„Wer, wie, was …“? – Als Finanzinstitut den passenden IT-Dienstleister finden

Insbesondere für regulierte Finanzunternehmen ist Qualität vor Quantität extrem wichtig, da für Sie nicht allein strategische, budgetäre oder sonstige interne Kriterien entscheidend sind, sondern unter anderem auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und deren spezielle Anforderungen und Regularien an die Finanzinstitute selbst – aber auch und insbesondere an den IT-Dienstleister.

Denn als risikoorientierte Aufsicht hat die BaFin schließlich das Ziel, die Stabilität des deutschen Finanzplatzes auch in Zeiten fortschreitender Digitalisierung zu sichern. Dabei sind die regulatorischen Anforderungen deutlich konkretisiert und umfangreicher als vor einigen Jahren. Bei der Prüfung von Auslagerungen im Bereich IT-Sicherheit in der Finanzindustrie geht die BaFin immer strikter vor.

Oft sind Finanzunternehmen allein nur teilweise in der Lage die hohen Anforderungen der BaFin umzusetzen. Dies macht ein IT-Outsourcing – die umfassende Auslagerungen der IT-Leistungen an einen IT-Dienstleister – immer attraktiver. Zudem zwingt es die Unternehmen aus der Finanzdienstleistungsindustrie auch, ihre Messlatte für IT-Dienstleister höher zu legen. Denn für das Outsourcing von zentralen IT-Diensten in der Finanzindustrie gelten umfassende regulatorische Auflagen, die noch strenger bei wesentlichen Auslagerungen, wie sie in den MaRisk der BaFin definiert sind, gelten.

Nur wenige IT-Dienstleister können diese Vorgaben hinsichtlich Compliance, IT-Sicherheit, Risikomanagement, Datenschutz, Reporting etc. vollumfänglich erfüllen. Daher sollte bei der Wahl eines Providers genau geprüft werden, welcher Dienstleister diesen Ansprüchen überhaupt gerecht werden kann.

Wie finde ich nun also in der Finanzdienstleistungsbranche die Nadel im Heuhaufen, die meinen hohen Anforderungen gerecht wird und das Risiko von Compliance-Lücken vermindert?

Sie wählen einen IT-Provider, der die Richtlinien der BaFin einhält, und vor allem vollumfänglich erfüllen kann. Klingt einfach, ist es auch (fast) – wenn Sie bei der Recherche nach dem richtigen Partner ein besonderes Augenmerk auf die Umsetzung regulatorischer Vorgaben legen.

Und hier kommen wir schon zur ersten Herausforderung, vor der Sie stehen werden, denn die Umsetzung der Anforderungen ist nicht klar definiert. Und genau aus dem Grund ist es für Sie als auslagerndes Institut von enormer Bedeutung schon frühzeitig zu erkennen, wer „regulatorische Lösungen“ etabliert hat – sprich, sich auf die Erfüllung der BaFin-Ansprüche spezialisiert hat. Dies ist einer der ersten und wichtigsten Schritte bei der Auswahl des passenden IT-Dienstleisters.

Wie Sie in 8 Schritten den passenden Partner für Ihr Institut zu finden, erfahren Sie in unserem Whitepaper.

Primär fordert die BaFin ein durchgehendes Risikomanagement. Maßnahmen müssen aus Bedrohungen abgeleitet sein, deren Risiko bewertet und durch die Maßnahme mitigiert werden. Dies obliegt Ihnen als Finanzinstitut, IT-Dienstleister müssen jedoch entsprechend die regulatorischen Anforderungen umsetzen und unterstützen Sie im besten Fall schon im Vorfeld beratend dazu.

An dieser Stelle ein kleiner Ausflug zu die BAIT: Prüfungsgrundlage der BaFin sind neben der MaRisk vor allem die BAIT (BaFin-Rundschreiben zu den Bankenaufsichtlichen Anforderungen an die IT; Schwerpunkte sind die sichere Ausgestaltung von IT-Systemen, Prozessen und IT-Governance) und die VAIT, für Versicherungen zudem über das Versicherungsaufsichtsgesetz.

Die BAIT fordert hier einen transparenten, strukturierten und steuerbaren IT-Betrieb, bei dem alle Maßnahmen aus der IT-Strategie hergeleitet sind und wirksam die Informationsrisiken minimieren.

Die Schwerpunkte der BAIT liegen in den Bereichen IT-Strategie, IT-Governance, Informationsrisiko- und -sicherheitsmanagement, Projekte, Betrieb und Auslagerung. Diese Anforderungen sollten auch unbedingt an Ihren IT-Dienstleister weitergegeben werden und sind von diesem zu erfüllen.

