Automation der bankaufsichtlichen Anforderungen an die IT (BAIT)

Effiziente & revisionssichere Governance, Risk & Compliance Umsetzung im IT-Betrieb

Free trial In a nutshell NIS2 🇩🇪
Automation der bankaufsichtlichen Anforderungen an die IT (BAIT) Im Jahr 2017 erschien die bankaufsichtlichen Anforderungen an die IT (BAIT) als Konkretisierung der Mindestanforderungen an das Risikomanagement (MaRisk) thematisierten IT Anforderungen. Diese sind von Finanzinstitutionen ohne Übergangfrist umzusetzen und die IT-Bereiche nach den BAIT auszurichten.
Die folgende Tabelle stellt die bankaufsichtlichen Anforderungen an den IT-Betrieb und die von Versio.io bereitgestellten Lösungsansätze zur Automatisierung dieser dar. Damit stellt Versio.io Banken und Finanzinstituten eine formalisierte, stabile und revisionssichere Ausführungsplattform für die Einhaltung der BAIT-Anforderung an den IT-Betrieb zur Verfügung. Eine zeitnahe Implementierung innerhalb von wenigen Tagen und ein minimaler interner Ressourcenaufwand auf Grund des sehr hohen Automationsgrades reduzieren den internen Kostenaufwand.

BAIT-Anforderungen an den IT-Betrieb und Versio.io Automationsansatz

Bankaufsichtliche Anforderungen an die IT Versio.io Lösung
Beschreibung Link AG
8.1
Der IT-Betrieb hat die Anforderungen, die sich aus der Umsetzung der Geschäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen ergeben, zu erfüllen (vgl. AT 7.2 Tz. 1 und Tz. 2 MaRisk).

-
8.2
Die Komponenten der IT-Systeme und deren Beziehungen zueinander sind in geeigneter Weise zu verwalten, und die hierzu erfassten Bestandsangaben regelmäßig sowie anlassbezogen zu aktualisieren. Zu den Bestandsangaben zählen insbesondere:

-
Bestand und Verwendungszweck der Komponenten der IT-Systeme mit den relevanten Konfigurationsangaben (z.B. Versions- und Patchlevel)

Vollautomatisierte Inventarisierung auf allen Ebenen der IT: Infrastruktur, Systemkomponenten, Anwendungen und Endbenutzergeräte (Full-Stack Approach).

100%   100%

Im Rahmen der Erfassung werden die zum Zeitpunkt der Erfassung eingesetzten Versionen für Betriebssysteme, Programmiersprachen, Frameworks und Anwendungen vollautomatisiert ermittelt

100%   100%

Daten von Drittsystemen, wie bspw. IT- und Netzwerkmonitoring, IT Service Management, Cloud Anbietern und Geschäftsanwendungen, können einfach integriert und mittels der Versio.io Topologie in Beziehung gebracht werden

100%   100%
Eigentümer der IT-Systeme und deren Komponenten

Kundenspezifische Informationen, wie bspw. Eigentümer oder Anwendung, können mittels Umgebungsvariablen definiert und somit in Versio.io erfasst werden. Die topologischen Beziehungen zwischen den Assets und Configuration Items der erfassten IT-Landschaft ermöglicht dann auch komplexe inhaltliche Zuordnungen abzufragen. Somit lassen sich bspw. alle zu einer Anwendung zugehörigen Komponenten (top-down) oder alle auf einem Rechner ausgeführten Anwendungen (bottom-up) ermitteln.

100%   100%
Standort der Komponenten der IT-Systeme

Geolokationen bzw. Standortdaten können von Drittsystemen übernommen, durch Umgebungsvariablen definiert oder durch Ableitung von der IP ermittelt werden.

100%   100%
Aufstellung der relevanten Angaben zu Gewährleistungen und sonstigen Supportverträgen (ggf. Verlinkung)

Verträge in digitaler Form (bspw. Microsoft 365) oder Schlüsselparameter von Papierverträgen können von Versio.io importiert bzw. erfasst werden. Versio.io bietet hier eine revisionssichere Datenablage an, welche jeden Zustand eines und Änderung an einem Vertrag über deren gesamten Lebenszyklus nachvollziehbar macht.

