Start - KAIT der BaFin

KAIT-Beratung
ISO 22301 Beratung
Vorsprung durch Wissen
KAIT-Beratung
Direkt zum Seiteninhalt
KAIT
Kapitalverwaltungsaufsichtliche Anforderungen an die IT

KAIT der BaFin

Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT)

Die Kapitalverwaltungsaufsichtlichen Anforderungen an die IT (KAIT) wurden mit dem Rundschreiben 11/2019 (WA) vom 1. Oktober 2019 von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) veröffentlicht. Eine zentrale Zielsetzung der neu formulierten Anforderungen der BaFin sind die Sicherheit in der Informationstechnologie und das Bewusstsein für IT Risiken zu schärfen. Die KAIT gilt für Kapitalverwaltungsgesellschaften (KVGen) im Sinne des § 17 KAGB, soweit diese über eine Erlaubnis nach § 20 Abs. 1 KAGB verfügen.

KAIT, VAIT und BAIT - alles gleich?

KAIT folgt den Versicherungsaufsichtliche Anforderungen an die IT (VAIT) mit Rundschreiben 10/2018 und der ersten Rundschreiben in dieser Thematik, den Bankaufsichtliche Anforderungen an die IT (BAIT) vom November 2017.

Nun ist es für Kapitalverwaltungsgesellschaften (KVG) auch soweit, die BaFin wird die Funktionsfähigkeit der IT zukünftig prüfen. Vorausgeschickt sei, dass KAIT, VAIT und BAIT inhaltlich nicht gleich sind - es bestehen in der Tat Unterschiede, die wir Ihnen auf den folgenden Seiten kurz dargstellen werden.

Sind Anforderungen an die IT für KVGen neu?

Bereits vor KAIT gab es schon durch die BaFin im Rahmen der Aufsichtspflicht formulierte Anforderungen an die IT. Grundlage hierfür war u.a. das Kaptialanlagengesetzbuch (KAGB) oder die Verordnung zur Konkretisierung der Verhaltensregeln und Organisationsregeln nach dem Kapitalanlagegesetzbuch (KAVerOV). National wurden die Anforderungen bereits in der Mindestanforderung an das Risikomanagement von Kapitalverwaltungsgesellschaften (KAMaRisk) formuliert. Die Überarbeitung setzt nicht nur die Regelungen der Delegierten Verordnung zur AIFM-Richtlinie um und konkretisiert die Vorgaben zur Organisation, zum Risikomanagement und zur Auslagerung. Inhaltlich orientieren sich die KAMaRisk an den neuen Vorgaben an den Mindestanforderungen an das Risikomanagement von Banken (MaRisk). Die in der KAMaRisk enthaltenen Anforderungen an die IT bleiben von KAIT unberührt und gelten weiter. Auch auf europäischer Ebene waren bereits ebenso Anforderungen festgelegt worden.

Zielsetzung von KAIT

Zielsetzung von KAIT ist die Informationssicherheit, einschließlich der IT-Sicherheit zu erhöhen und das Bewußtsein für IT-Risiken zu schärfen.

Die Kapitalverwaltungsgesellschaften bleiben verpflichtet, auf gängige IT-Standards abzustellen sowie den Stand der Technik zu berücksichtigen.

Höhere IT-Anforderungen an KVGen

Laut einer Veröffentlichung des private banking magazin wurde der Vergleich zu den Abweichungen in den BAIT Prüfungen gezogen und die beispielhafte Beanstandungen dargestellt:

Grundlegende Beanstandungen

  • Keine (adäquate) Bestellung eines Informationssicherheitsbeauftragten
  • Es lag noch keine dokumentierte IDV-Richtlinie vor
  • Risiko- bzw. Wesentlichkeitseinstufung in der IDV-Richtlinie sind nicht ausreichend nachvollziehbar
  • Es lag noch keine adäquate und/oder vollständige (eigenständige) IT-Strategie vor, z.B. ist die IT-Strategie nicht konsistent zur Geschäfts- und Risikostrategie
  • Keine oder keine vollständige Informationssicherheitsleitlinie und –richtlinie bzw. diese Dokumente stehen nicht im Einklang mit der IT-Strategie
  • Die Auslagerungsunternehmen nehmen keine eigenen Notfalltests vor und/oder werden nicht ausreichend in die Notfalltests eingebunden
  • Keine oder eine nicht ausreichende Anbindung an Notfallrechenzentren der Dienstleister
  • Berichte über Prüfungen bei Dienstleistern (z.B. IDW PS 951) lagen nicht oder nicht in allen Fällen vor
  • Es lag kein datenschutzrechtliches Verfahrensverzeichnis vor
  • Unklare oder fehlende Zuordnung von Verantwortlichkeiten zu wesentlichen Auf-gaben und Kompetenzen bezüglich der Gebiete Informationssicherheit und Informationsrisikomanagement
  • Keine oder nicht ausreichende Schutzbedarfs- und Risikoanalysen für die Elemente des IT-Betriebs und ggf. fehlende oder nicht ausreichende Definition von Sollmaßnahmen
  • Schutzbedarfs- und Risikoanalysen im Hinblick auf ISMS und IRMS wurden nicht umgesetzt.
  • Das Informationssicherheits- und -risikomanagement ist sowohl organisatorisch als auch prozessual noch nicht vollumfänglich implementiert.
  • Das Informationsrisikomanagement wurde organisatorisch noch nicht implemen-tiert.
  • Die Zuordnung von Verantwortlichkeiten zu wesentlichen Aufgaben und Kompetenzen bezüglich des Informationsrisikomanagements war noch nicht gegeben.
  • Kein ausreichender Schutz der physischen Sicherheit der IT-Infrastruktur
  • Die Abgrenzung zwischen Auslagerungen und sonstigem Fremdbezug ist nicht nachvollziehbar, zum Beispiel wurden noch keine Risikoanalysen zur Würdigung des sonstigen IT-Fremdbezugs durchgeführt.
  • (Potenzielle) Interessenkonflikte bei der Vergabe von Benutzerberechtigungen
  • Keine oder keine ausreichende Überwachung von Benutzern mit umfassenden Berechtigungen
  • Es sind keine (oder keine adäquaten) quantitativen Kriterien (z.B. KPIs) definiert, wodurch eine Steuerung und Überwachung des IT-Betriebs und der Weiterent-wicklung der IT-Systeme ermöglicht wird.
  • Neue Arbeits- und Organisationsanweisungen wurden zu allen Bereichen der BAIT implementiert; diese entsprechen jedoch nicht oder nur teilweise den tatsächlichen Prozessen
  • Es existiert kein Löschkonzept, welches die Aufbewahrungsfristen der relevanten Unterlagen definiert.
  • Die systemischen Passworteinstellungen sind konsistent zu denen der Passwortrichtlinie zu gestalten
  • Teilweise oder in Gänze lagen keine Softwarezertifizierungen vor

und Formale Beanstandungen

  • Es existiert keine Prozessbeschreibung zum Change-Management-Verfahren.
  • Es existiert keine Prozessbeschreibung zum Incident-Management
  • Prozessabläufe werden zwar „gelebt“, sind aber nicht ausreichend dokumentiert.
  • Arbeits- oder Organisationsanweisungen sind nicht oder nicht ausreichend dokumentiert
  • Keine oder keine ausreichende Einbindung in Test- und Freigabeverfahren beim Dienstleister
  • Keine ausreichende Dokumentation zur Ermittlung der notwendigen IT-Ressourcen
  • Die Kommunikation von informationssicherheitsrelevanten Vorfällen erfolgt lediglich informell
  • Die IT-Projektliste enthält lediglich in Teilbereichen Informationen, so dass eine zentrale Überwachung und Steuerung der IT-Projekte erschwert wird.
  • Auswirkungsanalysen für IT-Projekte sind nicht vorgeschrieben
  • Die Kommunikation von Projektrisiken findet nur informell statt.
  • Ein nach der Produktivsetzung der Änderung notwendiger Überwachungsprozess wird nicht vorgeschrieben.
  • In der IT-Anwendungsübersicht sind Datenflüsse und damit Schnittstellenbeziehungen nicht eindeutig nachvollziehbar
  • In der Change-Management-Richtlinie wird die Unterscheidung zwischen Störungen und Changes nicht definiert.
  • Für Störungen/Incidents sind keine Eskalationsstufen definiert.
  • Der Benutzerdeaktivierungsprozess sollte alle relevanten Berechtigungen umfassen
  • Die Verwaltung und Vergabe von umfassenden Berechtigungen ist nicht separat gewürdigt bzw. konzeptualisiert worden.
  • Die Frequenz der durchzuführenden Berechtigungsreviews ist inkonsistent zwischen der Praxis und der in der Anweisung vorgeschriebenen Frequenz.

