die Informationssicherheit der Finanzinstitute beeinflussen könnten, und um auf diese Ereignisse auf angemessene Weise reagieren zu können. Der Sicherheitsüberwachungsprozess sollte einem Finanzinstitut auch dabei helfen, die Art der Betriebs- und Sicherheitsvorfälle zu verstehen, Trends zu erkennen und die Untersuchungen der Organisation zu unterstützen
• Laufende Schwachstellenanalyse: Die Finanzinstitute sollten eine Vielzahl von Überprüfungen, Bewertungen und Tests in Bezug auf die Informationssicherheit durchführen, um die wirksame Ermittlung von Schwachstellen in ihren IKT-Systemen und IKT-Diensten sicherzustellen. So können Finanzinstitute Gap-Analysen anhand von Informationssicherheitsstandards, Konformitätsprüfungen, interne und externe Prüfungen der Informationssysteme oder Überprüfungen der physischen Sicherheit durchführen.
• Bedrohungsüberwachung: Die Finanzinstitute sollten ein Rahmenwerk für Informationssicherheitstests schaffen und implementieren, um die Robustheit und Wirksamkeit ihrer Informationssicherheitsmaßnahmen zu bewerten, und sicherzustellen, dass dieser Rahmen Bedrohungen und Verwundbarkeiten berücksichtigt, die durch die Bedrohungsüberwachung und den Informationsrisikomanagementprozess ermittelt werden.
• Governance, Policies und Kontrollen: Finanzinstitute sehen sich zudem hohen Anforderungen an die interne Governance von IT sowie verschiedener Kontrolltätigkeiten gegenüber. Zum Beispiel formuliert die Aufsicht Anforderungen an die Ausgestaltung von Wirksamkeitskontrollen wie etwa Abweichungsanalysen (Gap-Analysen), Schwachstellenscans, Penetrationstests und Simulationen von Angriffen. Solche regelmäßigen und anlassbezogenen Kontrollen, Tests und Übungen sind dadurch ein wesentlicher Bestandteil eines jeden effektiven und nachhaltigen Informationssicherheitsmanagementsystems und tragen zu einem sicheren Betrieb und einer kontinuierlichen Verbesserung bei. Diese Erkenntnisse sollten dann in Policies und entsprechend verfeinerten Governance-Prozessen münden.

Bei weiterführenden Fragen oder Interesse freuen wir uns über Ihre Kontaktaufnahme unter https://thinksecure.de/kontakt/

Die ThinkSecure ist eine Marke der PMC Services GmbH (www.pmc-services.de). Die PMC hat den Anspruch, dass alle Organisationen digital und sicher sind. Dabei treiben wir den digitalen Wandel auf eine Weise voran, die zeitlose Werte bewahrt – Werte wie Fairness, Respekt und gleiche Chancen für jeden Menschen.

Die PMC Services GmbH ist eine Schwesterfirma der ValueData GmbH (www.valuedata.io).