Um sensible Daten und Informationen umfassend zu schützen, ergreifen Unternehmen angemessene Schutzmaßnahmen. Dabei stellt in vielen Fällen auch der Gesetzgeber konkrete Anforderungen. Für Kredit- und Finanzdienstleistungsinstitute definiert die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sogenannte Bankaufsichtliche Anforderungen an die IT (BAIT), welche auf den Vorgaben des Kreditwesengesetzes basieren. Diese Anforderungen richten sich in erster Linie an die Geschäftsleitungen von Kreditinstituten und sollen die Transparenz der BaFin-Anforderungen an die IT-Sicherheit erhöhen. Gegenstand ist dabei vor allem die sichere Gestaltung von IT-Systemen und zugehörigen Prozessen, aber auch entsprechende Anforderungen an die IT-Governance.  


BAIT auf dem Prüfstand: Was ändert sich für Unternehmen? 

Die sogenannten ICT Guidelines, mit welchen die Europäische Bankenaufsichtsbehörde (EBA) im November 2019 einheitliche Managementanforderungen an Finanzdienstleister im Binnenmarkt veröffentlicht hat, machten konkrete Nachjustierungen erforderlich. Im Zuge einer Novellierung wurden nun die erforderlichen Ergänzungen identifiziert. Diese beziehen sich insbesondere auf den Bereich der operativen Informationssicherheit, aber auch die Anforderungen an Kundenbeziehungen von Zahlungsdiensten und das Notfallmanagement. Ein zentrales Element ist und bleibt die kontinuierliche Sensibilisierung und Schulung der eigenen Mitarbeitende und Führungskräfte, sowie beauftragter Dritter. Im Lichte der jüngsten Novellierung erscheint diese Anforderung nun wichtiger denn je. 


Kontinuierliche Schulung und Sensibilisierung als zentrales Element 

Ein entsprechendes Awareness- und Trainingsprogramm muss dabei angemessen ausgestaltet sein und sollte insbesondere die persönliche Verantwortung des Mitarbeitenden, aber auch grundsätzliche Verfahren und Maßnahmen zur Informationssicherheit beinhalten. Um der Anforderung einer kontinuierlichen Schulung zu entsprechen, eignen sich vor allem professionelle E-Learning-Lösungen. Denn diese lassen sich unternehmensweit für eine beliebige Teilnehmerzahl umsetzen. Zudem kann – wie es die Aufsichtsbehörde fordert – der Schulungserfolg unmittelbar überprüft werden. Mit dem E-Learning Information Security bietet Security-Island ein effizientes Tool zur Schulung zentraler Informationssicherheitsthemen und unterstützt Sicherheitsverantwortliche dabei, die neuen Anforderungen umfassend zu erfüllen.