Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten – ZAIT

veröffentlicht am 21. Oktober 2021

Am 16. August 2021 hat die BaFin mit dem Rundschreiben „Zahlungsdiensteaufsichtliche Anforderungen an die IT von Zahlungs- und E-Geld-Instituten” (ZAIT) die IT-Anforderungen für Zahlungsdienstleister konkretisiert.​

Die Anforderungen der ZAIT sind ähnlich zu den BAIT

Die ZAIT orientieren sich an den bereits existierenden IT-Anforderungen für Banken (BAIT) und MaRisk (6. Novelle, ebenfalls vom 16. August 2021) und beinhalten insbesondere die EBA Anforderungen aus den EBA-Leitlinien für IKT und IT-Risikomanagement der Auslagerung der IT sowie der Beherrschung von operationeller und sicherheitsrelevanter Risiken bei der Erbringung von Zahlungsdiensten.

In den ZAIT werden folgende Bereiche konkretisiert:

Die ZAIT finden unmittelbar nach Veröffentlichung Anwendung. Dieses liegt daran, dass es sich aus Sicht der BaFin um keine neuen Anforderungen, sondern um eine Konkretisierung der bestehenden Anforderungen für Zahlungsdienstleister handelt.

Wichtig ist auch, dass regulierte Kunden der Zahlungsdienstleister einen Nachweis zur Umsetzung der ZAIT einfordern. Hierzu bietet sich der Nachweis durch die Prüfung des relevanten Internen Kontrollsystems durch einen unabhängigen Wirtschaftsprüfer und Bescheinigung der Wirksamkeit gemäß den Prüfungsstandards ISAE 3402 oder IDW PS 951 an.

Verweis auf Methoden und Rahmenwerke

Zur Umsetzung der Anforderungen verweisen die ZAIT, ebenso wie die BAIT und KAIT, auf gängige Standards wie IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik (BSI), die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization und der Payment Card Industry Data Security Standard (PCI-DSS).

Sortiert man die einzelnen Aufgaben in den Bereichen nach geschätztem Aufwand und Komplexität, so weisen folgende Bereiche nach unserer Erfahrung die höchste Bedeutung und Komplexität auf, die wir kurz anhand der notwendigen Aktivitäten zur Umsetzung darstellen.

Schriftlich fixierte Ordnung und Dokumentation / Verfahrensdokumentation

Abhängig vom bisherigem Umsetzungsgrad entsteht ein hoher initialer Dokumentationsaufwand. Der Aufwand ist in den Teilaufgaben unterschiedlich komplex und umfangreich. Strategien, Ablauf- und Aufbauorganisationen lassen sich leicht auf dem Papier aktualisieren. Verfahrensbeschreibungen und Richtlinien erfordern Zeit, Know-how und Erfahrung bei der Erstellung. Die Vorgaben einer Programmierrichtlinie für alle Anwendungen der IT-Entwicklung, insbesondere auch für die IDV umzusetzen, ist ein Mehraufwand, der oft nicht durch entsprechende kurzfristige Vorteile kompensiert wird.

Eine gute Dokumentation muss dabei übersichtlich (roter Faden), leicht zu erfassen, verständlich und klar von anderen Dokumenten inhaltlich abgegrenzt sein. Sofern sinnvoll, empfehlen wir initial die Erstellung einer Dokumentenlandkarte mit einer kurzen Inhaltsbeschreibung. Oft lassen sich auf der Basis schon Lücken in der Dokumentation oder auch inhaltliche Überschneidungen erkennen. Wichtig ist auch, dass Inhalte nicht mehrfach in unterschiedlichen Dokumenten beschrieben werden, sondern mit Referenzen bzw. mitgeltenden Dokumenten gearbeitet wird. Dieses vereinfacht und vermindert den Umgang und den Aufwand für die Erstellung und Aktualisierung.

Weiterhin halten wir es für ratsam und bewährt, die regulatorischen Vorgaben der ZAIT in das Interne Kontrollsystem einzubauen und auch die Kontrollen je Regelungsbereich zu definieren. Dieses erleichtert die Einhaltung der Vorgaben in der Durchführung der Verfahren und schafft Übersicht. Eine Kontrollmatrix für die unterschiedlichen Regelungsbereiche der ZAIT sollte initial erstellt werden.
 

IT-Strategie und IT-Governance

Die IT-Strategie leitet sich aus der Gesamtstrategie des Unternehmens ab und definiert langfristige Ziele, Vorhaben und Projekte zur Erreichung dieser. Weiterhin definiert diese Rahmenbedingungen für die Aufbau- und Ablauforganisation und adressiert Themen wie die Auslagerung von IT-Dienstleistungen, Zuständigkeiten für die Informationssicherheit, das langfristige Zielbild für die IT-Architektur (IT-Bebauungsplanung) und Aussagen zu kritischen Infrastrukturen und zum Notfallmanagement.

