Mindestanforderungen an das Risikomanagement

Vermehrte IT- und Prozessprüfungen der BaFin bei Kreditinstituten

Rüdiger Giebichenstein ist Partner der Beratungsgesellschaft WTS in Köln. Der Diplom-Wirtschaftsinformatiker berät DAX-Konzerne und mittelständische Unternehmen in den Bereichen Risk & Compliance sowie IT Advisory. Zu seinen Themenschwerpunkten gehören u.a. IT-Compliance, Datenschutz, Information Security, IT-Risikomanagement, Cloud Computing und Qualitätsmanagement.
Die technischen und regulatorischen Anforderungen an Kreditinstitute wachsen - ohne IT geht nichts mehr, weder im Filialbetrieb noch beim Online-Banking, noch im vollautomatisierten algorithmischen Handel auf elektronischen Handelsplätzen.

Vorgaben in den Bereichen Risikomanagement, Datenschutz oder Steuerberichterstat­tung fordern einen sicheren Betrieb der IT-Systeme - und das nicht nur in Kreditinstituten, wenngleich die Anforderungen hier besonders hoch sind. Exemplarisch zu nennen ist die MaRisk (Mindestanforderungen an das Risikomanagement), eine gemäß §1a KWG verbindliche Verwaltungsanweisung der BaFin.

Fehlende Sicherheitsvorkehrungen führen nicht nur zu finanziellen Schäden.
Fehlende Sicherheitsvorkehrungen führen nicht nur zu finanziellen Schäden.
Foto: Klaus Eppele/Fotolia.com

Laut MaRisk müssen Prozesse etabliert und technische sowie organisatorische Maßnahmen umgesetzt werden, um einen sicheren und Compli­ance-konformen Betrieb von IT Systemen in Kreditinstituten sicherzustellen. Thema­tische Schwerpunkte sind vor allem IT-Sicherheit, IT-Risiko­management, die zugehörigen IT-Prozesse und ein effektives Notfallkonzept.

Die gleichen Regeln gelten übrigens auch für alle beauftragten Dienstleister - abhängig von der Art der ausgelagerten Aufgabe sind alle Zulieferer vertraglich auf die MaRisk festzulegen und regelmäßigen Kontrollen zu unterziehen.

Werden die Spielregeln der MaRisk - Prozesse, Organisationsstrukturen und Technik - eingehalten, senken die Banken ihre Risiken ungemein - es kommt zu weniger Ausfällen von IT-Anwendungen, es schützt vor Datenverlusten und der ungewollten Veröffentlichung vertraulicher Daten.

Erkennen, wenn's zu spät ist

Im Alltag ist es indes meist so, dass auch die Kreditinstitute erst im Schadensfall wirklich erkennen, was sie nicht umgesetzte Sicherheitsmaßnahmen kosten - egal, ob es um die Veröffentlichung von "Steuer-CDs" oder Hacker-Angriffe auf Online-Banking-Plattformen geht.

Die BaFin überprüft die Umsetzung der MaRisk regel­mäßig im Rahmen der Jahresabschlussprüfung, in den vergangenen Jahren auch vermehrt in Form von Sonder­prüfungen (§44 Abs. 1 KWG). Ergänzend hierzu bietet die BaFin Informationsveranstaltungen an, um das Bewusstsein der verantwortlichen Mitarbeiter in den Kreditinstituten für dieses Thema zu schärfen.

Für die kommenden Jahre steht eine Ausweitung der gesetzliche Anforderungen an die Kreditinstitute an, was besonders auch die Berichtspflichten betrifft. Beispiele hierfür sind das geplante IT-Sicherheitsgesetz und die EU-Richtlinie zur Cyber-Sicherheit, die neben den Kreditinstituen beispielsweise auch weitere systemrelevante Unternehmen wie Energieversorger oder Verkehrsunter­nehmen betreffen werden. (bw/sh)