Neue Bankenaufsichtliche Anforderungen an die IT (BAIT)

Wie wichtig sind die neuen Anweisungen für die SAP-Umgebung?

08 - 06 - 2021

SAP-Verantwortliche aus der Finanzindustrie haben vermutlich schon 2018 oder zuvor von den sogenannten Bankenaufsichtlichen Anforderungen in der IT gehört, kurz BAIT. Worum handelt es sich dabei? Die zuständige Regulierungsbehörde in Deutschland, die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), hatte vormalig 2017 auf Basis des deutschen Kreditwesengesetzes und den Mindestanforderungen an des Risikomanagement (kurz MaRisk) die BAIT 2018 veröffentlicht. Dieses Dokument soll den Beaufsichtigten eine Hilfestellung geben, um die Anforderungen des Gesetzgebers und der Regulierung auf Basis des BSI-Grundschutzes und den ISO-2700X-Standards zu konkretisieren und umzusetzen. Entsprechend ist die BAIT eine Menge von Soll-Anforderungen, welche die BaFin bei den Beaufsichtigten umgesetzt sehen möchte.

Seit letztem Jahr läuft die Konsultation der Überarbeitung der BAIT für 2021. Aus bislang neun Anforderungsbereichen und 61 Ziffern sind mittlerweile zwölf Bereiche und 83 Ziffern geworden. Dabei sind die Bereiche operative Informationssicherheit, IT-Notfallmanagement und Kundenbeziehungen mit Zahlungsdienstleistern hinzugekommen – sowie zusätzliche Ziffern in bestehenden Bereichen hinzugefügt, angepasst und inhaltlich ergänzt worden.

Wie wichtig ist das Ganze für Ihre Nutzung von SAP-Software?

Kommen wir zurück zur Ausgangsfrage: Wie wichtig sind die BAIT für den SAP-Einsatz?

Sehr wahrscheinlich: sehr wichtig. Die BaFin fokussiert sich zwar auf die Systeme der Abwicklung von Finanzdienstleistungen – ein SAP-System kann in diesem Fall beispielsweise als Client für das Swift-Netzwerk, als zentrales Versicherungs- oder Konditionsmanagement bis hin zum Core-Banking zum Einsatz kommen. Jedoch werden auch technisch-organisatorische Maßnahmen, z.B. für ein SAP-HR, unter Umständen als prüfungsrelevant angesehen. Darauf folgt die Frage: Wann werden die Anforderungen wichtig sein? Beispielsweise wenn das HR in bei der Verwaltung von IT-Accounts als Stammdatensystem eine Rolle spielt. Es besteht die Möglichkeit, dass auch Ihr Einsatz von SAP-Software hinsichtlich des Umfangs und der Tiefe geprüft werden muss. Daher stellt sich die spannende Frage: Wie effizient bestimmen Sie den Erfüllungsgrad Ihres Ambitionsniveaus und können ein mögliches Delta schließen? Dabei sollte man sich eine Übersicht verschaffen, welche Änderungen im Vergleich zu 2018 die neuen Regularien mit sich bringen.

Der „neue“ Bereich: Operative Informationssicherheit

Die augenscheinlichste Neuerung ist der Bereich Operative Informationssicherheit. Die Fähigkeiten operativer Informationssicherheit werden oft in einem Information Security Operations Center (ISOC, oder auch SOC) zusammengefasst. Dabei soll ein SOC die folgenden Anforderungen erfüllen: „Eine zentrale Übersicht und Steuerung der Informationssicherheitslage durch die Erkennung, Eindämmung und Beseitigung von IT-Bedrohungen bereitstellen, um die Sicherheitslage einer Organisation zu verwalten und zu verbessern“ (frei nach Wikipedia). Aus Sicht der BaFin soll das nach dem „Stand der Technik“ (BAIT’21 5.1) erfolgen.

Welche Fragen sollten Sie sich mit Blick auf Ihren SAP-Einsatz stellen?

Um eine Antwort zu finden, was BAIT’21 für Ihren Einsatz von SAP-Software bedeutet, können Sie exemplarisch folgende Fragen stellen:

  • Haben wir einen Härtungsleitfaden für die Konfiguration unsere SAP-Systeme? (BAIT’21 5.2)
  • Fertigen wir eine regelbasierte, zeitnahe Auswertung von SAP-Logs an, um Sicherheitsereignisse festzustellen? (BAIT’21 5.3). Beispielsweise die Identifikation von mehrfachen Anmeldeversuche wie bei Brute-Force- oder Password-Spraying-Angriffen. Dabei zitiere ich die o.g. Ziffer im Wortlaut: „Die regelbasierte Auswertung großer Datenmengen erfordert in der Regel den Einsatz automatisierter IT-Systeme.“
  • Haben wir ein hinreichendes Portfolio an Regeln und Möglichkeiten, um relevante Sicherheitsereignisse zu erkennen und darauf reagieren zu können und die Kompetenz diese auf Wirksamkeit zu prüfen und weiterzuentwickeln? (BAIT’21 5.4) Entsprechendes setzt voraus, dass man die Bedrohungen für seinen SAP-Einsatz fortlaufend erfasst und bewertet.
  • Führen wir regelmäßig und anlassbezogen – abhängig von unserem Schutzbedarf –
  • Sicherheitsprüfungen durch, beispielsweise in Form von Schwachstellen-Scans, Penetrationstests, oder Angriffssimulationen? Dabei stellt sich die Frage, ob die Prüfungen aussagekräftig, also mit der notwendigen Expertise für SAP-Sicherheit und über alle relevanten Domänen der SAP-Anwendung, wie Schnittstellen, Betriebssystem- und Basiskonfiguration, Zugänge und Berechtigungen und dem Customizing, Eigen- und Drittentwicklungen sowie dem zugehörigen Deployment über Entwicklung, nach Test in Produktion durchgeführt wurden.

Seit den letzten Monaten unterstützen wir einen Kunden im Bankensektor sowie einen Versicherungskonzern bei der Erfüllung des neuen BAIT-Ambitionsniveaus und begleiten diese bei der Durchführung von Maßnahmen. Dabei stehen wir über unsere Kunden im Austausch mit der BaFin. In den folgenden Wochen teile ich in diesem Blog unsere Erfahrungen in den Bereichen IT-Projekte und Anwendungsentwicklung, IT-Betrieb und Identitäts- und Rechtemanagement.

Profitieren Sie von unserer langjährigen Erfahrung in der Zusammenarbeit mit Finanzdienstleistern als unabhängiger vertrauensvoller Berater für SAP-Sicherheit – im direkten Zusammenhang mit BAIT’21 wie auch nachhaltig über dieses Thema hinaus.

Wie denken Sie darüber?

Wir freuen uns, mit Ihnen in Kontakt zu treten und etwas über Ihre Sichtweise zu erfahren. Schicken Sie uns eine Nachricht.

Nachricht schickenZurück zur Übersicht

Über den Autor

Marco HammelCo-Founder and CTO, NO MONKEY
  • More than eight years in educating, advising, and securing people, processes, and SAP technology
  • With his experience as a software developer, the topic of code and software pipeline security is his main focus
  • CISSP certified cybersecurity expert with an SAP technology background

Learn More About the NO MONKEY Solutions

Stay up to date on the latest developments in SAP security

Follow us on LinkedIn