Zum Inhalt springen

BAIT Compliance Framework

BaFin: Bankaufsichtliche Anforderungen an die IT

Das BAIT-Rundschreiben konkretisiert die aufsichtlichen Anforderungen an die IT von Kreditinstituten gemäß KWG. Es definiert Mindestanforderungen für IT-Strategie, Informationssicherheit, IT-Betrieb und Auslagerungen.

Management-Zusammenfassung

  • 17 BAIT-Kontrollen in 10 Themenbereichen
  • Abgestimmt mit DORA Art. 5-15 und MaRisk AT/BT
  • Geltungsbereich: Alle Kreditinstitute §1 KWG, §53 KWG, §53b KWG
  • BaFin Rundschreiben 10/2021 — Stand August 2021
  • Mapping zu DORA, MaRisk und ISO 27001
  • Prüffähige Nachweise je Kontrolle definiert
BAIT Übersicht

BAIT (Bankaufsichtliche Anforderungen an die IT)

Alle Kreditinstitute gemäß §1 KWG, §53 KWG und §53b KWG

Letzte Aktualisierung: 2021-08-10

BAIT Kontrollen (17)

IT-Strategie

BAIT-001

IT-Strategie und IT-Governance

Die Geschäftsleitung hat eine IT-Strategie festzulegen, die mit der Geschäftsstrategie abgestimmt ist.

Umsetzung

IT-Strategie dokumentieren, jährlich überprüfen, mit Geschäftsstrategie abgleichen

IT-Strategiedokument Strategie-Review-Protokoll
DORA: DORA Art. 5(2) — Governance
MaRisk: AT 4.3.1 — Strategien

IT-Governance

BAIT-002

Aufbauorganisation der IT

Die Aufbauorganisation der IT ist klar zu regeln. Zuständigkeiten, Entscheidungsbefugnisse und Verantwortlichkeiten sind zu dokumentieren.

Umsetzung

Organigramm, Stellenbeschreibungen, Vertretungsregelungen für alle IT-Funktionen

IT-Organigramm Stellenbeschreibungen Vertretungsmatrix
DORA: DORA Art. 5(3) — Organisatorische Regelungen
MaRisk: AT 4.3.2 — Aufbauorganisation

Informationsrisiko

BAIT-003

Informationsrisikobewertung

Das Institut hat Verfahren zur Identifikation, Bewertung und Steuerung von Informationsrisiken zu etablieren.

Umsetzung

Risk-Assessment-Prozess, Risikoinventar, jährliche Aktualisierung

Risikoinventar Bewertungsmethodik Risikoberichte
DORA: DORA Art. 6 — IKT-Risikomanagementrahmen
MaRisk: AT 4.3.3 — Risikoinventur

Informationssicherheit

BAIT-004

Informationssicherheitsziele und -strategie

Das Institut hat angemessene Sicherheitsziele festzulegen und eine Sicherheitsstrategie zu definieren, die auf der Geschäftsstrategie basiert.

Umsetzung

Sicherheitsleitlinie, Sicherheitsstrategie, Zielvereinbarungen

Sicherheitsleitlinie Sicherheitsstrategie-Dokument Zielerreichungsberichte
DORA: DORA Art. 5(2) i.V.m. Art. 6 — IKT-Sicherheitsziele
MaRisk: AT 7.1 — Informationssicherheit
BAIT-005

Sicherheitsorganisation

Eine angemessene Sicherheitsorganisation ist einzurichten. Die Rolle des Informationssicherheitsbeauftragten (ISB) ist zu benennen.

Umsetzung

Sicherheitsorganisation etablieren, ISB benennen, Security Board einrichten

Bestellung ISB Sicherheitsorganisation Sitzungsprotokolle
DORA: DORA Art. 5(4) — IKT-Sicherheitsfunktionen
MaRisk: AT 7.2 — Sicherheitsorganisation

User Access Management

BAIT-006

Berechtigungsmanagement

Die Vergabe, Änderung und Entziehung von Benutzerberechtigungen ist zu regeln. Berechtigungen sind regelmäßig zu überprüfen.

Umsetzung

Berechtigungskonzept, regelmäßige Reviews, JML-Prozess (Join-Move-Leave)

Berechtigungskonzept Review-Protokolle JML-Prozessdokumentation
DORA: DORA Art. 9(4) — Zugangskontrolle
MaRisk: BT 2.1 — Zugriffsberechtigungen
BAIT-007

Berechtigungsüberprüfung und Kontrolle

Berechtigungen sind regelmäßig, mindestens jedoch jährlich, auf ihre Angemessenheit zu überprüfen. Kritische Berechtigungen sind besonders zu schützen.

Umsetzung

Quartalsweise Berechtigungsreviews, SEPA-Berechtigungen, Funktionstrennungen

Berechtigungsreview-Berichte SEPA-Nachweise Funktionstrennungsmatrix
DORA: DORA Art. 9(4) — Zugriffsrechte
MaRisk: BT 2.1.2 — Berechtigungsüberprüfung

IT Operations

BAIT-008

IT-Betrieb und Systemüberwachung

Der IT-Betrieb ist so zu gestalten, dass die Verfügbarkeit, Integrität und Vertraulichkeit der Daten jederzeit gewährleistet ist.