Die importierten Vertragsdaten können auf Basis deren Inhalten (Datenattribute, Filter) und Beziehungen (Topologie) analysiert werden.

Jegliche Vertragsdaten können hinsichtlich ihrer Plausibilität, Integrität und Compliance verifiziert werden. Entsprechende Verstöße werden revisionssicher festgehalten und es können entsprechende Benachrichtigung versendet werden.



100%   100%
Angaben zum Ablaufdatum des Supportzeitraums der Komponenten der IT-Systeme

Versio.io stellt mit seiner 'Produkt Release & End-of-Life Datenbank' alle Release relevanten Informationen über Hardware- und Softwareprodukte zur Verfügung. Auf Basis dieser Informationen können Regelsätze generiert werden, welche eine vollautomatisierte Verifikation der Kundenspezifischen Produkt Release Strategie bereitstellt. So können bspw. Release Strategien wie 'letztes Release', 'letzter Patch', 'in Wartung', 'Support gegeben' oder 'Langzeitsupport' überprüft werden.


100%   100%
Schutzbedarfe von IT-Systemen und deren Komponenten

Die Bestimmung des Schutzbedarfs erfolgt im ersten Schritt auf konzeptioneller Ebene. Versio.io bietet die Möglichkeit den Schutzbedarf im IT-Betrieb über die gesamte IT-Landschaft zu operationalisieren.

Schutzbedarfe können in Form von Umgebungsvariablen oder Tags an IT-Systemen und deren Komponenten gespeichert werden. Damit kann der Schutzbedarf in allen darauffolgenden Umsetzungsszenarien genutzt werden (bspw. Reporting, Compliance Prüfung, Kostenverrechnung etc.).

75%   75%
Akzeptierter Zeitraum der Nichtverfügbarkeit der IT-Systeme sowie der maximal tolerierbare Datenverlust.

Definierte Wartungsfenster aus verschiedensten Drittsystemen (ITSM, Monitoring) können importiert und historisiert gespeichert werden.

Die Wartungsfenster inklusive deren topologischen Beziehungen zu IT-Komponenten können analysiert, ausgewertet und verifiziert werden. Somit können bspw. Wartungsfenster in einer kritischen Geschäftszeit oder ohne einen Endzeitpunkt identifiziert werden.


50%   50%
8.3
Das Portfolio aus IT-Systemen bedarf der Steuerung. IT-Systeme sollten regelmäßig aktualisiert werden. Risiken aus veralteten bzw. nicht mehr vom Hersteller unterstützten IT-Systemen sind zu steuern (Lebenszyklus-Management.

Die Erfassung der IT-Systeme erfolgt vollautomatisiert und kontinuierlich. Kleinster Aktualisierungszyklus ist derzeit 1 Minute. Damit stehen in Versio.io die Daten der IT-Landschaft in nahezu Echtzeit zur Verfügung. Versionen von Betriebssystemen, Systemkomponenten, Programmiersprachen, Technologien und Anwendungen bei erfassen. Jede Änderung der Version wird gegen die Versio.io interne 'Produkt Release und End-of-Life Datenbank' nach kundenspezifischen Strategien, wie bspw. letztes Release, letzter Patch, Unterstützung Langzeitsupport, Produkt unter Wartung und Support, verifiziert.


100%   100%
8.4
Die Prozesse zur Änderung von IT-Systemen sind abhängig von Art, Umfang, Komplexität und Risikogehalt auszugestalten und umzusetzen. Dies gilt auch für Neu- bzw. Ersatzbeschaffungen von IT-Systemen sowie für sicherheitsrelevante Nachbesserungen (Sicherheitspatches). Änderungen von IT-Systemen umfassen auch die Wartung von IT-Systemen. Beispiele für Änderungen sind:

-
Funktionserweiterungen oder Fehlerbehebungen von Softwarekomponenten

Funktionale Erweiterungen eines IT-Systems bestehen neben dem Softwarecode aus Änderungen in Konfigurationen. Dazu gehören Datenbank-Schemas, Dateikonfigurationen (App-,Web-,Messaging- oder Datenbank-Server), DevOps Artefakten (Docker oder Kubernetes Konfigurationen), Netzwerkkonfigurationen (Freischaltung von Netzwerksegementen und Ports). Diese Konfigurationen können vollautomatisiert erfasst und dokumentiert werden. Jede dieser Änderungen kann wiederum vollautomatisiert hinsichtlich einer SOLL-Konfiguration, Sicherheitsvorgaben und internen Vorgaben verifiziert werden.

