BAIT / VAIT / KAIT / ZAIT

BAIT / VAIT / KAIT / ZAIT

An dieser Stelle finden Sie regelmäßige Updates aus unser Beratungspraxis: Best Practice und aktuelle Informationen zur BaFin Novellierung der IT Security Assessments. 

 

Compliance Prüfungen von Cloud Services aktualisieren

Information Security Officier, deren Unternehmen Cloud Produkte nutzen, sollten Service-Pakete zur Absicherung von Cloud Umgebungen nicht nur aus Kostengrüden genau prüfen – Ziel sollte es ebenso sein, die Compliance Controls des Cloud Providers mit den „Aufsichtlichen Anforderungen an die IT“ aller BaFin Assessments abzugleichen.

Sinnvoll ist ein Regulation Mapping, das eine schnelle, solide Bewertung aller Anforderungen ermöglicht. Inhaltlich stellt ISMS Monitoring hierfür Technical Security Baselines sowie Process Discribtions mit Quellenverweise auf das seit 2022 neue Kapitel „5.23 Information security for use of cloud services“ der ISO/IEC 27002:2022 zur Verfügung.

Um in KRITIS Audits gut dazustehen, sollte zudem der BSI Cloud Katalog C5:2020 in die Betrachtung mit einfließen, um Risikobewertungen für Cloud Anwendungen vollständig  dokumentiert vorzuweisen. Digitale Checklisten reduzieren dazu Arbeitsaufwände, die immer mit dem Erheben von Informationen von verschiedenen Logging Quellen verbunden sind.

 

Digital Operational Resilience Act (DORA) 

Der Digital Operational Resilience Act (DORA) greift den Grundgedanken der Resilienz auf, die Widerstandsfähigkeit der IT von Finanzinstituten und deren IT-Dienstleistern zu stärken und einen einheitlichen europaweit geltenden Rahmen zu schaffen. 

Mit welchen Anforderungen DORA künftig Finanzinstitute konfrontiert, zeigt folgende Auflistung: 

  1. Governance zur Schaffung der IT-Resilienz 
  2. IT-Risikomanagement
  3. Meldepflichten von IT-Vorfällen
  4. Überprüfung der IT-Resilienz
  5. Umgang mit Risiken von IT-Drittanbietern
  6. Informationsaustausch zu Cyberbedrohungen zwischen Finanzunternehmen 

Die Anforderungen des für Mai 2022 erwartenden DORA-Assessments lassen sich klar aus der ISO:IEC 27001 vorhersagen. Es empfiehlt sich also eine rechtzeitige Stärkung der IT Governance und IT Infrastruktur mit anlassbezogenen Managementreviews, um eine geeignete Steuerung, Kontrolle und Überwachung der IT-Resilienz sicherzustellen und bei Prüfung durch BaFin jederzeit nachweisen zu können. 

VAIT

Anpassungen im International Financial Reporting Standard (IFRS 17)

Die Änderung an IFRS 17 („narrow scope amendment“) führt die Möglichkeit ein, bei Erfüllung bestimmter Voraussetzungen einen sog. „classification overlay approach“ anzuwenden. Damit können die Vergleichsinformationen zu den Finanzinstrumenten im Jahr vor der erstmaligen Anwendung des IFRS 17 aussagekräftiger gemacht werden.

„Eine der zentralen Änderungen des IFRS 17 ist die Einführung eines neuen Bewertungsmodells. Um einen einzelnen Vertrag zu bewerten, benötigt man zunächst einen sog. Erfüllungswert (Fulfilment Value). Dieser wird mit dem sog. Bausteinansatz (Building Block Approach) auf Basis der einzelvertraglichen Cashflows ermittelt. Neben der Bestimmung der Zahlungsströme (Cashflows) und des Zeitwerts des Geldes (Diskontierung) muss eine risikobedingte Anpassung (Risk Adjustment) für das nicht-finanzielle Risiko vorgenommen werden.

Hinzu kommt als viertes Element die sog. vertragliche Servicemarge (Contractual Service Margin – kurz CSM). Die CSM wird nicht einzelvertraglich, sondern für Vertragsgruppen bestimmt. Dazu ist eine zweistufige Kollektivbildung, das heißt Klassifikation, vorzunehmen. Hierfür sind die einzelnen Verträge in der Bestandsführung entsprechend zu kennzeichnen. Diese Portfolio-/Gruppenbildung der Verträge darf nach dem Erstansatz nicht mehr geändert werden. Die Vertragsgruppen sollten frühzeitig eingeführt werden, da nachträgliche Bestandsanreicherungen mit zunehmender Historie komplexer werden.

