Skip to main content

Neue BAIT 2021: Was ändert sich?

Neue BAIT 2021: Was ändert sich? Die Aufsicht hat das Rundschreiben „Bankaufsichtliche Anforderungen an die IT“ (BAIT) in der Fassung vom 14.09.2018 umfassend auf notwendige Ergänzungen aufgrund der ICT-Guidelines überprüft. Damit sollen aktuelle Risiken für die Institute, die im Zusammenhang mit der Informationsverarbeitung entstehen können, besser berücksichtigt werden. Mit den neuen BAIT 2021 wird das Kapitel 5 Operative IT-Sicherheit neu eingeführt. Kapitel 5 stellt folgende Anforderungen an die IT-Sicherheit:

 

Neue BAIT 2021: Was ändert sich?

 

Neue BAIT 2021: Was ändert sich?

Mit den neuen BAIT 2021 wird das Kapitel 5 Operative IT-Sicherheit neu eingeführt. Kapitel 5 stellt folgende Anforderungen an die IT-Sicherheit:

  • Anforderungen des Informationssicherheitsmanagements
  • Informationssicherheitsleitlinie und Informationssicherheitsrichtlinien
  • IT-Sicherheitsmaßnahmen und -prozesse
  • Gefährdungen des Informationsverbundes
  • Regeln zur Identifizierung sicherheitsrelevanter Ereignisse
  • Sicherheitsrelevante Ereignisse
  • Schutzbedarf und mögliche Angriffsfläche

 

Neue Anforderungen an das Informationssicherheitsmanagement mit BAIT 2021

Die operative IT-Sicherheit setzt die Anforderungen des Informationssicherheitsmanagements um. IT-Systeme, die zugehörigen IT-Prozesse und sonstige Bestandteile des Informationsverbundes müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen.

Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen (vgl. AT 7.2 Tz. 2 MaRisk). Es ist ein Verfahren zur frühzeitigen Erkennung von Gefährdungen des Informationsverbunds zu betreiben (vgl. AT 4.3.2 Tz. 2 MaRisk).

 

Was müssen IT-Sicherheitsmaßnahmen und -prozesse berücksichtigen?

Das Institut hat auf Basis der Informationssicherheitsleitlinie und Informationssicherheitsrichtlinien angemessene, dem Stand der Technik entsprechende, operative IT-Sicherheitsmaßnahmen und Prozesse zu implementieren.

IT-Sicherheitsmaßnahmen und -prozesse berücksichtigen u. a.:

  1. Schwachstellenmanagement zur Erkennung, Bewertung, Behandlung und Dokumentation von Schwachstellen
  2. Segmentierung und Kontrolle des Netzwerks (einschließlich Richtlinienkonformität der Endgeräte)
  3. Sichere Konfiguration von IT-Systemen (Härtung)
  4. Verschlüsselung von Daten bei Speicherung und Übertragung gemäß Schutzbedarf
  5. mehrstufigen Schutz der IT-Systeme z. B. vor nicht autorisiertem Zugriff, Datenverlust, Manipulation oder Verfügbarkeitsangriffen

 

Was versteht die BaFin unter regelbasierter Auswertung von Gefährdungen?

Gefährdungen des Informationsverbundes sind möglichst frühzeitig zu identifizieren. Sicherheitsrelevante Informationen sind angemessen zeitnah, regelbasiert und zentral auszuwerten. Diese Informationen müssen bei Transport und Speicherung geschützt werden und für eine angemessene Zeit zur späteren Auswertung zur Verfügung stehen.

Sicherheitsrelevante Informationen sind z. B. Protokolldaten, Meldungen und Störungen, welche Hinweise auf Verletzung der Schutzziele geben können. Die regelbasierte Auswertung (z. B. über Parameter, Korrelationen von Informationen, Abweichungen oder Muster) großer Datenmengen erfordert in der Regel den Einsatz automatisierter IT-Systeme. Spätere Auswertungen umfassen u. a. forensische Analysen und interne Verbesserungsmaßnahmen.

Der Zeitraum sollte der Bedrohungslage entsprechend bemessen sein.

 

BAIT 2021 fordern das Erstellen eines Portfolios an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse

Es ist ein angemessenes Portfolio an Regeln zur Identifizierung sicherheitsrelevanter Ereignisse zu definieren. Regeln sind vor Inbetriebnahme zu testen. Die Regeln sind regelmäßig auf Vollständigkeit und Wirksamkeit zu prüfen und weiterzuentwickeln. Regeln erkennen beispielsweise, ob vermehrt nicht autorisierte Zugriffsversuche stattgefunden haben, erwartete Protokolldaten nicht mehr angeliefert werden oder die Uhrzeiten der anliefernden IT-Systeme voneinander abweichen.

 

Welche Anforderungen gelten für das neue Security Opertion Centers (SOC)?

Sicherheitsrelevante Ereignisse sind zeitnah zu analysieren und auf daraus resultierende Informationssichervorfälle ist unter Koordination des Informationssicherheitsmanagements angemessen zu reagieren.

Sicherheitsrelevante Ereignisse ergeben sich beispielsweise aus der regelbasierten Auswertung der möglichen sicherheitsrelevanten Informationen.

Die zeitnahe Analyse und Reaktion kann eine ständig besetzte zentrale Stelle, z. B. in Form eines Security Operation Centers (SOC), erfordern.

Die Sicherheit der IT-Systeme ist regelmäßig, anlassbezogen und unter Vermeidung von Interessenskonflikten zu überprüfen. Ergebnisse sind hinsichtlich notwendiger Verbesserungen zu analysieren und Risiken angemessen zu steuern.

Turnus, Art und Umfang der Überprüfung sollten sich insbesondere am Schutzbedarf und der möglichen Angriffsfläche (z. B. Erreichbarkeit aus dem Internet) des IT-Systems orientieren.

Arten der Überprüfungen sind z. B.:

  1. Abweichungsanalysen
  2. Schwachstellenscans
  3. Penetrationstests
  4. Simulationen von Angriffen

 

BAIT 2021: Neue Mindestanforderungen mit den EBA Guidelines für IKT und Sicherheitsrisikomanagement (ICT Guidelines)

Die Finanzinstitute sollten auf Grundlage der Informationssicherheitsleitlinie Sicherheitsmaßnahmen festlegen und einführen, um die IKT- und Sicherheitsrisiken zu mindern, denen sie ausgesetzt sind.

Diese Maßnahmen sollten Folgendes umfassen:

  1. a) Organisation und Governance
  2. b) logische Sicherheit
  3. c) physische Sicherheit
  4. d) IKT-Betriebssicherheit
  5. e) Sicherheitsüberwachung
  6. f) Überprüfung, Bewertung und Tests der Informationssicherheit
  7. g) Schulung und Sensibilisierung hinsichtlich der Informationssicherheit

 

BAIT 2021