Folgende Aktivitäten sind üblicherweise zur Umsetzung der ZAIT durchzuführen:

• Durchsicht der Unternehmensstrategie und Ableitung der strategischen Ziele und Handlungsfelder für die IT
• Ggf. Erstellung einer Prozess- und Dokumentenlandkarte
• Dokumentation des aktuellen und Zielbilds der IT-Architektur in Form eines Überblicks über die Anwendungslandschaft
• Ableitung der IT-Strategie: übliche Inhalte sind

• Stellenwert, Wertbeitrag der IT, Ziele mit IT-Bezug
• die lang- und mittelfristigen Ziele für die IT (meist 3-5 Jahre),
• Vorhaben und Projekte zur Erreichung dieser, strategische Rahmenbedingungen,
• Vorgaben zur IT-Aufbau- und IT-Ablauforganisation, zum Informationsrisiko- sowie Informationssicherheitsmanagement, Personalausstattung, Personalentwicklung,
• Beschreibung der Kriterien zur Optimierung des Wertbeitrags der IT für die Erreichung der Unternehmensziele (IT-Governance),
• Mechanismen zur Anpassung der IT-Strategie und der Aufbau- und Ablauforganisation an sich verändernde Rahmenbedingungen und eine sicher verändernde Unternehmensstrategie (IT-Governance),

• Überprüfung der angemessenen Personalausstattung und Personalplanung für das Informationsrisiko- und Informationssicherheitsmanagement (IT-Governance),
• Prüfen / Erstellen von Funktionsbeschreibungen und einer Funktionstrennungsmatrix für die IT,
• Überprüfung / Definition von Kennzahlen zur Überwachung und Steuerung der IT-Prozesse, insbesondere für den IT-Betrieb und die Anwendungsentwicklung.

Ergänzend halten wir die Etablierung eines Verfahrens zur Überwachung der relevanten Gesetze und Verordnungen für wichtig, um zeitnah auf Veränderungen der Anforderungen reagieren zu können.

Informationsrisikomanagement (IRM)

Die Umsetzung des IRM folgt der Methodik des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

 
Zu einem Informationsverbund gehören bspw. geschäftsrelevante Informationen, Geschäfts- und Unterstützungsprozesse, IT-Systeme und die zugehörigen IT-Prozesse sowie Netz- und Gebäudeinfrastrukturen. Die Modellierung der Informationsverbunde kann damit sehr komplex werden. Ratsam ist es, die Modellierung aufgrund der Komplexität und Mehrdimensionalität in einem der verfügbaren Anwendungen wie VERINICE, JIRA oder vergleichbaren Anwendungen vorzunehmen. Excel Tabellen sind erfahrungsgemäß unhandlich und lassen auch die Verknüpfung der einzelnen Objekte z. B. des Informationsverbunds mit dem Schutzziel nicht zu.

Folgende Aktivitäten sind üblicherweise zur Umsetzung der ZAIT durchzuführen:

• Beschreibung des Informationsrisikomanagements mit den Schnittstellen zum Informationssicherheitsmanagement, dem Risikomanagement und der Geschäftsleitung
• Erhebung und Dokumentation aller Bestandteile der IT als Informationsverbund sowie deren Abhängigkeiten und Schnittstellen
• Definition von Schutzzielen zur Vertraulichkeit, Verfügbarkeit und Integrität
• Erarbeitung eines Soll-Maßnahmenkatalogs zur Erreichung der Schutzziele
• Abgleich des Ist-Zustands mit dem Soll-Zustand
• Definition und Umsetzung von Maßnahmen zum Schließen der Lücken
• Definition von Überwachungs- und Kontrollkriterien für das etablierte Verfahren

Informationssicherheitsmanagement (ISM)

Neben der Umsetzung des Informationsrisikomanagements ist die Einführung eines durchgängigen und stabilen Verfahrens für das Informationssicherheitsmanagement aufgrund der Schnittstellen und technischen Ebenen anspruchsvoll und komplex.

Folgende Aktivitäten sind üblicherweise zur Umsetzung der ZAIT durchzuführen:

• Etablierung eines Informationssicherheitsverantwortlichen in der Aufbau- und Ablauforganisation
• Ausgestaltung der Informationssicherheitsleitlinie
• Beschreibung der Verfahren und Kontrollen z. B. zur Netzwerksicherheit, Kryptografie, Passwortschutz und Protokollierung
• Etablierung der Prozesse zur Erkennung, Bewertung und Reaktion auf Vorfälle
• Definition von Überwachungs- und Kontrollkriterien für das etablierte Verfahren

Operative Informationssicherheit

Die operative Informationssicherheit hat die Aufgabe, die Anforderungen des Informationssicherheitsmanagements operativ umzusetzen. IT-Systeme, die zugehörigen IT-Prozesse und sonstigen Bestandteile des Informationsverbunds - auch die eingesetzte Infrastruktur ist zu berücksichtigen - müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen.

