Die zunehmende Digitalisierung und der Einsatz von IT birgt im bankbetrieblichen Geschäftsablauf neben den Chancen auch neue Risiken und Gefahren, denen Banken (Kreditinstitute resp. Finanzinstitute) ausgesetzt sind. Dies hat 2018 die FMA bewogen den Banken einen Leitfaden als Orientierungshilfe zur Ausgestaltung, den Anforderungen und den Vorkehrungen betreffend die IKT-Sicherheit (synonym für: IT-Sicherheit) zur Verfügung zu stellen: der „FMA-Leitfaden IKT-Sicherheit in Kreditinstituten“. Unter IKT- Systeme werden dabei Systeme der Informations- und Kommunikationstechnologie verstanden. Mit der Einführung der „EBA-Leitlinien für das Management von IKT- und Sicherheitsrisiken“ wurden ab dem 30. Sept. 2019 diese für die österr. Banken anstelle des FMA Leitfadens wirksam

Rechtsgrundlage in Österreich

In Österreich stellen der FMA Leitfaden und die EBA- Leitlinien eine aufsichtsbehördliche Konkretisierung von § 39 Abs 2b Z 5 und Abs 4 BWG iVm § 11 KI-RMV (operationelles Risiko der Kreditinstitute Risikomanagementverordnung, BGBl. II Nr. 487/2013) dar. Der FMA Leitfaden und die EBA Leitlinien sind dabei nicht als Verordnungen anzusehen. Über die gesetzlichen Bestimmungen hinausgehende Rechte und Pflichten können aus ihnen nicht abgeleitet werden. Diese Dokumente können als Grundlage zu Notwendigkeit der Dokumentation von Software in Banken angesehen werden.

Rechtsgrundlage in Deutschland

In Deutschland hat aufgrund der steigenden Bedeutung von IT in Banken am 14.09.2018 die Aufsichts-behörde BAFIN die Bankaufsichtliche Anforderungen an die IT (BAIT) in Form eines Rundschreibens (BAFIN Rundschreiben 10/2017) als Vorgaben des Einsatzes von IKT-Systeme für die dt. Kreditwirtschaft erlassen. Die BAIT sind als eine Konkretisierung der Mindestanforderungen an das Risikomanagement (MaRisk) hinsichtlich der Einführung und des Betriebs von IKT-Systeme bei Banken anzusehen. Dieses Rundschreiben gibt auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute, insbesondere für das Management der IT-Ressourcen und für das IT-Risikomanagement, vor.

Sorgfaltspflichten in Österreich

Proportionalitätsprinzip

Die in den beiden Dokumenten der EBA und FMA beschriebenen Ausgestaltungen, Anforderungen und Vorkehrungen unterliegen dem Grundsatz der Proportionalität, sodass diese nach Art, Umfang, Risiko und Komplexität der betriebenen Bankgeschäfte angemessen Anwendung finden sollen. Den Banken wird in Österreich also abhängig von ihrem Geschäftsmodell, ihrem Risiko und dem Umfang ihrer Tätigkeit ein Ermessensspielraum bei der Umsetzung eingeräumt.

Wesentliche Inhalte

Die FMA und EBA Leitlinien beinhalten im wesentlichsten Vorgaben zur systematischen Einführung und Steuerung von IKT- Systeme (Systeme der Informations- und Kommunikationstechnologie). Dabei werden die Themen der Errichtung einer IKT Strategie und die systematischen Steuerung der IKT-Systeme im Rahmen einer IKT-Governance angesprochen. Um den steigenden Gefahren der IT- und Cyberrisiken zu begegnen haben die Banken eigene Sicherheitsrichtlinien für ihre IKT- Landschaft zu erstellen. Für die benutzte Applikationssoftware haben die EBA und FMA den Kreditinstituten Sorgfaltspflichten in Zusammenhang mit IKT-Projekten und Anwendungsentwicklung auferlegt.

