BaFin ergänzt das Rundschreiben 10/2018 – Versicherungsaufsichtliche Anforderungen an die IT (VAIT)

In einer Pressemitteilung teilte die BaFin am 20. März 2019 mit, dass das VAIT um ein sogenanntes KRITIS-Modul ergänzt wurde. Die Anpassung betrifft ausschließlich Versicherer, die Betreiber Kritischer Infrastrukturen (KRITIS) nach Maßgabe des § 8a Abs. 3 BSI-Gesetz sind. Im Übrigen erfolgten keine weiteren Änderungen des vorgenannten Rundschreibens. Ein KRITIS-Modul wurde bereits im September 2018 in das Rundschreiben 10/2017 (BA) – Bankaufsichtliche Anforderungen an die IT (BAIT) eingefügt.

Hintergrund

Am 2. Juli 2018 veröffentlichte BaFin das VAIT. Eine Konsultation dieses Rundschreibens fand im Frühjahr desselben Jahres statt. Mit dem Rundschreiben verfolgt die BaFin insbesondere das Ziel, einen flexiblen sowie praxisnahen Regelungsrahmen festzulegen. Das Rundschreiben gibt Hinweise vor, wie die Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG) auszulegen sind, sofern sie die technisch-organisatorische Ausstattung des Unternehmens betreffen. Der Anwendungsbereich umfasst alle Versicherungsunternehmen sowie Pensionsfonds, die von der BaFin beaufsichtigt werden, mit Ausnahme von Versicherungs-Zweckgesellschaften im Sinne des § 168 VAG und der Sicherungsfonds im Sinne des § 223 VAG.

Die Regelungstiefe sowie der Regelungsumfang im Rundschreiben sind nicht abschließend. Zudem ist das Rundschreiben modular aufgebaut, sodass die BaFin das Rundschreiben flexibel anpassen kann, um aktuellen Entwicklungen Rechnung zu tragen. Bei der Umsetzung der Anforderungen ist das Proportionalitätsprinzip entscheidend, d.h. es soll auf das individuelle Risikoprofil eines Unternehmens abgestellt werden. Im Übrigen bleiben die Anforderungen aus den „Mindestanforderungen an die Geschäftsorganisation“ (MaGo) für die in den Anwendungsbereich von Solvency II fallenden Unternehmen unberührt.

Das Rundschreiben ist in folgende Abschnitte untergliedert:

  1. IT-Strategie,
  2. IT-Governance,
  3. Informationsrisikomanagement,
  4. Informationssicherheitsmanagement,
  5. Benutzerberechtigungsmanagement,
  6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen),
  7. IT-Betrieb (inkl. Datensicherung),
  8. Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen; isolierter Bezug von Hard-  und/oder Software,
  9. Kritische Infrastrukturen.

Mit dem Rundschreiben soll eine konsistente Anwendung der Vorschriften gegenüber allen Unternehmen gewährleistet werden. Die unter den Anwendungsbereich fallenden Unternehmen bleiben neben den Vorgaben aus dem VAIT dazu verpflichtet, grundsätzlich die aktuellsten IT-Standards und den neuesten Stand der Technik zu beachten. Bereits am 06. November 2017 veröffentlichte die BaFin das BAIT, während die BaFin am 08. April 2019 eine Konsultation zum Entwurf des Rundschreibens „Kapitalverwaltungsaufsichtliche Anforderungen an die IT “ (KAIT) gestartet hat. Inhaltlich sind BAIT, VAIT und KAIT in ihrer Struktur vergleichbar

Cloud-Computing, Outsourcing und IT-Aufsicht

In Zeiten der Digitalisierung sind Cloud-Dienste nicht mehr wegzudenken. Gerade für Unternehmen, die innovative Finanz-Produkte anbieten wollen, stellt sich zu Geschäftsbeginn oder bei Erweiterung des Geschäftsmodells die Frage, ob sie eigene traditionelle IT-Systeme aufbauen oder stattdessen IT-Ressourcen aus der Cloud nutzen wollen. Cloud-Computing gibt es in vielen Formen und Größen: on demand oder mit festem Volumen, mit verschiedenen Zugangsoptionen (public, private oder hybrid), als Infrastructure as a service (IaaS), Platform as a service (PaaS) oder Software as a service (SaaS).