Mit dem Variable Fee Approach (VFA) wurden zudem spezielle Regelungen für Verträge mit direkter Überschussbeteiligung eingeführt, die den für das deutsche Lebensversicherungsgeschäft typischen Besonderheiten Rechnung tragen. Damit soll sichergestellt werden, dass bei diesen Verträgen keine unangemessenen Ergebnisschwankungen auftreten.

Über all das hinaus sieht der neue Standard die Trennung von Versicherungs- und Investmentkomponente eines Versicherungsvertrages vor. Als Investmentkomponente werden dabei diejenigen Beträge verstanden, die das Versicherungsunternehmen dem Kunden “unter allen Umständen” zurückzuzahlen hat, unabhängig davon, ob ein versichertes Ereignis eingetreten ist oder nicht. Gemäß IFRS 17 ist diese Investmentkomponente von der Versicherungskomponente in der Gewinn- und Verlustrechnung sowie im Anhang zu trennen und daher aus Leistungszahlen herauszurechnen.“ (Quelle: msg-life)

Die neuen Abrechnungsmodi machen Anpassungen im SCM und die Absicherung weiterer interner IT Abläufe nötig, die die jeweiligen Finanzprodukte darstellen.

BAIT 

BaFin-Sonderprüfungen gemäß §44 KWG

Online-Banking ist längst Daily Business, Quantenrechner, Blockchain, Bitcoin sind es morgen – der Zahlungsverkehr entwickelt sich rasant und so verlangt jede Neuentwicklung, das Thema IT Security neu zu überdenken. Daher ist es kaum verwunderlich, dass mit BAIT-Assessment die BaFin-Sonderprüfungen gemäß §44 KWG überproportional zunehmen.

Die Sonderprüfungen sind ein sinnvolles Tool, heraus zu finden, wo man in Sachen IT Sec steht. Die Inhalte des § 44 KWG umfassen: Auskünfte, Vorlage von Unterlagen, Umfang der Rechte, Prüfungsrecht, Betreten und Besichtigen der Geschäftsräume, Duldungspflicht, Prüfungsverfahren, zu prüfende Unternehmen sowie Zwangsmaßnahmen.

Anlass zu Sonder-Prüfungen können Findings aus den Jahresabschlüssen, besondere Vorkommnisse oder Aufsichtsgespräche geben. Nach § 44 Absatz 1 Satz 2 KWG können Routineprüfungen ohne einen besonderen Grund durchgeführt werden. Um die Auferlegung verschärfter Berichtspflichten zu vermeiden, sind die Institute gehalten, sich gründlich auf die Sonderprüfung vorzubereiten.

Ratsam ist es, anwendbare Öffnungsklauseln und Prozessdokumentation zu prüfen, ob wesentliche Prämissen und Entscheidungen angemessen in der Dokumentation berücksichtigt wurden. Im nächsten Schritt gilt es, einen eigenen Soll-Ist-Abgleich vorzunehmen, indem geprüft wird, ob der IT Security Dokumentenstand in der Praxis gelebt wird. An dieser Stelle sollten Sie nicht zögern, eine unabhängige Meinung oder externes Audit einzuholen, dass Ihnen folgende Mehrwerte bieten sollte:

• Erfahrungsberichte aus verschiedenen Schwerpunktprüfungen vergleichend vorstellen
• die Erwartungshaltung an die Prüfer vermitteln
• Mitarbeiterinterviews gut vorbereiten
• auf häufige Fehler hinweisen und Möglichkeiten der Vermeidung trainieren.

VAIT

Im Rahmen der BaFin Novellierung stehen die Schlagworte: Digital Operational Resilience Act (DORA) und EIOPA-Leitlinien über Governance der Informations- und Kommunikationstechnologien (IKT) im Mittelpunkt der Anpassungen. Zudem umfasst das überarbeitete VAIT-Assessment beinhaltet die beiden neuen Kapitel „Operative Informationssicherheit“ und „IT-Notfallmanagement“.  Die IT-Sicherheit der Versichererungsunternehmen wird somit ganzheitlicher betrachtet, ein ISMS-Ansatz nach BSI-GS oder ISO:IEC 27001 ist erforderlich.

