BAIT und MaRisk: Belastungsprobe fürs IT-Outsourcing

IT-Dienstleister benötigen spezielles Branchen-Know-how

Abonnieren Sie den kostenlosen Bank Blog Newsletter

In der Banken-IT geht nichts ohne Regeln und Richtlinien. Zum Prüfstein wird damit auch die Auslagerung von IT-Services: Outsourcing-Strategien unterliegen strengen gesetzlichen Vorgaben, die von IT-Dienstleistern spezielles Branchen-Know-how verlangen.

Regulatorische Vorgaben bei der Auslagerung von IT-Services in Banken

Die Auslagerung von IT-Services in Banken und Sparkassen unterliegt strengen regulatorischen Vorgaben.

Partner des Bank Blogs

F24 ist Partner des Bank Blogs

Regularien wie die Bankaufsichtlichen Anforderungen an die IT (BAIT) oder Mindestanforderungen an das Risikomanagement (MaRisk) erfordern von IT-Dienstleistern ein spezielles Branchen-Know-how. Hinzu kommen besonders hohe Anforderungen an die Sicherheit und Verfügbarkeit von IT-Services.

Und auch in technischer Hinsicht gelten im Bankenwesen andere Voraussetzungen als in anderen Branchen: Das gilt vor allem für die Bereiche Schwachstellenmanagement, Perimeterschutz, Netzwerksegmentierung, Penetrationstests, simulierte Angriffe und Verschlüsselung von Daten.

BAIT-Vorgaben: Outsourcing unter erschwerten Bedingungen

Branchenspezifische Expertise steht in der Regel eher selten im Mittelpunkt, wenn es in Unternehmen um die Auslagerung von IT-Services und -Infrastruktur geht. Anders sieht es beim Thema Outsourcing in Banken aus. Die technischen Infrastrukturen von Organisationen aus der Finanzindustrie, vor allem aber die vielen gesetzlichen Bestimmungen und Regularien stellen für Datacenter eine besondere Herausforderung dar.

Dazu gehören in erster Linie die „Bankaufsichtlichen Anforderungen an die IT“ (BAIT): Sie fordern Finanzinstitute dazu auf, eine nachhaltige IT-Strategie mit konkreten Zielen und Maßnahmen zu deren Umsetzung festzulegen. Und das hat es in sich, weil nicht nur die strategische Konzeption der IT-Architektur und -Abläufe davon betroffen sind. Auch die personellen Zuständigkeiten in der Organisation, zugrundeliegende Standards, sogar das IT-Notfallmanagement sowie die im Betrieb verwendeten Komponenten unterliegen im Bankenwesen einer genauen Dokumentationspflicht. Hinzu kommt das Risikomanagement als Kernkomponente der BAIT. Es umfasst die Implementierung von Überwachungs- und Steuerungsprozessen, um die im Bankenumfeld besonders wichtigen Aspekte Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit von verarbeiteten Daten sicherstellen zu können. Ebenso müssen Finanzdienstleister regelmäßig ihren aktuellen Schutzbedarf ermitteln und einen anhaltenden Überblick über die Bestandteile des Informationsverbunds gewährleisten.

Doch auch ganz konkrete technische Maßnahmen zur Absicherung digitaler Arbeitsabläufe fallen in die BAIT. Dazu zählen: das Schwachstellenmanagement, der Perimeterschutz, die Netzwerksegmentierung, Penetrationstests, simulierte Angriffe und die Verschlüsselung von Daten. Um relevante Sicherheitsvorfälle erkennen zu können, sind entsprechende Kriterien zu definieren, etwa ein Anstieg nicht autorisierter Zugriffsversuche. Ebenso wichtig ist der Aspekt „Fremdbezug von IT-Dienstleistungen“ innerhalb der BAIT. Er umfasst die Anforderungen an den Umgang mit dem Einsatz externer Software und Services wie Cloud-Diensten oder Backup-Lösungen. Das Notfallmanagement innerhalb der BAIT wiederum sorgt dafür, dass sowohl die Wiederherstellung der vollen Funktion als auch die Geschäftsfortführung während Notfällen abgedeckt ist. Dazu muss erfasst werden, welche Abhängigkeiten es in den IT-Systemen und in der Zusammenarbeit mit externen Dienstleistern gibt, und welche Ressourcen notwendig sind, um eine eingeschränkte Fortführung zeitkritischer Geschäftsprozesse sicherzustellen.