Für die Analyse der Ursache von auftretenden Fehlern werden meist IT-Monitoring- und Log Management Systeme eingesetzt. Versio.io bietet hier über die Änderungserkennung eine weitere existentielle Datenquelle für die Ursachenidentifikation von Fehlern im IT-Betrieb an.


75%   75%
Datenmigrationen

Mit dem Versio.io Batch-Job Monitoring können Unternehmen die zyklische Ausführung von täglichen Backup-Prozessen zur Datenmigration revisionssicher aufzeichnen, qualitätssichern und optimieren. Die erfassten Prozessdaten können inhaltlich verifiziert werden, um die Governance & Compliance abzusichern. Damit kann man sich bspw. Benachrichtigen lassen, wenn ein Backup fehlgeschlagen ist oder deren Ausführungszeit sich zu den vorhergehenden Prozessdurchläufen stark verändert hat.

Für die Qualitätssicherung der Datenmigration kann mit den generischen Datenimportern von Versio.io die Vollständigkeit der Migration anhand der Anzahl an Datensätze und die inhaltliche Korrektheit anhand von Prüfziffern (Hash-Werten) pro Datensatz bzw. -objekt ermittelt und sichergestellt werden. Mittels des Delta Topology Analysers kann ein Unterschied zwischen den migrierten Datenquellen automatisiert ermittelt werden und ggf. Alarmierungen erfolgen.



50%   50%
Änderungen an Konfigurationseinstellungen von IT-Systemen

Die Kernkompetenz von Versio.io ist die Erkennung von Änderungen und deren Nachverarbeitung (Verifikation, Kostenverrechnung, Prozessmonitoring etc.).

Versio.io speichert revisionssicher jede sich veränderte Konfigurationsänderung. Dadurch stehen dem Benutzer alle Konfigurationen über den gesamten Lebenszyklus zur Verfügung. Dies ist vergleichbar mit einem Backup oder einer Versionierung von Konfigurationen.

Jegliche Konfigurationsänderung kann vollautomatisiert und regelbasiert hinsichtlich bestehender Governance & Compliance Anforderungen verifiziert werden (Sicherheit, Produktaktualität, interne Vorgaben, Konfigurationsprobleme etc.)





100%   100%
Austausch von Hardwarekomponenten (Server, Router etc.)

Die Konfiguration von ausgetauschten Hardwarekomponenten in Form von physikalischen Servern, Speichersystemen, Routern, mobilen Geräten etc. können vollautomatisiert erhoben und dokumentiert werden.

Auf Basis der Delta Topology Analyse können die Konfigurationen zwischen der letzten Konfiguration und der neuen ausgetauschten Hardwarekomponente verglichen werden, um bspw. Konfigurationsunterschiede zu identifizieren.

Die erfassten Konfigurationen der ausgetauschten Hardwarekomponenten können im Rahmen der initialen Erfassung und jeder folgenden Konfigurationsänderungen vollautomatisiert hinsichtlich der Governance und Compliance verifiziert werden. Damit wird die Einhaltung von Compliance und Sicherheitsaspekten (bekannte Sicherheitsschwachstellen, Produkt ohne Wartung/Support, aktuellere Produktversionen, interne Vorgaben, gültige SSL-Zertifikate, offene Port etc.) sichergestellt.



75%   75%
Einsatz neuer Hardwarekomponenten

Die Konfiguration von neue Hardwarekomponenten in Form von physikalischen Servern, Speichersystemen, Routern, mobilen Geräten etc. können vollautomatisiert erhoben und dokumentiert werden.

Die neu erfassten Konfigurationen der Hardwarekomponenten können im Rahmen der initialen Erfassung und jeder folgenden Konfigurationsänderungen vollautomatisiert hinsichtlich der Governance und Compliance verifiziert werden. Damit wird die Einhaltung von Compliance und Sicherheitsaspekten (bekannte Sicherheitsschwachstellen, Produkt ohne Wartung/Support, aktuellere Produktversionen, interne Vorgaben, gültige SSL-Zertifikate, offene Port etc.) sichergestellt.


