Zum Inhalt springen
Eingabe
Zum Menü springen
Eingabe
Zur Fußzeile springen
Eingabe
Kontakt
+49 6221 650 33 0
Kontaktformular
Zurück
6. November 2021
No items found.

MaRisk und BAIT 2021: Mehr Informationssicherheit durch präzisierte Anforderungen

Mit der Novellierung von MaRisk und BAIT am 16. August 2021 konkretisiert die BaFin bestehende Anforderungen und stärkt das Informationssicherheitsmanagement in Finanzinstituten – mit weitreichenden Folgen für Organisation und Verantwortlichkeiten.

Computertastatur mit Schloss-Symbol

Mit dem Inkrafttreten der überarbeiteten Mindestanforderungen an das Risikomanagement (MaRisk) sowie der bankaufsichtlichen Anforderungen an die IT (BAIT) am 16. August 2021 hat die Aufsicht ihre Erwartungen an das Informationssicherheitsniveau von Finanzinstituten geschärft. Entgegen verbreiteter Annahmen handelt es sich nicht um neue Anforderungen, sondern um präzisierte Vorgaben zur Umsetzung bestehender regulatorischer Leitlinien – insbesondere im Lichte der EBA-Leitlinien zum IKT- und Sicherheitsrisikomanagement. Dennoch bringen die Änderungen teils erheblichen Anpassungsbedarf mit sich, vor allem im operativen Bereich. Der Beitrag gibt einen Überblick über die relevanten Neuerungen, ihren Umsetzungsaufwand und praxisnahe Empfehlungen.

Konkretisierungen der MaRisk: Auslagerungen und Informationsverbund

Im MaRisk-Rundschreiben wurde insbesondere der Abschnitt AT 9 (Auslagerungen) um neue Anforderungen ergänzt. Hinzu kommt die Einführung des Begriffs Informationsverbund, der eine strukturiertere Herangehensweise an die Risikobewertung informationsverarbeitender Systeme ermöglicht. Auch wenn für einige MaRisk-Passagen Übergangsfristen eingeräumt wurden, ist ein frühzeitiger Abgleich mit der eigenen Risikostruktur ratsam.

BAIT 2021: Informationssicherheit rückt in den Mittelpunkt

Deutlich stärker im Fokus steht die BAIT-Novellierung. Sie betont die tragende Rolle des Informationsrisikomanagements für die Resilienz gegenüber Cyber-Bedrohungen und strukturiert die Anforderungen in mehreren neuen bzw. erweiterten Kapiteln:

  • Neues Kapitel „Operative Informationssicherheit“ mit konkreten Vorgaben zu Schwachstellenmanagement, Netzwerksegmentierung, sicherer Systemkonfiguration und SIEM-Betrieb.
  • Kapitel „IT-Notfallmanagement“ mit erweiterten Anforderungen zur Krisenvorsorge.
  • Ergänzte Anforderungen an die IT-Strategie mit Fokus auf Informationssicherheit.
  • Verpflichtende Schutzbedarfsprüfung durch das Informationsrisikomanagement.
  • Neudefinierte Inhalte der Informationssicherheitsleitlinie.
  • Verpflichtung zur Richtlinie für Sicherheitstests (inkl. Penetrationstests).
  • Verstärkte Verantwortlichkeitszuweisungen im Sinne der „drei Verteidigungslinien“.

Insbesondere das Kapitel zur operativen Informationssicherheit verlangt nicht nur technische Maßnahmen, sondern einen Kulturwandel hin zur geteilten Verantwortung. Informationssicherheit ist keine isolierte Funktion des ISB mehr, sondern Teamaufgabe quer durch die Organisation.

Praxisimplikationen und Handlungsempfehlungen

Auch wenn die Aufsicht die Änderungen als reine Konkretisierungen versteht, zeigen erste Erfahrungen in der Praxis: Die Umsetzung ist ressourcenintensiv – sowohl personell als auch organisatorisch. Entscheidend ist daher eine schrittweise, risikoorientierte Herangehensweise.

Konkrete Empfehlungen:

  1. Kompetenzaufbau sicherstellen – gezielte Schulungen für operative Einheiten und IT-Personal.
  2. Ressourcenausstattung überprüfen – intern wie auch extern (Beratungsbedarf).
  3. Kleine Schritte planen – iterative Umsetzung statt "großem Wurf".
  4. Wissensaustausch fördern – Nutzung bestehender Netzwerke und Best Practices.

Fazit

Die Novellierungen von MaRisk und BAIT markieren einen Paradigmenwechsel: Nicht neue Anforderungen, sondern präzisere Erwartungen an eine gelebte Informationssicherheitskultur stehen im Zentrum. Insbesondere kleinere Institute sollten nicht den Anspruch haben, sofort sämtliche Anforderungen vollumfänglich zu erfüllen, sondern auf kontinuierliche Verbesserung und risikobasierte Priorisierung setzen. Dabei bleibt Informationssicherheit eine Querschnittsaufgabe – im Spannungsfeld zwischen regulatorischer Compliance und wirtschaftlicher Effizienz.

Hinweis auf Veranstaltungen

Passende Seminare aus unserem Portfolio:

  • "Umsetzung neuer MaRisk- & BAIT-Vorgaben im Auslagerungsmanagement"
  • "Informationssicherheit AKTUELL"
  • "Neue BAIT: Umsetzung & Prüfung im Fokus von Aufsicht & Revision"
Autor:
Autor: Florian Kertscher
Florian Kertscher ist Informationssicherheitsbeauftragter im Bereich Compliance der Sparkasse KölnBonn. Seine Arbeitsschwerpunkte liegen im regulatorischen Informationssicherheitsmanagement und der operativen Umsetzung aufsichtsrechtlicher Anforderungen.

Weiterführende Hinweise und Veranstaltungen

Weitere Fachbeiträge

Alle Beiträge
Auslagerungsmanager unter Druck
10. April 2025

Outsourcing unter Druck: Neue Anforderungen durch MaRisk 6.0 und BAIT 2021

Die überarbeiteten Regelwerke zu MaRisk und BAIT stellen das Auslagerungsmanagement von Kreditinstituten vor neue Herausforderungen. Besonders im Fokus: Risikoanalyse, Vertragsmanagement und Notfallvorsorge.

Jörg Schmitz
Konferenz
11. April 2025

Nachhaltigkeit im Finanzwesen: Wie EU-Taxonomie und CSRD Banken und Sparkassen transformieren

Taxonomie und CSRD zwingen Finanzinstitute zur Transparenz in Sachen Nachhaltigkeit. Was bedeutet das konkret für Ihre Berichterstattung, Ihre Strategie – und Ihre Reputation?

Autor: Kevin D. Bröde
Revisoren bei der Arbeit
14. Dezember 2024

Projektprüfung der EU-Taxonomie: Revisionsansätze für die Praxis

Die EU-Taxonomie bringt neue Berichtspflichten – und neue Herausforderungen für Unternehmen. Wie kann die Interne Revision diesen Transformationsprozess wirksam unterstützen? In unserem Fachbeitrag zeigt Katrin Andriani praxisnah, wie Projektprüfungen und -begleitungen zur Umsetzungssicherheit beitragen. Mit konkreten Ansätzen, klaren Prüfzielen und fünf kompakten Praxistipps.

Autorin: Katrin Andriani
Alle Beiträge