KAIT der BaFin
Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)
Die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) wurden mit dem Rundschreiben 11/2019 (WA) vom 1. Oktober 2019 von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht. Eine zentrale Zielsetzung der neu formulierten Anforderungen der BaFin sind die Sicherheit in der Informationstechnologie und das Bewusstsein für IT Risiken zu schärfen. Die KAIT gilt für Kapitalverwaltungsgesellschaften (KVGen) im Sinne des § 17 KAGB, soweit diese über eine Erlaubnis nach § 20 Abs. 1 KAGB verfügen.
KAIT, VAIT und BAIT - alles gleich?
KAIT folgt den Versicherungsaufsichtliche Anforderungen an die IT (VAIT) mit Rundschreiben 10/2018 und der ersten Rundschreiben in dieser Thematik, den Bankaufsichtliche Anforderungen an die IT (BAIT) vom November 2017.
Nun ist es für Kapitalverwaltungsgesellschaften (KVG) auch soweit, die BaFin wird die Funktionsfähigkeit der IT zukünftig prüfen. Vorausgeschickt sei, dass KAIT, VAIT und BAIT inhaltlich nicht gleich sind - es bestehen in der Tat Unterschiede, die wir Ihnen auf den folgenden Seiten kurz dargstellen werden.
Sind Anforderungen an die IT für KVGen neu?
Bereits vor KAIT gab es schon durch die BaFin im Rahmen der Aufsichtspflicht formulierte Anforderungen an die IT. Grundlage hierfür war u.a. das Kaptialanlagengesetzbuch (KAGB) oder die Verordnung zur Konkretisierung der Verhaltensregeln und Organisationsregeln nach dem Kapitalanlagegesetzbuch (KAVerOV). National wurden die Anforderungen bereits in der Mindestanforderung an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk) formuliert. Die Überarbeitung setzt nicht nur die Regelungen der Delegierten
Verordnung zur AIFM-Richtlinie um und konkretisiert die Vorgaben zur
Organisation, zum Risikomanagement und zur Auslagerung. Inhaltlich orientieren sich die KAMaRisk an den neuen Vorgaben an den Mindestanforderungen an das Risikomanagement von Banken (MaRisk). Die in der KAMaRisk enthaltenen Anforderungen an die IT bleiben von KAIT unberührt und gelten weiter. Auch auf europäischer Ebene waren bereits ebenso Anforderungen festgelegt worden.
Zielsetzung von KAIT
Zielsetzung von KAIT ist die Informationssicherheit, einschließlich der IT-Sicherheit zu erhöhen und das Bewußtsein für IT-Risiken zu schärfen.
Die
Kapitalverwaltungsgesellschaften bleiben verpflichtet, auf gängige IT-Standards
abzustellen sowie den Stand der Technik zu berücksichtigen.
Höhere IT-Anforderungen an KVGen
Laut einer Veröffentlichung des private banking magazin wurde der Vergleich zu den Abweichungen in den BAIT Prüfungen gezogen und die beispielhafte Beanstandungen dargestellt:
Grundlegende Beanstandungen
- Keine (adäquate) Bestellung eines Informationssicherheitsbeauftragten
- Es lag noch keine dokumentierte IDV-Richtlinie vor
- Risiko- bzw. Wesentlichkeitseinstufung in der IDV-Richtlinie sind nicht ausreichend nachvollziehbar
- Es lag noch keine adäquate und/oder vollständige (eigenständige)
IT-Strategie vor, z.B. ist die IT-Strategie nicht konsistent zur
Geschäfts- und Risikostrategie
- Keine oder keine vollständige Informationssicherheitsleitlinie und
–richtlinie bzw. diese Dokumente stehen nicht im Einklang mit der
IT-Strategie
- Die Auslagerungsunternehmen nehmen keine eigenen Notfalltests vor
und/oder werden nicht ausreichend in die Notfalltests eingebunden
- Keine oder eine nicht ausreichende Anbindung an Notfallrechenzentren der Dienstleister
- Berichte über Prüfungen bei Dienstleistern (z.B. IDW PS 951) lagen nicht oder nicht in allen Fällen vor
- Es lag kein datenschutzrechtliches Verfahrensverzeichnis vor
- Unklare oder fehlende Zuordnung von Verantwortlichkeiten zu
wesentlichen Auf-gaben und Kompetenzen bezüglich der Gebiete
Informationssicherheit und Informationsrisikomanagement
- Keine oder nicht ausreichende Schutzbedarfs- und Risikoanalysen für
die Elemente des IT-Betriebs und ggf. fehlende oder nicht ausreichende
Definition von Sollmaßnahmen
- Schutzbedarfs- und Risikoanalysen im Hinblick auf ISMS und IRMS wurden nicht umgesetzt.
- Das Informationssicherheits- und -risikomanagement ist sowohl
organisatorisch als auch prozessual noch nicht vollumfänglich
implementiert.
- Das Informationsrisikomanagement wurde organisatorisch noch nicht implemen-tiert.
- Die Zuordnung von Verantwortlichkeiten zu wesentlichen Aufgaben und
Kompetenzen bezüglich des Informationsrisikomanagements war noch nicht
gegeben.
