IT-Risiken steuern und minimieren

ERM
-
09. Juli 2018
-
Von Sebastian Dosch

IT-Abteilungen in Banken sind heute immer häufiger nicht mehr nur für den Betrieb ihrer eigenen Systeme zuständig. Stattdessen kümmern sie sich zunehmend um die Steuerung und Kontrolle von externen IT-Dienstleistern, die die immer komplexeren Systeme für sie betreiben. Fremdbezug oder Auslagerung von IT-Leistungen nehmen inzwischen einen hohen Stellenwert im Finanzsektor ein. Denn Banken wollen sich auf das Kerngeschäft konzentrieren und gleichzeitig veraltete Technik auf den aktuellen Stand bringen.

Bei einem solch komplexen Outsourcing-Prozess müssen externe Dienstleister überwacht und gesteuert werden: es muss sichergestellt sein, dass deren Services den hohen regulatorischen Ansprüchen der Finanzdienstleistungsbranche gerecht werden. An dieser Stelle versuchen Banken oft, den eigenen Aufwand zu reduzieren, der ihnen durch die Aufsichtsbehörden entsteht. Sie stufen extern bezogene IT-Dienstleistungen dann nicht als Auslagerung, sondern lediglich als sonstigen Fremdbezug ein. Nach der neuen MaRisk sowie der begleitenden BAIT macht diese Abstufung keinen großen Unterschied mehr.

Die neue Abgrenzung von Auslagerungen und dem sogenannten „sonstigen Fremdbezug“ von Leistungen dient der Festlegung, dass für Fremdbezug lediglich § 25a Abs. 1 KWG mit seinen Regelungen für besondere organisatorische Pflichten anzuwenden ist. § 25b KWG hingegen gilt für die Auslagerung. Hiernach darf weder die Ordnungsmäßigkeit typischer Bankgeschäfte und –dienstleistungen, noch die Geschäftsorganisation im Sinne des § 25a Absatz 1 beeinträchtigt werden. Für den Fremdbezug ist das regelmäßig zu weit gefasst und daher nicht angemessen. 

Durch die Einwertung eines Geschäfts als sonstiger Fremdbezug von Leistungen ist die Bank aber keineswegs davon entbunden, weitere Vorkehrungen zu treffen. Dieser Irrglaube ist unter Finanzinstituten weit verbreitet. Aufsichtsbehörden beanstanden bei der Prüfung von Instituten beispielsweise, dass keine vertraglichen Mindestbestandteile für sonstige Fremdbezüge oder nicht wesentliche Auslagerungenvorgesehen sind. Auf diesem Weg ersparen sich die Banken umfassende – und von Providern ungeliebte – Regelungen in Verträge aufzunehmen. Auf diese Weise kann jedoch nicht sichergestellt werden, dass geschlossene Verträge risikoadäquat gestaltet werden: weder bei Vertragsabschluss, noch im laufenden Vertrag können Risiken erkannt und bewertet oder Gegenmaßnahmen ergriffen werden. Eine Vereinbarkeit mit § 25a KWG ist daher nicht sichergestellt.

Banken werden hier also gehörig umdenken müssen. Die erste Auflage der BAIT enthält keine neuen IT-Anforderungen und auch keine bislang unbekannten Regelungen oder Themen. Vielmehr enthält sie verschiedene Best Practices, die relevante Vorschriften für Planung, Aufbau, Betrieb und Kontrolle von IT-Systemen nach Auffassung der BaFin repräsentieren. In der BAIT finden sich alle wichtigen Themen rund um das Outsourcing der IT – von der IT-Strategie über das Informationssicherheitsmanagement bis hin zu Regelungen der Auslagerungen und sonstigen Fremdbezügen. Damit hat die Aufsichtsbehörde nicht nur deutlich gemacht, auf welche Themen sie bei einer Prüfung besonderen Wert gelegt hat bzw. legen wird. Sie hat ein Handbuch für IT-Verantwortliche aller Branchen erstellt. 