75%   75%
Umzug der IT-Systeme zu einem anderen Standort

Für den Standortumzug von IT-Systemen ist die Dokumentation des IST-Zustands und der Abgleich mit dem migrierten IT-System die Basis für eine stabile und fehlerfreie Migration.

Versio.io bietet mit seinem Asset & Configuration Inventory alle aktuellen Konfigurationen jeder einzelnen Komponente des gesamten IT-Systems (VM, Host, Prozesse, Service, Konfigurationen, Datenbankschema, Anwendung etc.) als Informationsbasis an. Zusätzlich werden die Beziehung aller Komponenten des IT-Systems in Form einer Topologie bereitgestellt.

Auf Basis der Topologie ist ein Vergleich des bestehenden IT-Systems (IST) und des migrierten IT-Systems bis auf Attributebene einer Teilkomponente möglich. Somit kann der Nachweis erbracht werden, dass das IT-System 1:1 am neuen Standort wieder hergestellt wurde. Kundenspezifische Filteranpassungen für die Topologie Delta Analyse sind konfigurierbar.


50%   50%
8.5.
Änderungen von IT-Systemen sind in geordneter Art und Weise aufzunehmen, zu dokumentieren, unter Berücksichtigung möglicher Umsetzungsrisiken zu bewerten, zu priorisieren, zu genehmigen sowie koordiniert und sicher umzusetzen. Auch für zeitkritische Änderungen von IT-Systemen sind geeignete Prozesse einzurichten. Der sicheren Umsetzung der Änderungen in den produktiven Betrieb dienen beispielsweise:

-
Risikoanalyse in Bezug auf die bestehenden IT-Systeme (insbesondere auch das Netzwerk und die vor- und nachgelagerten IT-Systeme), auch im Hinblick auf mögliche Sicherheits- oder Kompatibilitätsprobleme, als Bestandteil der Änderungsanforderung

Die durch Versio.io erkannten Änderungen, bspw. an Betriebssystemen, Prozesstechnologien, App-,Web- oder Datenbank-Server, Router-Konfigurationen etc., können hinsichtlich bekannter IT-Sicherheitsschwachstellen, nicht aktueller Release oder Patch Versionen, nicht verfügbarer Wartungs- und Supportunterstützung der eingesetzten Produkte sowie internen Vorgaben zur Sicherstellung des operativen Betriebes verifiziert werden.




100%   100%
Tests von Änderungen vor Produktivsetzung auf mögliche Inkompatibilitäten der Änderungen sowie mögliche sicherheitskritische Aspekte bei bestehenden IT-Systemen

Die Kernkompetenz von Versio.io ist die Erkennung von Änderungen und deren Nachverarbeitung. Somit lassen sich im Rahmen von Tests vor Produktivgang nicht nur geplante, sondern auch ungeplante Änderungen, erkennen. Des Weiteren kann mittels Delta-Abgleich zwischen Test- und Produktivumgebung der Umfang der Änderungen objektiv operativ gesteuert werden.

Die durch Versio.io erkannten Änderungen an Betriebssystemen und Prozesstechnologien können hinsichtlich bekannter IT-Sicherheitsschwachstellen, nicht aktueller Release oder Patch Versionen sowie nicht verfügbarer Wartung und Support der Produkte verifiziert werden.





50%   50%
Tests von Patches vor Produktivsetzung unter Berücksichtigung ihrer Kritikalität

Die Kernkompetenz von Versio.io ist die Erkennung von Änderungen und deren Nachverarbeitung. Somit lassen sich im Rahmen von Test vor Produktivgang nicht nur geplante, sondern auch ungeplante Änderungen, erkennen. Des Weiteren kann mittels Delta-Abgleich zwischen Test- und Produktivumgebung der Umfang der Änderungen objektiv operativ gesteuert werden.


25%   25%
Datensicherungen der betroffenen IT-Systeme

Mit dem Versio.io Batch-Job Monitoring können Unternehmen die zyklische Ausführung von täglichen Datensicherungsläufen revisionssicher aufzeichnen, qualitätssichern und optimieren. Die erfassten Prozessdaten können inhaltlich verifiziert werden, um die Governance & Compliance abzusichern. Damit kann man sich bspw. Benachrichtigen lassen, wenn ein Backup fehlgeschlagen ist oder deren Ausführungszeit sich zu den vorhergehenden Prozessdurchläufen stark verändert hat.

