BAIT, Finanzdienstleistungsinstitute, Informationssicherheitsbeauftragter Datensicherungskonzept Informationssicherheitsrichtlinie IT-Handbuch

Bankaufsichtliche Anforderungen an die IT (BAIT)

Informationssicherheitsrichtlinie

Datensicherungskonzept

Schulungen für Mitarbeiter

Informationssicherheitsbeauftragter

Slider

BAIT wurden von der BaFin verabschiedet

Am 3.11.2017 hat die BaFin die BAIT in Kraft gesetzt. Eine Übergangsfrist gibt es nicht. Denn die Anforderungen, die jetzt in den BAIT zu finden sind, waren im Kern bereits den MaRisk enthalten. Die BAIT sind lediglich eine Ausformulierung bekannter Kernsätze. Dies ist jedenfalls die Auffassung der BaFin.

Um was geht es?

Die IT wird in den Instituten immer wichtiger. Damit einher geht ein entsprechendes Risiko, dass Daten verlorengehen oder missbraucht werden. Der Verlust von Daten ist insbesondere dann dramatisch, wenn diese nicht auf einem dauerhaften Datenträger, wie Papier oder CD / DVD / Festplatte, gespeichert waren. Vorgänge von rechtlicher, steuerlicher oder aufsichtsrechtlicher Bedeutung wären dann lückenhaft oder im schlimmsten Fall nicht mehr rekonstruierbar.

Werden Daten ausspioniert oder gehackt, kommt es in erheblichem Umfang zu Vertrauensverlust und Imageschaden. Schadensersatzklagen könnten sich existenzbedrohend auswirken.

Informationssicherheitsbeauftragter

Die Risiken zu kennen, sie zu bewerten und zu minimieren, bildet den Kern der BAIT. Verantwortlich soll ein neu geschaffener Informationssicherheitsbeauftragter sein. Bei kleineren Instituten kann er mit einer anderen Funktion, wie Compliance oder Risikocontrolling, zusammengelegt werden. Viele werden den Weg wählen, einen externen Informationssicherheitsbeauftragten zu bestellen. Der eigene IT-Verantwortliche scheidet aus, weil er den operativen Betrieb verantwortet. Auch der externe Dienstleister, der das Netzwerk betreut, darf kein Informationssicherheitsbeauftragter sein.

Richtlinie zur IT-Sicherheit

Die Entwicklung einer Informationssicherheitsrichtlinie und deren stetige Weiterentwicklung wird durch die BAIT zur Pflicht erhoben. In den Leitlinien sollen die wesentlichen Maßnahmen definiert werden, die zum Schutz der Daten eingerichtet sind. Regelmäßige BackUps und die Implementierung eines Virenscanners reichen nicht aus, um den Anforderungen der BAIT zu genügen.

Datensicherungskonzept

Ebenfalls schriftlich ist ein Konzept zu beschließen, das die Datensicherung regelt. Hier geht es um die Häufigkeit, die verwendete Technik, die Definition der zu sichernden Daten und den Ort der Aufbewahrung. Die Datensicherung in der Cloud wird zunehmend beliebter. In diesem Fall sind jedoch zusätzliche Maßnahmen erforderlich.

Mitarbeiterschulungen und -sensibilisierungen

Täglich wird in einschlägigen Medien von Hackerangriffen berichtet. Was häufig nicht klar genug ausgedrückt wird: es sind nicht die hohen Künste der Hacker, sondern der gnadenlose Leichtsinn und die Naivität der Anwender, die Tür und Tor weit offen lassen und den Hackern einen bequemen Zutritt gewähren. Daher darf sich Informationssicherheit nicht allein auf technische Schutzmaßnahmen beschränken. Mitarbeiter sind entsprechend zu sensibilisieren und aktiv in das Sicherheitsmanagement einzubeziehen.

Proportinalitätsgrundsatz

Bereits die Bezeichnung „Bankaufsichtliche Anforderungen an die IT“ lässt erkennen, dass Banken im Zentrum stehen. Das Risiko bei Banken ist natürlich um ein Vielfaches höher als bei Finanzdienstleistungsinstituten, die im Wesentlichen Finanzportfolioverwaltung betreiben. Letztere kennen keinen Zahlungsverkehr und bieten aufgrund ihrer Größe auch weniger Angriffsfläche für Hacker. Entsprechend wird ein Informationshandbuch einschließlich der Informationssicherheitsrichtlinie und des Datensicherungskonzeptes deutlich schlanker ausfallen als selbst bei einer kleineren Bank.

Dennoch gibt es das Datenrisiko bei jedem Institut, so dass grundlegende Festlegungen in allen Fällen zu treffen sind.

Wie wir Sie unterstützen können

MiFID II und jetzt auch noch BAIT. Viele Finanzdienstleister fühlen sich überfordert. Doch sind die Risiken einfach zu groß um nichts zu tun, das dachte sich wohl auch die BaFin.

Als Wirtschaftsprüfer mit solidem IT-Hintergrund machen wir beides: wir prüfen und beraten in Sachen BAIT. Und das mit Augenmaß. Für uns ist der Proportionalitätsgrundsatz – auf Deutsch: die Kirche im Dorf lassen – heilig.

Wenn Sie Unterstützung bei der Implementierung eines IT-Handbuches, der Informationssicherheitsrichtlinie, des Datensicherungskonzeptes oder der Bestellung eines Informationssicherheitsbeauftragten benötigen, fragen Sie uns einfach. Weitere Informationen sowie ein Formular zur Anfrage eines Angebots finden Sie in der rechten Seitenleiste. Auf für Schulungen stehen wir zur Verfügung.

Unser Leistungen für Sie

Die IT ist ein wichtiger Bestandteil Ihrer Geschäftsorganisation. Daher bedarf es Regelungen. Ihr vorhandenes Organisationshandbuch muss also erweitert werden und Regelungen für den sicheren Betrieb der IT enthalten.

Jedes Finanzdienstleistungsinstitut muss gem. den BAIT eine Informationssicherheitsrichtlinie entwickeln. Diese ist Gegenstand der WpHG-Prüfung und der Jahresabschlussprüfung.

Wie soll die Datensicherung erfolgen? Auf welchem Medium? In welcher Frequenz? Full oder inkrementell oder Snapshot? Auch die Datensicherungs-Technologie entwickelt sich weiter.

Die Funktion kann mit der Compliance- und der Risikocontrolling-Funktion zusammengelegt werden. Doch: verfügen die jeweiligen Beauftragten über den notwendigen IT-Hintergrund? Nicht zulässig ist die Beauftragung Ihres IT-Experten oder Ihres externen IT-Dienstleisters.

Informationssicherheit ist mehr als nur technische Vorkehrungen. Das Verhalten der Mitarbeiter ist häufig Ursache von Datenverlust oder Datenmissbrauch.

Interesse an unseren Leistungen?

Dann füllen Sie bitte  nachfolgendes Formular für die Anfrage eines Angebots aus.

Bitte Ihre E-Mail-Adresse eintragen (erforderlich)
Bitte Ihre Website-Adresse eintragen (nicht erforderlich)
Tragen Sie bitte Ihre Telefonnummer ein.
Voreingestellter Betreff
Wenn Sonstiges angehakt wurde, dann bitte hier die gewünschte Leistung eintragen.