Bei IaaS werden Server, Rechenleistung, Speicher und Netzwerkkapazitäten eines Cloud-Anbieters in Anspruch genommen. In der Regel hat bei dieser Variante der Anwender die Kontrolle über Betriebssysteme und Anwendungen. PasS stellt üblicherweise ein Programmiermodell und Entwicklerwerkzeuge zur Verfügung, um Cloud-basierte Anwendungen zu erstellen und zu nutzen, die Infrastruktur ist im Paket inbegriffen. Als dritte und weitreichendste Nutzung externer IT werden bei der SaaS-Lösung Softwareanwendungen über das Internet bereitgestellt, wobei die Anwendungen samt dazugehöriger Infrastruktur von den Cloud-Anbietern gehostet und verwaltet werden.

Da die IT-Aufsicht ein Schwerpunktbereich in der Bankenaufsicht 2018 ist, zeigen wir im Folgenden, welcher regulatorische Rahmen bei der Nutzung von Cloud-Computing zu beachten ist und ob es hierfür eigene, über die altbekannten Auslagerungsvorgaben hinausgehende Anforderungen gibt. Es gibt zwei Regulierungsbereiche, die bei der Nutzung von Cloud-Diensten wesentlich sind: Das ist zum einen das Thema Auslagerung und zum anderen die IT-Sicherheit.

IT-Sicherheit

Wie wir bereits in unserem letzten Blogbeitrag zur Finanzaufsicht in Zeiten der Digitalisierung festgestellt haben, sind die allgemeinen Vorgaben der Mindestanforderungen an das Risikomanagement der Banken (MaRisk) und Bankaufsichtlichen Anforderungen an die IT (BAIT) die Grundlagen der Verwaltungspraxis der BaFin im Rahmen der IT-Aufsicht. Diese prinzipienbasierten Vorgaben gelten selbstverständlich auch dann, wenn Institute nicht ihre eigene IT-Infrastruktur aufbauen, sondern Cloud-basierte IT-Infrastruktur einkaufen. Denn auch dann muss das Institut gewährleisten, dass seine IT sicher ist und z.B. die Kunden- und Transaktionsdaten verlässlich und sicher verwahrt und genutzt werden.

Erwähnenswert sind hier jedoch auch die Kriterien zur Beurteilung der Informationssicherheit von Cloud-Diensten, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem Anforderungskatalog Cloud Computing (C5) veröffentlicht hat. Der Anforderungskatalog richtet sich in erster Linie zwar an professionelle Cloud-Anbieter, er findet jedoch auch Berücksichtigung im Rahmen der Prüfung der Institute. Die Prüfer, die auch die Einhaltung der aufsichtsrechtlichen Vorgaben überprüfen, können den Anforderungskatalog des BSI als Prüfungsmaßstab heranziehen. Bei dem Anforderungskatalog selbst handelt es sich nicht um bindende Vorgaben, sondern um Empfehlungen. Die festgeschriebenen Anforderungen stellen eine Referenz des BSI für sicheres Cloud-Computing dar. Daher ist es aus Sicht der Institute wichtig, die Empfehlungen des BSI zumindest zu kennen. Wenn ein Institut mit einem Cloud-Anbieter von dem Anforderungskatalog des BSI abweichende Vereinbarungen treffen sollte, sollte das Institut gegenüber den Prüfern und der Aufsicht erklären können, weshalb der gewählte Dienst dennoch ein hohes Maß an IT-Sicherheit vorweist.

Outsourcing

Ein besonders wichtiges Thema bei der Nutzung von Cloud-Computing ist die Auslagerung von IT-Dienstleistungen. Auslagerungen müssen nach wie vor die Anforderungen der MaRisk und der BAIT erfüllen, d.h. unter anderem, eine eigene Risikoanalyse muss Risikogehalt und Wesentlichkeit einer Auslagerung feststellen, es sind gewisse Anforderungen an die vertraglichen Regelungen mit den Cloud-Dienstleistern zu erfüllen, und es sind intern klare Verantwortlichkeiten für die Steuerung und Überwachung der ausgelagerten Tätigkeiten festzulegen.

Schließlich ist zu betonen, dass die genaue Kenntnis der bezogenen Cloud-Dienste grundlegend ist für den von den Instituten selbst gewählte Umfang des Cloud-Computings. Ein solcher Satz mag verwundern, in der Praxis kommt es jedoch immer wieder vor, dass die Institute trotz ihrer Überwachungspflicht nicht immer alle Details ihrer IT-Infrastruktur kennen. Dem wirken die neuen europäischen Vorgaben zur Auslagerung an Cloud-Anbieter nun explizit entgegen.