25%   25%
Rückabwicklungspläne, um eine frühere Version des IT-Systems wiederherstellen zu können, wenn während oder nach der Produktivsetzung ein Problem auftritt

Versio.io dokumentiert vollautomatisiert jegliche Veränderung von IT-Systemen. Im Falle einer Rückabwicklung bietet Versio.io detaillierte Informationen zum Zustand des IT-Systems vor der durchgeführten Veränderung an (bspw. Anwendungskonfiguration, Datenbank Schema etc.).

Auf Basis des Delta Topology Analysers kann nach der Rückabwicklung eine automatisierte Verifikation erfolgen, ob die Konfiguration wieder dem letzten stabilen Zustand des IT-Systems entspricht.


50%   50%
Alternative Wiederherstellungsoptionen, um dem Fehlschlagen primärer Rückabwicklungspläne begegnen zu können

Ist eine Wiederherstellung auf Basis von Standardverfahren, wie bspw. Backup oder Snapshot, nicht möglich, so bietet Versio.io eine vollständige Dokumentation eines IT-Systems als Dokumentationsvoraussetzung für eine teilweise oder vollständige Neuinstallation eines IT-Systems an.

Auf Basis des Delta Topology Analysers kann nach der Neuinstallation eine automatisierte Verifikation erfolgen, ob die Konfiguration wieder dem letzten stabilen Zustand des IT-Systems entspricht.


50%   50%
Für risikoarme Konfigurationsänderungen und Parametereinstellungen (z. B. Änderungen am Layout von Anwendungen, Austausch von defekten Hardwarekomponenten, Zuschaltung von Prozessoren) können abweichende prozessuale Vorgaben/Kontrollen definiert werden (z. B. Vier-Augen-Prinzip, Dokumentation der Änderungen oder der nachgelagerten Kontrolle).

Jegliche Änderungen in der IT-Landschaft, ob in der Bewertung wichtig oder nicht, werden automatisiert dokumentiert und historisiert. Damit schafft Versio.io ein Gesamtbild und ermöglicht auch Problemursachen auf Basis von vermeintlich unwichtigen Konfigurationen.



100%   100%
8.6
Die Meldungen über ungeplante Abweichungen vom Regelbetrieb (Störungen) und deren Ursachen sind in geeigneter Weise zu erfassen, zu bewerten, insbesondere hinsichtlich möglicherweise resultierender Risiken zu priorisieren und entsprechend festgelegten Kriterien zu eskalieren. Hierzu sind Standardvorgehensweisen z. B. für Maßnahmen und Kommunikation sowie Zuständigkeiten (z. B. für Schadcode auf Endgeräten, Fehlfunktionen) zu definieren. Bearbeitung, Ursachenanalyse und Lösungsfindung inkl. Nachverfolgung sind zu dokumentieren. Ein geordneter Prozess zur Analyse möglicher Korrelationen von Störungen und deren Ursachen muss vorhanden sein. Der Bearbeitungsstand offener Meldungen über Störungen, wie auch die Angemessenheit der Bewertung und Priorisierung, ist zu überwachen und zu steuern. Das Institut hat geeignete Kriterien für die Information der Beteiligten (z. B. Geschäftsleitung, zuständige Aufsichtsbehörde) über Störungen festzulegen. Die Identifikation der Risiken kann beispielsweise anhand des Aufzeigens der Verletzung der Schutzziele erfolgen. Die Ursachenanalyse erfolgt auch dann, wenn mehrere IT-Systeme zur Störungs- und Ursachenerfassung sowie –bearbeitung eingesetzt werden. Hier können standardisierte Incident– und Problemmanagement-Lösungen eingesetzt werden.

Das klassische Meldungsmanagement (Incident & Problem) wird von spezialisierten ITSM Systemen erbracht. Versio.io kann die Meldungen übernehmen, historisieren und vorhanden Beziehungen zu den betroffenen Systemkomponenten (Anwendung, Service, Prozess, Host etc.) abbilden.

