Zum Hauptinhalt springen
AUDACO NEU logoAUDACO NEU logo

Überarbeitung der BAIT-Novelle - alle Änderungen im Überblick

Die Bankaufsicht BaFin hat die deutschen Bankaufsichtlichen Anforderungen an die IT (BAIT) überarbeitet, die sich primär an die Geschäftsleitungen der Kreditinstitute richten. Ziel ist es, die Erwartungshaltungen in Bezug auf die IT-Sicherheit transparent darzustellen.

Wir haben alle Änderungen und Ergänzungen zusammengefasst.

 

 

Ergänzung des Kapitels "IT-Notfallmanagement"

Fehlten bisher formalisierte regulatorische Anforderungen an die IT, wird durch die Ergänzung des Kapitels "IT-Notfallmanagement" die Dokumentation und Etablierung von Notfallprozesse in Bezug auf die IT gefordert. Dabei sind Auslagerungsunternehmen dringend mit einzubeziehen.

Ergänzung des Kapitels "Operative Informationssicherheit"

Um die Sicherheit des IT-Betriebs zu gewährleisten, sollen neben den regulären Maßnahmen zur betrieblichen Überwachung Sicherheitsanalysen und Penetrationstest durchgeführt werden. Zusätzlich wird die Etablierung eines "Security Operations Centers" (SOC) gefordert, in dem das Monitoring der Systeme zentral gesteuert wird.

Anpassungen der Anforderungen zur IT-Startegie & IT-Governance

Kleinere Anpassungen gab es hingegen bei den Kapiteln zur IT-Strategie & IT-Governance. So wurde z.B. die Informationssicherheit als Bestandteil der IT-Strategie aufgenommen. Ähnlich wurde das Kapitel "Auslagerung" um die Aufnahme von Vorgaben an den IT-Betrieb in Vereinbarungen/Verträgen mit Auslagerungspartnern erweitert

Anpassungen in der Anwendungsentwicklung

Wenige Anpassungen gab es im Kapitel "IT-Projekte und Anwendungsentwicklung", die sich besonders auf den Test von Software beziehen. So werden u.a. definierte Akzeptanzkriterien für jede gestellte Anforderung regulatorisch gefordert.

Neue Anforderungen im Informationsrisiko- und Informationssicherheitsmanagement

Die Konkretisierung des Informationsverbundes bringt neue Anforderungen mit sich:

  • Präzisierung der Kontrollaufgaben
  • Überprüfung der Schutzbedarfsfeststellungen
  • Überwachung der Bedrohungslage des Unternehmens auf Basis interner und externer Bedrohungen
  • Laufende Prüfung von Schwachstellen innerhalb des Informationsverbundes
  • Abteilungs- / fachbereichsspezifische Informationssicherheitsschulungen und Awareness-Maßnahmen

Ergänzende Anforderungen im IAM-Umfeld

Im Rahmen der Überarbeitung wurde das ehemalige Kapitel "Benutzerberechtigungsmanagement" in "Identitäts- und Rechtemanagement" umbenannt. In diesem Zuge wurden die bestehenden Anforderungen geschärft. Die bisherige sparsame Rechtevergabe gilt noch immer, ist nun aber auf sämtliche Elemente des Informationsverbunds auszuweiten. Damit erweitern sich die Anforderungen auf die Überwachung (physischer) Zugänge und Zutritte. Weiterhin wird die Einführung von Root-Cause-Analysen gefordert, um Ursachen von Abweichungen zu identifizieren.

Überarbeitung der BAIT-Novelle

Sie verlassen jetzt unsere Website. Bitte beachten Sie, dass dieser Link eine Website in einem neuen Fenster öffnet, für deren Inhalt wir nicht verantwortlich sind.