Nach dem Wirecard-Desaster war das Vertrauen in die Arbeit der BaFin schwer erschüttert. Kritiker fragten: „Ist die BaFin ihren Aufgaben überhaupt noch gewachsen?“. In der Folge wurde eine Reform der Behörde auf den Weg gebracht, um das zerstörte Vertrauen wieder herzustellen. Auch die Führungsriege musste gehen. Bundesfinanzminister Olaf Scholz (SPD) sprach davon, die BaFin in eine „Finanzaufsicht mit Biss“ zu verwandeln. Gelingen soll dies sowohl mit schlagkräftigem Personal als auch mit neuartigen IT-Lösungen. In der globalisierten Finanzwelt gilt schließlich: Informationstechnik ist wichtiger denn je – und die Anforderungen an die IT sind hoch.

BAIT als „zentraler Baustein für die IT-Aufsicht über den Bankensektor“

Ende 2017 veröffentlichte die BaFin erstmalig die Bankaufsichtlichen Anforderungen an die IT (BAIT). Sie gelten als „zentraler Baustein für die IT-Aufsicht über den Bankensektor in Deutschland“. Die BAIT traten direkt mit Veröffentlichung in Kraft. Adressiert war das BAIT-Rundschreiben „an alle Kreditinstitute und Finanzdienstleistungsinstitute in der Bundesrepublik Deutschland“.

In dem Papier, das im September 2018 noch einmal auf den neuesten Stand gebracht wurde, sind insgesamt 61 Anforderungen gelistet, die von Banken-IT erfüllt werden müssen. Die einzelnen Bereiche des Dokuments behandeln beispielsweise Themen wie IT-Governance oder IT-Risikomanagement. Es um Berichtspflichten zwischen neu zu benennenden Informationssicherheitsbeauftragten und den Bankvorständen, um die Überprüfung der IT-Sicherheit im Alltagsgeschäft, Datensicherung und die Datenverarbeitung durch Dritte. Kurz: Im Grunde erweiterten die BAIT die bereits bestehenden Mindestanforderungen an das Risikomanagement der Banken (MaRisk).

Das BAIT-Regelwerk der BaFin wurde bei den Empfängern teils mit gemischten Gefühlen zur Kenntnis genommen – mehr Regulierung bedeutet schließlich immer auch mehr Aufwand. Hinzu kam: Viele IT-Systeme der Banken waren über Jahre gewachsen, enthielten jede Menge Eigenentwicklungen und nicht wenige Bereiche waren an Dienstleister ausgelagert.

BaFin bereitet mit BAIT den Weg für umfangreiches IT-Risikomanagement

Die damalige Befürchtung der BaFin: Finanzdienstleister könnten ohne umfassendes IT-Risikomanagement den Blick für die Informationssicherheit verlieren und anfällig für Manipulation werden. Da es sich bei den Computersystemen von Banken und Co. um kritische Infrastrukturen handelt, wäre ein solches Szenario fatal. IT-Governance und Informationssicherheit hätten für die Aufseher daher „den gleichen Stellenwert wie die Ausstattung der Institute mit Kapital und Liquidität“.

Mit Inkrafttreten der Bankaufsichtlichen Anforderungen an die IT (BAIT) waren die Finanzinstitute also in der Pflicht. Fortan mussten sie ein angemessenes IT-Risikomanagement garantieren. Dazu zählte auch, wie unter Punkt 4 der BAIT vermerkt, „Sensibilisierungs- und Schulungsmaßnahmen zur Informationssicherheit zu initiieren und zu koordinieren“. Diese Programme für Mitarbeiter und Auftragnehmer sollen fest vorgegebene Inhalte aufgreifen in regelmäßigen Abständen stattfinden. Die Finanzinstitute standen also vor einer weiteren Herausforderung: Wie sollten sie solche Schulungen bloß effizient umsetzen?

Von BaFin geforderte BAIT-Schulung auch online möglich

Eine Lösung für die Sensibilisierung der Beschäftigten des Banksektors kommt von „Security Island“. Der Dienstleister hat ein digitales Schulungsprogramm nach BAIT-Vorgaben entwickelt. Es handelt sich dabei um ein sogenanntes E-Learning-Komplettpaket. Vermittelt werden Inhalte wie „Basiswissen und Grundsätze der Informationssicherheit“, „Verantwortungsvoller Umgang mit Informationen“ oder „Korrektes Handeln bei Verdacht auf eine Gefahr für die IT“. Außerdem werden verschiedene Betrugs-Methoden wie Social Engineering, Schadsoftware oder Phishing vorgestellt, um bei den Teilnehmern des Online-Kurses ein Bewusstsein für diese Themen zu schaffen.