Versio.io unterstützt die Meldungsbearbeitung in Form der Bereitstellung von Informationen über sämtliche Konfigurationen in der IT-Landschaft sowie deren Änderung. Die Änderungsinformationen sind eine Basis für die Ursachenanalyse, da Änderungen häufig der Ausgangspunkt einer Störung sind.

Neben der zentralen Informationsbereitstellung und Ursachenanalyse können Reports zu problemverursachenden Konfigurationen oder auch den Meldungen selbst bereitgestellt werden.

Alle im Rahmen der Problembehebung durchgeführten Maßnahmen an Systemkomponenten werden von Versio.io automatisch dokumentiert (bspw. Speichererweiterung, Versionsupdate, Konfigurationsänderung etc.). Jede dieser Änderungen kann hinsichtlich deren Governance & Compliance Einhaltung verifiziert werden.



50%   50%
8.7
Die Vorgaben für die Verfahren zur Datensicherung (ohne Datenarchivierung) sind schriftlich in einem Datensicherungskonzept zu regeln. Die im Datensicherungskonzept dargestellten Anforderungen an die Verfügbarkeit, Lesbarkeit und Aktualität der Kunden- und Geschäftsdaten sowie an die für deren Verarbeitung notwendigen IT-Systeme sind aus den Anforderungen der Geschäftsprozesse und den Geschäftsfortführungsplänen abzuleiten. Die Verfahren zur Wiederherstellung und zur Gewährleistung der Lesbarkeit der Daten sind regelmäßig, mindestens jährlich, im Rahmen einer Stichprobe sowie anlassbezogen zu testen. Die Anforderungen an die Maßnahmen zur Sicherstellung von Verfügbarkeit, Lesbarkeit und Aktualität der Daten sowie an die durchzuführenden Tests ergeben sich aus diesbezüglichen Risikoanalysen. Hinsichtlich der Standorte für die Lagerung der Datensicherungen können eine oder mehrere weitere Lokationen erforderlich sein.

Mit dem Versio.io Batch-Job Monitoring können Unternehmen die zyklische Ausführung von täglichen Backup-Prozessen und jährlichen Wiederherstellungstest revisionssicher aufzeichnen, qualitätssichern und optimieren. Die erfassten Prozessdaten können inhaltlich verifiziert werden, um die Governance & Compliance abzusichern. Damit kann man sich bspw. Benachrichtigen lassen, wenn Backup oder Wiederherstellungstest fehlgeschlagen sind oder deren Ausführungszeit sich zu den vorhergehenden Prozessdurchläufen stark verändert hat.

25%   25%
8.8
Der aktuelle Leistungs- und Kapazitätsbedarf der IT-Systeme ist zu erheben. Der zukünftige Leistungs- und Kapazitätsbedarf ist abzuschätzen. Die Leistungserbringung ist zu planen und zu überwachen um insbesondere Engpässe zeitnah zu erkennen und angemessen zu reagieren. Bei der Planung sind Leistungs- und Kapazitätsbedarf von Informationssicherheitsmaßnahmen zu berücksichtigen.

Das zentrale Asset & Configuration Inventory in Versio.io stellt Konfigurationsdaten aus verschiedensten Datenquellen, bspw. Rechenzentren und Clouds, über das Reporting und die Open-API zur Verfügung. Damit können die konfigurierten Ressourcenzuordnungen (Anzahl CPUs, Umfang des Arbeits- oder Plattenspeichers etc.) ermittelt werden. Versio.io erfasst keine Daten über die Höhe der tatsächlich genutzten Ressourcen!

25%   25%

References


Autor | Januar 2022


Contact person
Matthias Scholze
Chief Technology Officer
P:  +49-30-221986-51
LinkedIn


Keywords

Bankaufsichtliche Anforderungen an die IT

 

BAIT

 

Bundesanstalt

 

Finanzdienstleistungsaufsicht

 

BAFIN

 

Deutsche Bundesbank

 

Bank

 

Finanzsektor

 

Anforderungen

 

Automation

 

Governance

 

Risk

 

Compliance

 

GRC

 

Informationstechnologie

 

IT

 

IT-Betrieb

 

We use cookies to ensure that we give you the best experience on our website. Read privacy policies for more information.