 
Gemäß den Vorgaben des Informationsrisikomanagements umfasst dieses insbesondere die Festlegung von IT-Risikokriterien, die Identifikation von IT-Risiken, die Festlegung des Schutzbedarfs, daraus abgeleitete Schutzmaßnahmen für den IT-Betrieb sowie die Festlegung entsprechender Maßnahmen zur Risikobehandlung und -minderung.

Folgende Aktivitäten sind üblicherweise zur Umsetzung der ZAIT durchzuführen:

• Definition und Implementierung von operativen Informationssicherheitsmaßnahmen auf Basis der Informationssicherheitsleitlinie und Informationssicherheitsrichtlinien nach dem aktuellen Stand der Technik
• Konzeption und Implementierung eines Überwachungssystems für Gefährdungen – i. d. R. durch Umsetzung eines regelbasierten Event- oder Security Incident Management Prozesses
• Etablierung eines regelmäßigen und anlassbezogenen Prüfungsprozesses hinsichtlich notwendiger Verbesserungen

Hier ergeben sich Schnittstellen zum Informationsrisiko- und Informationssicherheitsmanagement. Insbesondere für die Überwachung der Informationssicherheit scheint die Nutzung eines Event- oder Security Incident Managements in Verbindung mit einem Ticket System als pragmatische Lösung.

Identitäts- und Rechtemanagement

Neben dem IRM und dem Änderungsmanagement führt das Berechtigungsmanagement aufgrund der hohen Durchlaufzahlen und der Anzahl der Systeme oft zu Feststellungen in einer BaFin Prüfung. Hilfreich sind dabei Systeme, die statt des einzelnen Benutzerkontos die Identität mit allen Berechtigungen in allen notwendigen Systemen verwalten (provisionieren / deprovisionieren). Die Benutzer- und Berechtigungsverwaltung sollte daher als Verfahren möglichst schlank, ggf. über das bereits vorhandene Ticket-System auf Basis der Funktionen der Mitarbeiter mit fest zugeordneten Benutzerrechten je Funktion vergeben werden. Dabei ist u. a. auch eine angemessene Funktionstrennung zu beachten.

Folgende Aktivitäten sind üblicherweise zur Umsetzung der ZAIT durchzuführen:

• Erstellung / Aktualisierung der Berechtigungskonzepte

• Beschreibung der Verfahren und Prinzipien zur Benutzeranlage, -deaktivierung und -löschung
• Beschreibung der Verfahren und Prinzipien zur Berechtigung, Berechtigungsänderung und Entrechtung, insbesondere Freigabe durch den Fachbereich / Daten- oder Systemeigner
• Beschreibung der Funktionstrennung und des Prinzips der minimalen Berechtigungsvergabe
• Umgang mit kritischen Berechtigungen und deren Überwachung
• Überwachung von Benutzern
• Umgang mit externen Zugriffen
• Personalisierung von Benutzerkonten

• Vorgehen zur regelmäßigen Rezertifizierung der Berechtigungen
• Definierte Maßnahmen / Soll-Vorgaben auf Basis des Schutzbedarfs aus dem IRM
• Beschreibung / Referenzierung von technisch-organisatorischen Maßnahmen
• Definition von Überwachungs- und Kontrollkriterien für das etablierte Verfahren

IT-Projekte, Anforderungs- und Änderungsmanagement / Anwendungsentwicklung / IDV

Neben dem IRM und ISM halten wir die Umsetzung der ZAIT entsprechend der Vorgaben für IT-Projekte und das Änderungsmanagement für anspruchsvoll, da die Gefahr besteht, dass durch kleinste Prozessänderungen wesentliche Mehraufwendungen entstehen. Bei der Konzeption und Umsetzung sind daher Augenmaß und Fingerspitzengefühl gefragt.