IKT-Systeminventar

Die Finanzinstitute in Österreich sollten im Rahmen des IKT-Betriebsmanagement ein aktuelles Verzeichnis ihrer IKT-Assets (einschließlich IKT-Systeme, Netzwerkgeräte, Datenbanken usw.) führen. Das IKT-Systeminventar sollte die Konfiguration der IKT-Systeme sowie die Verbindungen und Abhängigkeiten zwischen den verschiedenen IKT- Systemen enthalten, um einen ordnungsgemäßen Konfigurations- und Änderungsmanagementprozess zu ermöglichen. Dabei sind IKT-Assets ein Bestand aus Software oder Hardware, die man im Bankenumfeld findet.

Einführung von IKT- Systeme

Die Finanzinstitute in Österreich sollten über eine Methodik zur Überprüfung und Genehmigung von IKT- Systemen vor ihrer ersten Nutzung verfügen. Diese Methodik sollte die Kritikalität von Geschäftsprozessen und Vermögenswerten berücksichtigen. Die Tests sollten sicherstellen, dass neue IKT-Systeme die beabsichtigte Leistung erbringen. Sie sollten auch Testumgebungen verwenden, die die Produktions-umgebung angemessen wiedergeben.

Dokumentationspflichten

Zur Gewährleistung der Nachvollziehbarkeit der Buchführung in Österreich durch einen sachverständigen Dritten (vgl. § 190 Abs. 1 UGB) ist bei Verwendung einer IT-Buchführung eine geeignete Dokumentation (Verfahrensdokumentation) in übersichtlicher Form erforderlich. Eine ordnungsgemäße Verfahrens-dokumentation hat die Beschreibung aller zum Verständnis der Buchführung erforderlichen Verfahrens-bestandteile zu umfassen. Dies trifft auch auf Kreditinstitute im Rahmen ihrer Buchführung zu. Dazu zählen

• die Anwenderdokumentation,
• die technische Systemdokumentation
• sowie die Betriebsdokumentation.

Die technische Systemdokumentation hat für jede neue Programmversion insbesondere folgende Informationen zu enthalten:

• Aufgabenstellung
• Datenorganisation und Datenstrukturen (Datensatzaufbau bzw. Tabellenaufbau bei Datenbanken)
• Verarbeitungsregeln (inklusive Steuerungsparameter, Tabelleneinstellungen)
• einschließlich automatische Kontrollen, Abstimmungsverfahren und Fehlerbehandlung
• Datenausgabe
• verfügbare Programme
• Schlüsselverzeichnisse
• Schnittstellen zu anderen Systemen (Inhalte der übertragenen Daten, Übertragungsrichtung, Auslöser etc.).

Änderungsdokumentation: Auch bei Änderung der Konfiguration (Customizing) ist die Systemdokumentation entsprechend zu aktualisieren. Die Betriebsdokumentation dient der Dokumentation der ordnungsgemäßen Anwendung des Verfahrens und behandelt u.a.:

• Datensicherungsverfahren
• Verarbeitungsnachweise (Verarbeitungs- und Abstimmprotokolle)
• Auflistung der verfügbaren Programme mit Versionsnachweisen.

IT Prüfungen

In Österreich haben die Bankprüfer im Rahmen der Durchführung der Abschlussprüfung bei Kreditinstituten (gemäß der Bankprüfungsrichtlinie – BPR 2007) Prüfungshandlungen in Bezug auf IT- Systeme bei Kreditinstitute durchzuführen. Dabei haben sich die Bankprüfe an das Fachgutachten der Ordnungsmäßigkeit von EDV-Buchführungen (KFS/DV1) sowie der Fachgutachten Prüfung bei Einsatz von Informationstechnik (KFS/DV 2) zu orientieren.