Ab 1. Juli 2018 gelten die EBA-Empfehlungen zur Auslagerung an Cloud-Anbieter, die Ende März 2018 veröffentlicht wurden. Die Empfehlungen der EBA binden die nationalen Aufsichtsbehörden und geben so indirekt den europäischen Aufsichtsstandard in Bezug auf Cloud-Computing vor. Neu ist, dass die auslagernden Institute ab 1. Juli 2018 ihre zuständigen Aufsichtsbehörden über wesentliche Tätigkeiten, die an Cloud-Service-Provider ausgelagert werden, angemessen und – wenn man sich die neuen Vorgaben genauer anschaut – nun auch detailliert informieren müssen. So sind künftig für Institute eine Beschreibung der Tätigkeiten und Daten, die ausgelagert werden sollen (einschließlich des Standorts der Datenspeicherung) sowie weitere Vertragsdetails mitzuteilen. Bislang waren solche Informationen intern vorzuhalten und wurden im Rahmen der jährlichen aufsichtlichen Prüfung berücksichtigt, detaillierte Vorgaben zur aktiven Vorlage bei der Aufsicht gab es jedoch nicht. Die EBA-Empfehlungen sehen nun auch explizit vor, dass das auslagernde Institut ein stets aktuelles Informationsverzeichnis mit allen wesentlichen und nicht wesentlichen Tätigkeiten führt, die auf Instituts- oder Gruppenebene an Cloud-Anbieter übertragen wurden. Ein solches Verzeichnis muss z.B. Aufschluss darüber geben, ob der genutzte Cloud-Anbieter ersetzbar wäre und wann die letzte Risikobewertung der Auslagerung seitens des Instituts erfolgte. Weitere zentrale Punkte in dem EBA-Papier sind die vertragliche Umsetzung von Zugangs- und Prüfungsrechten sowohl für die Institute selbst als auch für die Aufsicht, sowie die Sicherheit von Daten und Systemen, die im Kern aber keine Neuerungen für die deutsche Aufsichtspraxis bergen.

Zusammenfassend lässt sich feststellen, dass die Nutzung von Cloud-Lösungen aufsichtsrechtlich kein Selbstläufer ist, sondern eine genaue Analyse, Kenntnis und Überwachung des auslagernden Instituts voraussetzt.

Finanzaufsicht in Zeiten der Digitalisierung

Die Digitalisierung der Bankenwelt ist zur Zeit ein zentrales Thema. Digitalisierung ist ein positiv besetzter Begriff, der neue Geschäftsmodelle zu versprechen scheint und oft verwendet wird als Gegensatz zum Angebot traditioneller Banken. Neue Finanzprodukte von FinTechs, die innovativ oder gar disruptiv sind, zeigen neue Möglichkeiten einer Digitalisierung im Finanzmarkt. Auch soll durch die Auswertung von Big Data und die Verwendung von Algorithmen und künstlicher Intelligenz die Benutzerfreundlichkeit erhöht und die Kundenerfahrung verbessert werden – alles digital.

Gleichzeitig treten wichtige neue Fragen des Verbraucherschutzes, der Daten- und Cybersicherheit auf, die die Digitalisierung womöglich bremsen können und die Aufsicht auf den Plan rufen. Aber auch die Anbieter selbst betonen immer wieder, dass Datenschutz und Cybersecurity für alle Marktteilnehmer essentiell sind, um das Vertrauen der Kunden zu erlangen und zu halten.

Im Folgenden zeigen wir auf, welche Regelungen es im Zusammenhang mit IT-Sicherheit bereits gibt, wie die Aufsicht damit umgeht und ob der aufsichtsrechtliche Rahmen genug Raum lässt für die Digitalisierung bestehender und die Entwicklung neuer (digitaler) Geschäftsmodelle.

Wir betrachten zunächst, wie die BaFin mit der Digitalisierung der Bankenwelt umgeht und wie sie darauf reagiert. Hierzu gibt die Darstellung der Drei-Säulen-Strategie der BaFin im Umgang mit der Digitalisierung Aufschluss, die BaFin-Präsident Felix Hufeld am 10. April auf der BaFin-Tech in Berlin vorgestellt hat. Danach werden in der ersten Säule „Aufsicht und Regulierung“ die neuen Geschäftsmodelle und die Veränderungen der Wertschöpfungsstrukturen anhand des bestehenden Aufsichtsrahmens geprüft, während die zweite Säule speziell die IT-Aufsicht zum Gegenstand hat und die IT-Sicherheit der Unternehmen im laufenden Geschäftsbetrieb überwacht. In der dritten Säule beschäftigt sich die BaFin mit ihren eigenen Prozessen, um eine wirksame Aufsicht auch in Bezug auf innovative Strukturen und Geschäftsmodelle gewährleisten zu können. Das zeigt, dass die BaFin vom Zeitpunkt der ersten Beurteilung von Geschäftsmodellen an laufend die IT-Prozesse von Banken und Finanzdienstleistern überwacht, und in Ergänzung dazu auch selbst dazulernt. Die Darstellung von Herrn Hufeld passt zu den am 9. Mai 2018 veröffentlichten Schwerpunkten der Bankenaufsicht  für das Jahr 2018. Die Aufsicht bekennt sich darin explizit dazu, sich u.a. auf fehlende Angemessenheit und Sicherheit der IT-Systeme der Banken konzentrieren zu wollen.