Umsetzung

Monitoring-Systeme, Alarmierung, Eskalationsprozesse, Kapazitätsmanagement

Monitoring-Konzept Betriebshandbuch Kapazitätsberichte
DORA: DORA Art. 9(2) — IKT-Schutzmaßnahmen
MaRisk: BT 3.1 — IT-Betrieb
BAIT-009

Änderungsmanagement

Änderungen an IT-Systemen und -Anwendungen sind zu planen, zu testen, zu dokumentieren und zu genehmigen.

Umsetzung

Change-Management-Prozess, CAB, Notfall-Change-Verfahren

Change-Management-Richtlinie Change-Anträge CAB-Protokolle
DORA: DORA Art. 9(3) — Änderungsmanagement
MaRisk: BT 2.3 — Änderungsmanagement

IT Projects

BAIT-010

IT-Projektmanagement und -Entwicklung

IT-Projekte, einschließlich der Entwicklung und Einführung von IT-Anwendungen, sind angemessen zu planen, zu steuern und zu überwachen.

Umsetzung

Projektmanagement-Methodik, Quality Gates, Testkonzept, Abnahmeverfahren

Projektaufträge Qualitätsberichte Abnahmeprotokolle
DORA: DORA Art. 9(4) — IKT-Entwicklung
MaRisk: AT 4.3.4 — Projekte

IT Outsourcing

BAIT-011

Auslagerung von IT-Dienstleistungen

Die Auslagerung von IT-Dienstleistungen ist zu steuern und zu überwachen. Ein Auslagerungsverzeichnis ist zu führen.

Umsetzung

Auslagerungsstrategie, Due Diligence, Vertragsmanagement, laufende Überwachung

Auslagerungsverzeichnis Service-Level-Berichte Auditberichte
DORA: DORA Art. 28(3) — IKT-Drittdienstleister
MaRisk: AT 9 — Auslagerungen

Critical Applications

BAIT-012

Kritische Anwendungen und Systeme

Kritische Anwendungen sind besonders zu schützen. Die Abhängigkeiten zwischen Geschäftsprozessen und IT-Systemen sind zu dokumentieren.

Umsetzung

Kritikalitätsklassifizierung, Schutzbedarfsfeststellung, Business-Impact-Analyse

Kritikalitätsmatrix Schutzbedarfsfeststellung Abhängigkeitsanalyse
DORA: DORA Art. 7 — Identifikation kritischer Funktionen
MaRisk: BT 2.2 — Kritische Anwendungen

Payment Transactions

BAIT-013

Zahlungsverkehr und Transaktionssicherheit

Die Sicherheit von Zahlungsverkehrssystemen und -transaktionen ist durch geeignete technische und organisatorische Maßnahmen zu gewährleisten.

Umsetzung

Transaktionsmonitoring, Betrugserkennung, starke Kundenauthentifizierung

Sicherheitskonzept Zahlungsverkehr Monitoring-Reports Incident-Statistiken
DORA: DORA Art. 9(5) — Zahlungsverkehrssicherheit
MaRisk: BT 3.2 — Zahlungsverkehr

Emergency Management

BAIT-014

Notfallmanagement und Business Continuity

Für den Ausfall oder die Beeinträchtigung von IT-Systemen ist ein IT-Notfallmanagement einzurichten.

Umsetzung

Notfallvorsorgekonzept, BCM-Prozess, Notfallübungen, Wiederanlaufpläne

Notfallhandbuch BCM-Richtlinie Übungsprotokolle
DORA: DORA Art. 11 — BCM und Wiederherstellung
MaRisk: BTO 1.3 — Notfallmanagement
BAIT-015

Notfalltests und -übungen

Das IT-Notfallmanagement ist regelmäßig zu testen und zu aktualisieren.

Umsetzung

Jährliche Notfallübungen, Tabletop-Exercises, Live-Tests, Lessons Learned

Testkonzept Übungsberichte Lessons-Learned-Dokumentation
DORA: DORA Art. 11(6) — Tests und Übungen
MaRisk: BTO 1.3.2 — Notfalltests

IT Audit

BAIT-016

Interne Revision der IT

Die interne Revision hat die IT-Systeme und -Prozesse regelmäßig zu prüfen.

Umsetzung

Prüfungsplan für IT, risikoorientierte Prüfungen, Nachverfolgung von Feststellungen

IT-Prüfungsplan Prüfungsberichte Status-Tracker für Feststellungen
DORA: DORA Art. 5(5) — IKT-Prüfung
MaRisk: AT 4.4 — Interne Revision
BAIT-017

Dokumentation und Nachvollziehbarkeit

IT-Prozesse, -Systeme und -Änderungen sind angemessen zu dokumentieren. Die Dokumentation ist aktuell zu halten.

Umsetzung

Dokumentenmanagement, CMDB, Konfigurationsmanagement

CMDB-Auszug Dokumentenverzeichnis Konfigurationsmanagement-Richtlinie
DORA: DORA Art. 15 — IKT-Dokumentation
MaRisk: AT 7.3 — Dokumentation

Rechtlicher Hinweis: Diese Inhalte stellen eigenständige Interpretationen dar. Keine Rechtsberatung. Verbindlich sind die BaFin-Verlautbarungen.