BAIT: Hohe Messlatte für IT-Dienstleister

Mit den hohen Anforderungen der BAIT stehen folglich auch Rechenzentrumsdienstleister in der Pflicht, die Vorgaben umsetzen zu müssen. Gleiches gilt für Mindestanforderungen an das Risikomanagement (MaRisk). Unabhängig davon, ob es um Colocation, Managed Services oder Cloud-Infrastrukturen geht, ist hier schon aus Datenschutzgründen der Standort Deutschland eine essenzielle Voraussetzung.

Aber auch ein bestätigtes IT-Sicherheitsniveau durch Zertifizierungsinstanzen wie dem BSI oder TÜV geben Gewissheit darüber, dass Betreiber von Hochverfügbarkeitsrechenzentren wissen, wovon sie sprechen.

Dazu gehören neben der internationalen Security-Zertifizierung ISO-27001 für Informationssicherheitsmanagementsysteme (ISMS) vor allem die Zertifizierung nach dem TSI-Standard Level 4 – ein Level, den neben noris network kaum weitere deutsche Anbieter erreicht haben. Um auch für den Katastrophenfall eine Verfügbarkeit und Absicherung garantieren zu können, sollten Datacenter-Betreiber zudem die so genannte Georedundanz anbieten können: Rechenzentrum müssen für deren Einhaltung mindestens 100 Kilometer voneinander entfernt stehen. So verringert sich die Gefahr, dass Naturkatastrophen größere Schäden anrichten können, weil im Fall der Fälle das zweite Datacenter bei einem Totalausfall des ersten den gesamten IT-Betrieb übernimmt.

SIEM im SOC: Sicherheit per Fremdbezug

Bewährt hat sich für Finanzdienstleister zudem das Security Information and Event Management (SIEM) in Form eines Security Operation Centers (SOC). SIEM im SOC hat für Unternehmen aus der Finanzdienstleistungsbranche gleich mehrere Vorteile. Sie erhalten damit die Möglichkeit, in Echtzeit auf Bedrohungen zu reagieren, hohe Anfangsinvestitionen und Folgekosten entfallen. Stattdessen werden die Herausforderungen in Sachen Sicherheit von versierten Spezialisten von noris network gelöst.

Security Information and Event Management (SIEM) im Überblick

SIEM vereint unterschiedliche IT-Komponenten in einem gesamtheitlichen Sicherheitskonzept.

Zu den weiteren Vorteilen gehören kürzere Projektlaufzeiten, weniger Fehlerrisiken und ein kritischer Blick von außen. Das SOC von noris network umfasst ein Expertenteam, das Cybersicherheits-Incidents 365 Tage im Jahr und rund um die Uhr überwacht, erkennt, analysiert und behebt. Für Finanzdienstleister heißt das: kompromisslose Security rund um die Uhr.

Beim Outsourcing den Dienstleister sorgfältig auswählen

Die Auslagerung von IT-Services steht im Mittelpunkt vieler Digitalisierungsstrategien. Das gilt auch für das Bankenwesen. Doch die besonderen Umstände mit gesetzlichen Vorgaben erfordern auch ein besonderes Umgehen mit dem Thema Outsourcing. Das beginnt bereits mit der Wahl des Dienstleisters. Er muss neben technischem Know-how und einem hohen Sicherheitsniveau auch die Vorgaben durch die BAIT und MaRisk verinnerlicht haben.

Über den Autor

Ina Märzluft

Ina Märzluft ist Head of Governance & Standards bei der noris network AG. Zuvor war Sie u.a. Senior Counsultant bei FCH Consult und Bereichsleiterin Unternehmenssteuerung bei der Sopra Financial Technology GmbH.

Vielen Dank fürs Teilen und Weiterempfehlen


Mit dem kostenlosen Bank Blog Newsletter immer informiert bleiben:

Anzeige

Get Abstract: Zusammenfassungen interessanter Businessbücher

Ein Kommentar

  1. Avatar
    Jürgen Lang am

    Eine gute Zusammenfassung auf was Banken bei der Cloud Nutzung und dem Outsourcing heute alles achten müssen.

Bank Blog Newsletter abonnieren

Bank Blog Newsletter abonnieren