Nicht nur Fintech-Unternehmen, auch die traditionellen Banken digitalisieren sich zunehmend. Für die Bankenaufsicht BaFin haben IT-Sicherheit und IT Governance „inzwischen den gleichen Stellenwert, wie die Ausstattung der Institute mit Kapital und Liquidität“. Sie hat daher ihre Anforderungen an den Betrieb von IT in Banken gerade komplett neu definiert.

Sie hat zum einen ihr Rundschreiben MaRisk von 2012 aktualisiert, zum anderen aber auch ein neues Rundschreiben formuliert, das die allgemeinen Anforderungen der MaRisk durch spezifische bankaufsichtliche Anforderungen an die IT (BAIT) weiter konkretisiert. Dabei sind die meisten Anforderungen sofort umzusetzen, da sie nach Meinung der BaFin ja nur die bereits bestehenden Gesetze konkretisieren. Lediglich für neu eingeführte Anforderungen der MaRisk gilt eine Umsetzungsfrist bis 31.10.2018. Die neuen Regeln führen z.B. die Funktion des IT-Sicherheitsbeauftragten in der Bank ein, der neben der Beratung der Geschäftsleitung auch eigene Rechte wahrnimmt, z.B. IT-Dienstleister zu überprüfen oder IT-Sicherheitsvorfälle zu untersuchen. Die Stelle ist intern mit eigenem Budget und Ausstattung zu besetzen, darf sich aber externe Unterstützung holen. Die Risikokultur der Banken soll gefördert werden, indem Eigenentwicklungen von Applikationen in gleicher Weise der Risikoprüfung zu unterziehen sind wie extern bezogene Software. Beim bloßen externen Bezug von Software (inkl. Wartung und Implementierung) wird nun klargestellt, dass dies keine Auslagerung ist. Allerdings stellen die BAIT auch für diesen Fremdbezug inhaltliche Anforderungen auf, die den Unterschied zur strenger regulierten Auslagerung kleiner werden lassen. Die BaFin reagiert auf die Entwicklung in der IT-Industrie, wenn sie Cloud-Dienste und den Softwarebezug per SaaS aufgrund des Fremdbetriebs der Anwendungen als regulierte Auslagerung definiert. Für die künftig immer mehr automatisierten Prozesse der Fintechs dürfte von Bedeutung sein, dass auch die Aktionen von Maschinenusern immer auf eine konkret handelnde Person zurückzuführen sein müssen. Der voll automatisierte Prozess verlangt immer noch nach einem (automatisiert) verantwortlich zu machenden Menschen.

Praxistipp:

Wer den IT-Betrieb in einer Bank verantwortet oder als Dienstleister in den Betrieb der Banken-IT involviert ist, kommt um eine detaillierte Prüfung der Auswirkungen aus MaRisk 2017 und BAIT auf seinen Service nicht herum. Die Ausschreibungen der Banken setzen dies bereits ab sofort voraus.