Zum Inhalt gehen

KAIT: Wie die angemessene und wirtschaftliche Umsetzung der BaFin-Anforderungen gelingt

Sebastian Ertl
2019-05-29

Das BaFin-Rundschreiben „Kapitalverwaltungsaufsichtliche Anforderungen an die IT“ (KAIT) definiert eine Vielzahl an komplexen Anforderungen an die Organisation, Prozesse und Systeme der Kapitalverwaltungsgesellschaften (KVGen). Bei der Umsetzung der BaFin-Anforderungen befinden sich KVGen in einem schwierigen Spannungsfeld zwischen Angemessenheit (Compliance) und Wirtschaftlichkeit (Kosten). Wie gelingt die angemessene und wirtschaftliche Umsetzung in der Praxis? Durch ein risikobasiertes, smartes, integriertes, automatisiertes und fokussiertes Vorgehen!

KAIT im Überblick

  • Anwendungsbereich: KVGen im Sinne des §17 KAGB, soweit diese über eine Erlaubnis nach §20 Abs. 1 KAGB verfügen
  • Anwendungszeitraum: ab Veröffentlichung
  • Proportionalitätsprinzip: individuelles Risikoprofil maßgeblich für die Umsetzung (risikobasierter Ansatz)
  • Referenzierung: Verweis auf gängige Standards und Stand der Technik
  • Anforderungen in den Themengebieten: IT-Strategie, IT-Governance, Informationsrisiken und -sicherheit, Benutzerberechtigungsmanagement, Anwendungsentwicklung, IT-Betrieb und Auslagerungen

Risikobasiert vorgehen!

Die Umsetzung der KAIT-Anforderungen muss risikobasiert erfolgen. Im Konkreten: Ermittlung des individuellen Risikoprofils (risikobasierter Ansatz). Darauf aufbauend: die Umsetzung der KAIT-Anforderungen in Organisation, Prozessen und Systemen (proportional zu den ermittelten Risiken). In der Folge kann eine KAIT-Anforderung in unterschiedlichen Risikoumgebungen (z.B. aufgrund territorialer, rechtlicher oder technologischer Unterschiede) verschiedenartig ausgestaltet und umgesetzt werden. Beispiel: die in KAIT geforderten Sicherheitsmaßnahmen für IT-Systeme können – je nach Risikoprofil eines IT-Systems – unterschiedlich ausgestaltet sein. Für ein IT-System mit Schnittstelle zum Internet kann ein Penetrationstest erforderlich sein, für ein IT-System ohne Schnittstelle zum Internet kann ggfs. darauf verzichtet werden.

Smart vorgehen!

Im Wesentlichen sind die KAIT-Anforderungen Konkretisierungen bzw. Verschärfungen bereits bestehender Anforderungen. Nur wenige KAIT-Anforderungen haben den Charakter einer „neuen“ Anforderung. Entsprechend sollten die bereits bestehenden und dokumentierten Prozesse, Maßnahmen und Kontrollen – soweit möglich – wiederverwendet und angepasst werden. Beispiel: das bereits bestehende und dokumentierte Informationssicherheitsmanagementsystem (ISMS) kann die Basis zur Erfüllung der KAIT-Anforderungen zu Informationsrisiken und -sicherheit bilden. Aus einem Vergleich zwischen Ist-ISMS und Soll-KAIT können punktuelle Lücken identifiziert und zielgerichtet geschlossen werden.

Integriert vorgehen!

Die KAIT-Anforderungen sind kein alleinstehendes und unabhängiges Konstrukt. Vielmehr bestehen zahlreiche Abhängigkeiten und Redundanzen der KAIT-Anforderungen mit sonstigen Standards (z.B. ISO 2700X), Rahmenwerken (z.B. COBIT) und gesetzlichen Vorgaben (z.B. DSGVO). Beispiel: die DSGVO fordert Kapitalverwaltungsgesellschaften auf, angemessene technische und organisatorische Maßnahmen (TOM) umzusetzen und nachzuweisen. Die im Datenschutz geforderten TOMs überschneiden sich teilweise mit den in der Informationssicherheit geforderten Sicherheitskontrollen und den in KAIT geforderten Sicherheitsmaßnahmen für den Betrieb und die Entwicklung von IT-Systemen.

Gleichermaßen ist KAIT kein alleinstehendes Managementsystem. Es selektiert einzelne Anforderungen aus bestehenden Managementsystemen (z.B. Internes Kontrollsystem, Informationssicherheitsmanagement, Business Continuity Management). Entsprechend sollten die bestehenden und dokumentierten Managementsysteme – soweit möglich – herangezogen und wiederverwendet werden, um KAIT-Konformität zu erreichen.

Automatisiert vorgehen!

Die Umsetzung der KAIT-Anforderungen erzeugt eine Vielzahl an bestehenden, angepassten und neuen Dokumenten – mit Abhängigkeiten und Überlappungen zu bestehenden Anforderungen und Managementsystemen. Mitunter existieren für einen Sachverhalt (z.B. Benutzerberechtigungsmanagement) mehrere Dokumente (z.B. Berechtigungskonzept) aufgrund unterschiedlicher Blickwinkel und Terminologien (z.B. Datenschützer, Wirtschaftsprüfer, Aufsichtsbehörde). Diese Flut an Dokumenten und Nachweisen ist zu reduzieren und durch Verwendung von Vorlagen, Tools und Datenbanken zu automatisieren. Beispiel: der im Datenschutz geforderte Nachweis zu einzelnen TOM lässt sich einfach und schnell mit den in der Informationssicherheit und in KAIT geforderten Kontrollnachweisen verbinden und in einem entsprechenden Tool abbilden.

Fokussiert vorgehen!

Die KAIT-Anforderungen nach dem „Gießkannenprinzip“ über alle Organisationen, Prozesse und Systeme hinweg umzusetzen ist nicht zielführend. Vielmehr empfiehlt sich ein strukturiertes und fokussiertes Vorgehen unter Berücksichtigung des risikobasierten Ansatzes:

  • Ist-Situation: Identifizierung, Analyse und Bewertung der Ist-Situation in den KAIT-Themenfeldern. Ergebnis: Priorisierung der Themenfelder.
  • GAP-Analyse: Bewertung auf Basis eines Vergleiches zwischen Soll und Ist und unter Berücksichtigung der Branchensicht. Ergebnis: GAP-Bericht, inkl. Priorisierung und Handlungsempfehlungen.
  • Umsetzung: Priorisierte Umsetzung der Handlungsempfehlungen (risikobasiert, smart, integriert, automatisiert, fokussiert). Ergebnis: KAIT Compliance unter Berücksichtigung der Wirtschaftlichkeit.

Vorgehensweise entscheidet über die Wirtschaftlichkeit

Umsetzung nach dem „Gießkannenprinzip“? Nicht zielführend. Stattdessen: risikobasierte, smarte, integrierte, automatisierte und fokussierte Umsetzung! Dies spart Zeit und Kosten im Projekt- und Linienbetrieb und erhöht die Qualität der Projekt- und Arbeitsergebnisse.

    <div class="row">
        <div class="col-12 text-left">
            <a href="https://www.capgemini.com/de-de/anmeldung-capgemini-blog/" id="btn-1552392066625" class="section__button btn-general" target="_self">Blog per E-Mail abonnieren</a>
        </div>
    </div>