Neuerungen/ Konkretisierungen im Kapitel 5 „OP-IS“ und Kapitel 10 „Incident Management“

» Implementierung operativer Sicherheitsmaßnahmen nach Anforderungen der Gefährdungslage des Informationsverbundes
» Definition eines angemessenen Portfolios von Regeln zur Identifizierung sicherheitsrelevanter Ereignisse
» Sicherstellung einer zeitnahem Analyse von sicherheitsrelevanten Ereignissen + ihre Auswertung mit Reaktion im Maßnahmenkatalog des Risiko Management
» Regelmäßige interne und externe Audits der IT-Systeme (mindestens 1x jährlich) -> Erstellung eines jährlichen Auditplanes durch CISO/ISO

» Erstellung eines IT-Notfallkonzepts und Durchführung von Auswirkungsanalysen und entsprechender Risikoanalyse identifizierter IT-Prozesse, Systeme etc.
» Erstellung von Notfallplänen für alle IT-Systeme (unter Berücksichtigung der IT-Dienstleister)
» Überprüfung der Wirksamkeit der IT-Notfallpläne durch regelmäßige und anlassbezogene Notfalltests

KAIT

Inwieweit die neuen Anforderungen konkreten Handlungsbedarf in Kapitalgesellschaften hervorrufen, hängt maßgeblich vom Reifegrad ihrer implementierten IT-Risiko- und IT Sicherheitsmaßnahmen ab. Die obligatorische Berücksichtigung von IT-Dienstleistern im Informationsverbund des Unternehmens in diesem Umfang dürfte für viele neu sein.

Aktuell werden IS- und IT-Prozesse oft getrennt voneinander betrachtet. Im Rahmen des novellierten Assessments werden nun IT-Dienstleister in Informationsverbund sowie Schutzbedarfsfeststellungen enger eingebunden. Praktisch übersetzt heißt das: alle IT-Outsourcing-Prozesse sollten ab Q4 2021 einer Revision unterzogen werden.

Thema: Human Firewall. Die Mehrzahl aller Hackerangriffe nutzt menschliche Schwächen. Spear Phishing, CEO Fraud, Smishing sind aggressive Muster gegen die es Awareness aufzubauen gilt. Mitarbeiter und Mitarbeiterinnen müssen kontinuierlich für Themen der IT Security sensibilisiert und geschult werden.

Eine Dokumentation über Schulungen in IT Security und Datenschutz auf aktuellem Jahresstand ist daher nachzuweisen. Ziel ist es, das Bewusstsein für den Schutzbedarf der Informationen und für die persönliche Verantwortung für das eigene Handeln zu schärfen. Um dies sicherzustellen, verlangt die BaFin zukünftig, ein kontinuierliches und angemessenes Sensibilisierungs- und Schulungsprogramm für Informationssicherheit zu etablieren.

ZAIT

Mitte August 2021 wurde die finale Version der „Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten“ (ZAIT) veröffentlicht. Die Anforderungen gelten für alle Institute im Sinne von §1 Absatz 3 des Zahlungsdiensteaufsichtsgesetz (ZAG) und ergänzen damit die Familie der Rundschreiben der BaFin. Inhaltlich setzt sich die ZAIT im Detail teilweise signifikant von der ebenfalls in einer geänderten Version veröffentlichten BAIT ab, auch wenn die Anforderungen im Inhaltsverzeichnis nahezu deckungsgleich sind.

Die Operationalisierung der Inhalte der ZAIT werden in Abhängigkeit des Prüfungszeitraums im Rahmen der internen Revision, von Jahresabschluss- und Sonderprüfungen sowie anlassunabhängiger Prüfungen entsprechend auditiert. So werden Zahlungsinstitute und E-Geld-Institute verpflichtet, die Ausgestaltung ihrer IT auf Standards wie den Grundschutz des BSI, die ISO/IEC 27001 oder branchenspezifisch auf den Payment Card Industry Data Security Standard (PCI-DSS) abzustellen.

Sehr konkret nennt die ZAIT Anforderungen an die an eine an der Geschäftsstrategie konsistent ausgerichtete IT-Strategie. Diese gelten auch für selbst betriebene bzw. entwickelte Hard- und Softwarekomponenten, die strategische Einordnung extern bezogener IT-Dienstleistungen (Abhängigkeit von Dritten) sowie das jeweilige Zusammenarbeitsmodell mit IT-Dienstleistern. Letzterem Punkt widmet sich ein separates Kapitel der ZAIT im Detail.

Die gute Nachricht: das ZAIT-Assessment läßt sich dennoch am klarsten von allen BaFin-Anforderungen auf Ihren Business Case abstimmen. Hierzu sind GAP-Analyse des ISMS und das Benennen des Scope oft die ersten Beratungsschritte. Gerne führen wir mit Ihnen dazu ein kostenfreies Informationsgespräch.