Folgende Aktivitäten sind üblicherweise zur Umsetzung der ZAIT durchzuführen:

• Beschreibung des Projektportfolio- und Projektmanagements sowie der Anwendungsentwicklung inklusive Test und Freigabe von Änderungen
• Etablieren einer Gesamtübersicht der Projekte, deren Abhängigkeiten und daraus resultierenden Risiken
• Umsetzung von stabilen Anforderungs-, Test- und Freigabeprozessen für IT-Projekte, Änderungen
• Definition der Risikoklassen und dem entsprechenden Dokumentations- und Testumfang,
• Etablierung von Vorgaben für die Anwendungsentwicklung (Sourcen-Management, Entwicklungsrichtlinie, Sicherheitsprinzipien, Qualitätssicherung, Dokumentation etc.)
• Definition von Überwachungs- und Kontrollkriterien für das etablierte Verfahren
• Individuelle Datenverarbeitung (IDV)

• Beschreibung der Regelungen zur individuellen Datenverarbeitung
• Aufbau eines Registers und deren Überwachung

Nach unserer Auffassung sollten die Verfahren skalierbar sein und der Umfang der Dokumentation für IT-Projekte und Änderungen in der IT ausgehend vom Risiko, der Komplexität und dem Aufwand unterschiedlich umfangreich dokumentiert werden. Dieses hilft, den Fokus auf die wesentlichen, risikobehaftete IT-Projekte und Änderungen zu legen und den Dokumentations- und Testaufwand im Prozess zu minimieren.

Auslagerung

Die Auslagerung von IT-Dienstleistungen bzw. der Fremdbezug dieser stehen zunehmend im Fokus von Prüfungen der Aufsichtsbehörde BaFin. Aufgrund der meist hohen Anzahl von IT-Dienstleistungen ist die Umsetzung der Anforderungen der ZAIT ebenfalls mit Augenmaß und pragmatisch durchzuführen.

Folgende Aktivitäten sind üblicherweise zur Umsetzung der ZAIT durchzuführen:

• Definition des Verfahrens unter Berücksichtigung der Vorgaben der IT-Strategie und Risikobewertung insbesondere

• Risikobewertung der Auslagerung / sonstiger Fremdbezug von IT-Dienstleistungen
• Definition von risikominimierenden Maßnahmen
• Vorgaben zu Überwachung der Leistungserbringung
• Sicherstellen der Abbildung der Maßnahmen im Dienstleistervertrag
• Übergabe der Ergebnisse der Risikobewertung an das Risikomanagement für die OP-RISK-Berichterstattung
• Regelmäßige Überprüfung der Risikobewertung

• Erstellung / Aktualisierung der Verfahrensbeschreibung
• Definition von Überwachungs- und Kontrollkriterien für das etablierte Verfahren

Management der Beziehungen mit Zahlungsdienstnutzern

Die Risikominderungsmaßnahmen zur Beherrschung der operationellen und sicherheitsrelevanten Risiken beinhalten auch Maßnahmen für die Reduzierung, insbesondere von Betrugsrisiken. Dazu ist ein angemessenes Management der Beziehungen mit den Zahlungsdienstnutzern zu etablieren. Das Institut hat Prozesse einzurichten und zu implementieren, durch die das Bewusstsein der Zahlungsdienstnutzer über die sicherheitsrelevanten Risiken in Bezug auf die Zahlungsdienste verbessert wird.

Folgende Aktivitäten sind üblicherweise zur Umsetzung der ZAIT durchzuführen:

Basis für die Definition der Maßnahmen in diesem Bereich ist die Risikoanalyse und Soll-Maßnahmendefinition zur Beherrschung der operationellen und sicherheitsrelevanten Risiken.
 

• Anpassung der Prozesse / Produkte auf die spezifische aktuelle Risiko- und Bedrohungslage

• Produktfunktionalitäten zur Deaktivierung von angebotenen Zahlungsdiensten (z. B. Betragsobergrenzen)
• Benachrichtigungen über getätigte und fehlgeschlagene Transaktionen - eine ständige und sofortige explizite Benachrichtigung über alle Transaktionen und Transaktionsversuche ist nicht erforderlich
• Zeitnahe Informationen über Aktualisierungen der Sicherheitsverfahren
• Verfahren zur Unterstützung des Zahlungsdienstnutzers in Bezug auf alle Fragen, Unterstützungsanfragen, Benachrichtigungen über Unregelmäßigkeiten oder alle sicherheitsrelevanten Fragen hinsichtlich der Zahlungsdienste

• Identifikation und Einrichtung der relevanten Kommunikationsprozesse zur Sensibilisierung der eigenen Zahlungsdienstnutzer
• Erstellung / Aktualisierung der Verfahrensbeschreibung
• Definition von Überwachungs- und Kontrollkriterien für das etablierte Verfahren

Rödl & Partner unterstützt passgenau, interdisziplinär und pragmatisch bei der Umsetzung oder auch Prüfung des Status Quo der Anforderungen der ZAIT bzw. der nah verwandten BAIT und KAIT.

Kontaktieren Sie uns gerne, wenn Sie noch offene Fragen zum Thema haben.