Beispielsweise wäre zu hinterfragen, ob der IT-Dienstleister ein ausreichendes Informationssicherheitsmanagement etabliert und entsprechende Richtlinien veröffentlicht und zudem die Maßnahmen der Informationssicherheit an den aktuellen Stand der Technik und die aktuelle Bedrohungslage angepasst hat. Auch im Benutzerberechtigungsmanagement werden Benutzerrechte durchgängig und konsistent erteilt und entzogen. Die Rechte sind angemessen, minimal und werden regelmäßig überprüft (Rezertifizierung).

Was bedeutet das konkret? Wie kann also im Vorfeld geprüft werden, dass der designierte IT-Dienstleister die BaFin-Regularien umsetzt?

Ein Beispiel aus dem Anforderungskatalog Cloud Computing (C5) des Bundesamt für Sicherheit und Informationstechnik (BSI): Mit dem C5-Standard hat das BSI Kriterien für die Beurteilung der Informationssicherheit von Cloud-Diensten herausgegeben. Und die meisten Themenbereiche und Anforderungen aus dem C5-Standard des BSI werden auch in den Bankaufsichtlichen Anforderungen an die IT (BAIT) adressiert. Die Anforderungen des C5-Anforderungskataloges an das Identitäts- und Berechtigungsmanagement entsprechen denen der BAIT, VAIT und KAIT im Verantwortungsbereich des Cloud-Providers.

Folgende Anforderungen an ein Identitäts- und Berechtigungsmanagement werden beim IT-Dienstleister umgesetzt (u.a.):

• Richtlinie: Beim Cloud-Provider gibt es ein Rollen- und Rechtekonzept, eine Richtlinie zur Verwaltung von Zugangs- und Zutrittsberechtigungen sowie eine Passwortrichtlinie.

• Benutzerregistrierung: Zugangsberechtigungen unter Verantwortung des IT-Providers werden eindeutig und nachvollziehbar in einem formalen Verfahren erteilt.

• Provisionierung von Zutrittsberechtigungen: Zugriffsberechtigungen werden gemäß Richtlinie nach dem Minimalprinzip, dem „Need-to-Know“-Prinzip sowie erst nach Autorisierung vergeben und verändert.

• Deprovisionierung von Berechtigungen: Zugriffsberechtigungen werden bei Kündigung, Versetzung oder längerer Abwesenheit zeitnah entzogen oder angepasst.

• Überprüfung von Berechtigungen: Zugriffsberechtigungen unter Verantwortung des Cloud-Anbieters und Kunden werden mindestens jährlich überprüft.

• Administratorenberechtigungen: Berechtigungen für Administratoren werden ebenfalls nach dem Minimalprinzip vergeben und entzogen. Dabei ist auf strikte Funktionstrennung zu achten.

• Notfall-Benutzer: Die Verwendung von Notfallbenutzern ist auf ein Minimum und echte Notfälle zu beschränken. Im Bedarfsfall sind eine explizite Genehmigung und Dokumentation erforderlich.

Die Umsetzung dieser Bedürfnisse können Sie beim IT-Dienstleistern konkret erfragen und sich konkretere Umsetzungen vorweisen bzw. erläutern lassen.

Dies ist nur ein Beispiel, worauf Sie bei bei der Wahl des passenden IT-Providers achten sollten. Insgesamt kommt es selbstverständlich auf viel mehr und diverse Anforderungen an, welche die BaFin an Sie und damit Finanzinstitute an ihre Dienstleister stellen.

IT-Sicherheit und Datenschutz sind sicher nicht nur für Sie, sondern auch für viele IT-Dienstleister regulatorische Herausforderungen. Auch für Provider sind die entstehenden Prozessvorgaben enorm. Daher ist die Auswahl eines auf regulierte Unternehmen spezialisierten IT-Dienstleister unbedingt notwendig.

Dabei spielen auch die Branchenerfahrung des Dienstleisters und die Weiterentwicklung seiner bestehenden Leistungen eine große Rolle, um den Anforderungen von BaFin und Co. gewachsen zu sein.

Ich empfehle Ihre – durch die BaFin gesteuerten – Anforderungen in einem Kriterienkatalog festzuhalten und bei der Auswahl des Providers an den IT-Dienstleister zu übergeben. So kann relativ schnell transparent gemacht werden, ob er Ihre Bedürfnisse erfüllen kann.

Positiv ist sicherlich zudem, wenn ein Dienstleister eine gewisse Modularisierung anbieten kann. Diese bringt für Sie ein Stück Flexibilisierung mit sich, denn Sie können bei Bedarf einzelne Services auslagern und wenn gewünscht für einige Services selbst verantwortlich bleiben.

Und nun wünsche ich Ihnen viel Erfolg bei der Auswahl „des Richtigen“.