Was heißt das konkret? Wir wollen im Folgenden einen Blick auf drei aufsichtsrechtliche Themen werfen, die vor dem Hintergrund der Digitalisierung und als Rahmen der IT-Aufsicht ein besonderes Augenmerk verdienen. Diese legen die Verwaltungspraxis der BaFin offen, die auch bei der Prüfung und Beaufsichtigung von neuen, innovativen Geschäftsmodellen berücksichtigt werden.

Das erste Thema sind die Mindestanforderungen an das Risikomanagement der Banken (MaRisk), die zuletzt im Oktober 2017 überarbeitet wurden. Darin enthalten sind nach wie vor allgemeine Anforderungen an IT-Systeme und die dazugehörigen Prozesse und Notfallkonzepte. Neu eingefügt wurde mit der letzten Novelle ein Abschnitt zu den IT-Risiken, die fortan noch expliziter überwacht und gesteuert werden müssen. Überwachungs- und Steuerungsprozesse müssen IT-Risikokriterien festlegen, IT-Risiken identifizieren sowie den Schutzbedarf und entsprechende Maßnahmen zur Risikobehandlung und Risikominderung festlegen. Die MaRisk als Teil der prinzipienbasierten Aufsicht der BaFin gibt hier nur grobe Anforderungen vor und lässt den einzelnen Instituten offen, wie sie diese Anforderungen individuell auf das jeweilige Geschäftsmodell passend umsetzen.

Zweitens sind die von der BaFin im November 2017 erlassenen Bankaufsichtlichen Anforderungen an die IT (BAIT) zu nennen, die die Vorgaben der MaRisk für den IT-Bereich konkretisieren. Die BAIT macht etwa Vorgaben zu IT-Strategien, zur IT-Governance, zum IT-Risikomanagement und zum IT-Sicherheitsmanagement. Es finden sich hier z.B. Vorgaben, die verlangen, dass ein Institut insbesondere das Informationsrisikomanagement, das Informationssicherheitsmanagement, den IT-Betrieb und die Anwendungsentwicklung quantitativ und qualitativ angemessen mit Personal auszustatten hat. Oder dass die Anforderungen eines Instituts zur Umsetzung der Schutzziele in den Schutzbedarfskategorien im Rahmen des IT-Risikomanagements festzulegen und in geeigneter Form in einem Sollmaßnahmenkatalog zu dokumentieren sind. Die BAIT weist die Verantwortung für die von ihr geregelten Bereiche mit IT-Bezug noch einmal explizit der Geschäftsleitung zu. Doch auch wenn auf 20 Seiten Vorgaben verschriftlicht werden, gilt dennoch, dass auch die BAIT wie die MaRisk lediglich weitere Prinzipien vorgibt, die von den Instituten ausgestaltet werden können, um ihr bestehendes Geschäftsmodell und auch neue, innovative Geschäftsmodelle sachgerecht und sicher abzubilden.

Ein dritter Punkt, der Erwähnung verdient, und zeigt, welchen Stellenwert der fachkundige Umgang mit IT-Themen in Banken für die BaFin hat: Die Bestellung von IT-Spezialisten zu Geschäftsleitern von Banken und anderen regulierten Instituten wird in der Verwaltungspraxis der BaFin derzeit begünstigt. Um das IT-Know-how auch in der Geschäftsleitung zu fördern, kann die BaFin im Einzelfall bei der Prüfung der fachlichen Eignung eines Geschäftsleiterkandidaten mit IT-Hintergrund für eine Bank oder ein Finanzinstitut entscheiden, dass eine praktische Vorerfahrung in der Führungsebene einer vergleichbaren Bank oder eines vergleichbaren Instituts von sechs Monaten (statt der üblichen drei Jahre) ausreichen.

Diese drei Beispiele zeigen, dass der bestehende Aufsichtsrahmen in Zeiten der Digitalisierung Bestand haben kann, denn aufgrund der prinzipienorientierten Aufsichtsvorgaben sind auch die IT-Innovationen in der Produktpalette von neuen Marktakteuren abgedeckt.