Den FinTechs die Stirn bieten

Hinzu kommt ein weiterer Aspekt. Banken entwickeln sich zunehmend zu IT-Unternehmen. Einerseits verlangen Durchführung und Kontrolle angestammter Dienstleistungen eine ausgetüftelte Informationstechnologie, andererseits entwickeln sich ständig neue, agile Geschäftsfelder, die die alteingesessenen Banken nicht alleine den FinTechs überlassen wollen. In der Welt von digitalen Bankprodukten und Kryptowährungen sind IT-Abteilungen nicht länger nur Kostenträger, sondern ermöglichen und produzieren Gewinne. In diese neue Rolle müssen sich IT-Verantwortliche erst einmal einfinden. Die Kehrseite der Medaille ist Cyberkriminalität. Sie bedroht die Sicherheit der Banken-IT und damit Glaubwürdigkeit, Reputation und Integrität. Nur eine IT, die diese Bedrohungen kennt und immer auf dem aktuellsten Stand ist, kann Banken wirklich IT-Sicherheit garantieren und Risiken minimieren. 

Auch deshalb erweitern MaRisk und BAIT den Anwendungsbereich des Risikomanagements um einen wesentlichen Punkt: Der isolierte Bezug von Software stellt jetzt in der Regel einen sonstigen Fremdbezug dar. Neben dem Bezug gehören dazu auch Dienstleistungen wie Customizing, Testen und Implementieren sowie die Wartung von Software. Auch Unterstützungsleistungen, die über die reine Beratung hinausgehen, werden so kategorisiert. Damit ist quasi jede externe IT-Dienstleistung einer Risikobewertung zu unterziehen und in das Management des operationellen Risikos einzubeziehen.

Lediglich drei Ausnahmen werden laut MaRisk weiterhin als Auslagerung eingestuft:  

  • • Unterstützungsleistungen für Software, die der Identifizierung, Beurteilung, Steuerung, Überwachung oder Kommunikation von Risiken dient, 
  • • Unterstützungsleistungen für Software, die von wesentlicher Bedeutung für die Durchführung von bankgeschäftlichen Aufgaben ist und 
  • • der Betrieb von Software durch einen externen Dritten.

Diese Ausnahmen sind nachvollziehbar. Provider haben auch bei der einmaligen Erbringung ihrer Dienstleistungen nicht immer nur das Wohl der Bankinstitute und deren Kunden im Sinn. Sie verfolgen ebenso eigene Interessen und Ziele und gehen dabei Risiken ein, um ihren Profit zu erhöhen. Sie halten eventuell sogar Informationen zurück, um bereits erlittene oder kurz bevorstehende Schäden zu vertuschen oder erbringen ihre Dienstleistung nicht in der Qualität, wie sie eigentlich geleistet werden müsste. Dieses Risiko sollte jede Bank kennen. Auch bei sonstigem Fremdbezug von Dienstleistungen haben die Institute daher die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Absatz 1 KWG zu beachten und die damit verbundenen Risiken angemessen zu bewerten.

Deshalb sind Institute durch die BAIT dazu angehalten, bei einem sonstigen Fremdbezug von IT-Dienstleistungen das Risiko zu bewerten, das in der externen Vergabe liegt, die Vergabe hinsichtlich der eigenen IT-Strategie zu prüfen und den Fremdbezug angemessen zu steuern und zu überwachen sowie regelmäßig die Prüfung zu wiederholen und gegebenenfalls Maßnahmen zu ergreifen.

Dabei bleibt das Proportionalitätsprinzip der MaRisk erhalten: Jede Bank muss selbst auf Basis ihrer Größe und ihrer Risikogeneigtheit entscheiden, welche der Anforderungen sie in welchem Umfang erfüllt. Ein kleines, lokal tätiges Institut wird die BAIT in weit geringerem Maße umsetzen als eine Großbank mit internationalem und risikoreichem Geschäft. 

Nun stellt sich die Frage, ob die Angst der Banken vor den neuen Vorschriften gerechtfertigt ist. Wächst der Berg an Regulierungen jetzt noch weiter? Nicht unbedingt: denn die neuen Vorschriften bilden nur das ab, was bei den Prüfungen bereits seit längerer Zeit gängige Praxis war. Die Banken müssen das jetzt lediglich konsequent umsetzen. Insbesondere die BAIT gibt Orientierungshilfen für sichere IT und Freiraum zum Einsatz neuer Technik. Auf Innovation kann dabei kein Institut verzichten. Die Zukunft programmiert sich nicht auf einem Windows-XP-Rechner.

Autoren:
Sebastian Dosch, Volljurist und Senior Consultant bei der Unternehmensberatung microfin. 

Artikelbild: ©jackykids – iStockphoto.com