Dokumentationspflichten in Deutschland

Anwendungsdokumentation:

In Deutschland fordert die BAFIN von den Banken , dass diese alle im Einsatz befindlichen Anwendungen sowie deren Entwicklung übersichtlich und für sachkundige Dritte nachvollziehbar zu dokumentieren haben. Die Dokumentation der Anwendung umfasst mindestens folgende Inhalte:

•  Anwenderdokumentation
• Technische Systemdokumentation
• Betriebsdokumentation.
• Zur Nachvollziehbarkeit der Anwendungsentwicklung trägt beispielsweise eine Versionierung des Quellcodes und der Anforderungsdokumente bei.

Dabei sieht die BAFIN die Notwendigkeit mehrere verschiedene Dokumentationstypen für die Anwendungen der Banken zu erstellen und sieht dabei folgende Typen vor:

Anforderungsdokumente sind beispielsweise:

• Fachkonzept (Lastenheft bzw. User-Story)
• Technisches Fachkonzept (Pflichtenheft bzw. Product Back-Log).

Nichtfunktionale Anforderungen an IT-Systeme sind beispielsweise:

• Ergebnisse der Schutzbedarfsfeststellung
• Zugriffsregelungen
• Ergonomie
• Wartbarkeit
• Antwortzeiten
• Resilienz.

Anwendungsentwicklung:

Im Rahmen der Anwendungsentwicklung sind nach Maßgabe des Schutzbedarfs angemessene Vorkehrungen im Hinblick darauf zu treffen, dass nach Produktivsetzung der Anwendung die Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der zu verarbeitenden Daten nachvollziehbar sichergestellt werden. Dabei sieht die BAFIN folgende geeignete Vorkehrungen vor:

• Prüfung der Eingabedaten
• Systemzugangskontrolle
• Nutzer-Authentifizierung
• Transaktionsautorisierung
• Protokollierung der Systemaktivität
• Prüfpfade (Audit Logs)
• Verfolgung von sicherheitsrelevanten Ereignissen
• Behandlung von Ausnahmen.

Im Rahmen der Anwendungsentwicklung müssen Vorkehrungen getroffen werden, die erkennen lassen, ob eine Anwendung versehentlich geändert oder absichtlich manipuliert wurde. Dabei sieht die BAFIN folgende geeignete Vorkehrungen vor:

• Eine geeignete Vorkehrung unter Berücksichtigung des Schutzbedarfs kann die Überprüfung des Quellcodes im Rahmen der Anwendungsentwicklung sein.
• Die Überprüfung des Quellcodes ist eine methodische Untersuchung zur Identifizierung von Risiken.

Testdokumentation

Dabei haben die Banken in Deutschland eine Methodik für das Testen von Anwendungen vor ihrem erstmaligen Einsatz und nach wesentlichen Änderungen zu definieren und einzuführen. Die Tests haben in ihrem Umfang die Funktionalität der Anwendung, die Sicherheitskontrollen und die Systemleistung unter verschiedenen Stressbelastungsszenarien einzubeziehen. Die Durchführung von fachlichen Abnahmetests verantwortet der für die Anwendung zuständige Fachbereich. Testumgebungen zur Durchführung der Abnahmetests haben in für den Test wesentlichen Aspekten der Produktionsumgebung zu entsprechen. Testaktivitäten und Testergebnisse sind umfassend zu dokumentieren. Eine Testdokumentation enthält mindestens folgende Punkte:

• Testfallbeschreibung
• Dokumentation der zugrunde gelegten Parametrisierung des Testfalls
• Testdaten
• Erwartetes Testergebnis
• Erzieltes Testergebnis
• Aus den Tests abgeleiteten Maßnahmen.

Fazit

Um den steigenden Einsatz von IKT Systeme (unter IKT- Systeme werden dabei Systeme der Informations- und Kommunikationstechnologie verstanden) und den einher gehenden Risiken (z.B. Betrugs- und Cyberisiken) adäquat zu begegnen haben die europäischen Aufsichtsbehörden den Banken umfassende Dokumentationspflichten bei der Einführung und den Betrieb von IKT- Systeme auferlegt.