- Kein ausreichender Schutz der physischen Sicherheit der IT-Infrastruktur
- Die Abgrenzung zwischen Auslagerungen und sonstigem Fremdbezug ist
nicht nachvollziehbar, zum Beispiel wurden noch keine Risikoanalysen zur
Würdigung des sonstigen IT-Fremdbezugs durchgeführt.
- (Potenzielle) Interessenkonflikte bei der Vergabe von Benutzerberechtigungen
- Keine oder keine ausreichende Überwachung von Benutzern mit umfassenden Berechtigungen
- Es sind keine (oder keine adäquaten) quantitativen Kriterien (z.B.
KPIs) definiert, wodurch eine Steuerung und Überwachung des IT-Betriebs
und der Weiterent-wicklung der IT-Systeme ermöglicht wird.
- Neue Arbeits- und Organisationsanweisungen wurden zu allen Bereichen
der BAIT implementiert; diese entsprechen jedoch nicht oder nur
teilweise den tatsächlichen Prozessen
- Es existiert kein Löschkonzept, welches die Aufbewahrungsfristen der relevanten Unterlagen definiert.
- Die systemischen Passworteinstellungen sind konsistent zu denen der Passwortrichtlinie zu gestalten
- Teilweise oder in Gänze lagen keine Softwarezertifizierungen vor
und Formale Beanstandungen
- Es existiert keine Prozessbeschreibung zum Change-Management-Verfahren.
- Es existiert keine Prozessbeschreibung zum Incident-Management
- Prozessabläufe werden zwar „gelebt“, sind aber nicht ausreichend dokumentiert.
- Arbeits- oder Organisationsanweisungen sind nicht oder nicht ausreichend dokumentiert
- Keine oder keine ausreichende Einbindung in Test- und Freigabeverfahren beim Dienstleister
- Keine ausreichende Dokumentation zur Ermittlung der notwendigen IT-Ressourcen
- Die Kommunikation von informationssicherheitsrelevanten Vorfällen erfolgt lediglich informell
- Die IT-Projektliste enthält lediglich in Teilbereichen Informationen, so dass eine zentrale Überwachung und Steuerung der IT-Projekte erschwert wird.
- Auswirkungsanalysen für IT-Projekte sind nicht vorgeschrieben
- Die Kommunikation von Projektrisiken findet nur informell statt.
- Ein nach der Produktivsetzung der Änderung notwendiger Überwachungsprozess wird nicht vorgeschrieben.
- In der IT-Anwendungsübersicht sind Datenflüsse und damit Schnittstellenbeziehungen nicht eindeutig nachvollziehbar
- In der Change-Management-Richtlinie wird die Unterscheidung zwischen Störungen und Changes nicht definiert.
- Für Störungen/Incidents sind keine Eskalationsstufen definiert.
- Der Benutzerdeaktivierungsprozess sollte alle relevanten Berechtigungen umfassen
- Die Verwaltung und Vergabe von umfassenden Berechtigungen ist nicht separat gewürdigt bzw. konzeptualisiert worden.
- Die Frequenz der durchzuführenden Berechtigungsreviews ist inkonsistent zwischen der Praxis und der in der Anweisung vorgeschriebenen Frequenz.
Quelle: https://www.private-banking-magazin.de/kait-bafin-rundschreiben-stellt-hoehere-it-anforderungen-an-kvgen/?page=5
Sonderprüfung des Referat IT der BaFin geplant
Sind Sie vorbereitet?
Die BaFin hat die Einrichtung einer gesonderten Implementierungsgruppe gestartet, die die einzelnen KVGen einzeln anschreiben und um einen Bericht zum Umsetzungsprozess bitten soll.
Mit ersten Sonderprüfungen bei KVGen durch das neue Referat IT wird frühestens in der zweiten Jahreshälfte 2020 zu rechnen sein.
Wenn man die Ergebnisse der Prüfungshandlungen der BaFin bei den Banken als Vergleich heranzieht, ist davon auszugehen, dass diese Abweichungen bei den KVGen ebenso vorhanden sind.
Deshalb sollte man frühzeitig mit der Behebung der Abweichungen beginnen und aus den Erfahrungen von BAIT und VAIT lernen.
Der Mensch hat dreierlei Wege klug zu handeln: durch Nachdenken ist der edelste, durch Nachahmen der einfachste, durch Erfahrung der bitterste. – Konfuzuis
Schon Konfuzuis hatte es mit diesem Zitat auf den Punkt gebracht - leider ist der dritte Weg, den welche manche Unternehmen nicht überleben.
Auf Prüfungshandlungen sollte man gut vorbereitet sein
Hilfestellung durch Normen
Die BaFin empfiehlt bei der Umsetzung sich an aktuell anerkannten Normen auszurichten. Wir kennen diese Normen aus jahrelanger Erfahrung - die wir gerne für Sie zur Verfügung stellen.
Benötigen Sie pragmatische Unterstützung
Beratung ist unsere Leidenschaft
Wir unterstützen Sie mit über 20 Jahre Beratungserfahrung. Wir kennen die Welt der Klein-, Mittelstands- und Großunternehmen und können uns jedem Beratungsmandat anpassen und die Aufgabenstellung pragmatisch umsetzen.