Quelle: https://www.private-banking-magazin.de/kait-bafin-rundschreiben-stellt-hoehere-it-anforderungen-an-kvgen/?page=5

Sonderprüfung des Referat IT der BaFin geplant

Sind Sie vorbereitet?

Die BaFin hat die Einrichtung einer gesonderten Implementierungsgruppe gestartet, die  die einzelnen KVGen einzeln anschreiben und um einen Bericht zum  Umsetzungsprozess bitten soll.

Mit ersten Sonderprüfungen bei KVGen  durch das neue Referat IT wird frühestens in der zweiten Jahreshälfte  2020 zu rechnen sein.

Wenn man die Ergebnisse der Prüfungshandlungen der BaFin bei den Banken als Vergleich heranzieht, ist davon auszugehen, dass diese Abweichungen bei den KVGen ebenso vorhanden sind.

Deshalb sollte man frühzeitig mit der Behebung der Abweichungen beginnen und aus den Erfahrungen von BAIT und VAIT lernen.

Der Mensch hat dreierlei Wege klug zu handeln: durch Nachdenken ist der  edelste, durch Nachahmen der einfachste, durch Erfahrung der bitterste. –  Konfuzuis

Schon Konfuzuis hatte es mit diesem Zitat auf den Punkt gebracht -  leider ist der dritte Weg, den welche manche Unternehmen nicht überleben.

Auf Prüfungshandlungen sollte man gut vorbereitet sein

Hilfestellung durch Normen

Die BaFin empfiehlt bei der Umsetzung sich an aktuell anerkannten Normen auszurichten. Wir kennen diese Normen aus jahrelanger Erfahrung - die wir gerne für Sie zur Verfügung stellen.
Wir sind für Sie da!
Haben Sie weitere Fragen - wir stehen Ihnen jederzeit zur Verfügung und beantworten Ihre Fragen.
Externe Kapazität benötigt?
Wir unterstützen Sie gerne als externer ISB, als ISB auf Zeit oder unterstützen Ihren ISB
Sind Sie auf der Suche nach Schulung?
Über die CONSUVATION Akademie bieten wir auch Präsenz oder Webkurse zur Thematik an - sprechen Sie uns bitte an.

Benötigen Sie pragmatische Unterstützung

Beratung ist unsere Leidenschaft


Wir unterstützen Sie mit über 20 Jahre Beratungserfahrung. Wir kennen die Welt der Klein-, Mittelstands- und Großunternehmen und können uns jedem Beratungsmandat anpassen und die Aufgabenstellung pragmatisch umsetzen.
www.kait-beratung.de
Diese Seite wird von der CONSUVATION GmbH betrieben.
(C) CONSUVATION GmbH
+49 (0) 7031.4181-860
contact(@)consuvation.com
CONSUVATION GmbH
Ziegelstraße 20
71063 Sindelfingen
Deutschland
IMPRESSUM
Hier finden Sie Informationen
zu unserem Unternehmen
MONTAG-FREITAG
09:00  - 17:00
SAMSTAG -SONNTAG
geschlossen
Die Übermittlung Ihrer  Daten in unseren Kontaktformularen erfolgt nicht verschlüsselt. Wollen Sie das  Kontaktformular nicht nutzen wollen, können Sie uns gerne auch direkt eine Email senden oder anrufen. Wir verarbeiten Ihre Daten aus dem Kontaktformular oder Email ausschließlich zur Bearbeitung Ihrer Anfrage und gegeben diese nicht an Dritte weiter. Dabei halten wir die Anforderungen der Datenschutz Grundverordnung (DS GVO) und BDSG-neu ein.
DATENSCHUTZERKLÄRUNG
Hier finden Sie Informationen zum
Datenschutz
Zurück zum Seiteninhalt