BAIT Anforderungen IT-Governance für Banken
Compliance & Governance
BAIT
IT-Governance
BaFin

BAIT-Anforderungen: IT-Governance und Risikomanagement für Banken

Bankaufsichtliche Anforderungen an die IT (BAIT): Grundlagen, Struktur und praktische Umsetzung der BaFin-Vorgaben für Finanzinstitute.

BanktrackPRO Team
6 Min. Lesezeit
Aktualisiert: 4.11.2025
Teilen:

Einleitung

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) bilden seit 2017 den zentralen Rahmen für IT-Governance und IT-Risikomanagement in deutschen Finanzinstituten. Als Konkretisierung der MaRisk definiert die BaFin präzise Anforderungen an IT-Systeme, IT-Prozesse und IT-Organisation.

Rechtlicher Rahmen

Entstehung und Entwicklung

Die BAIT wurden im Oktober 2017 von der BaFin veröffentlicht und ergänzen die Mindestanforderungen an das Risikomanagement (MaRisk) um IT-spezifische Aspekte.

Zeitliche Entwicklung:

  • 2017: Erstveröffentlichung BAIT
  • 2021: Überarbeitung mit Fokus auf Cloud Computing und Auslagerungen
  • 2023: Integration DORA-Anforderungen (Digital Operational Resilience Act)

Anwendungsbereich

Die BAIT gelten für alle Kreditinstitute nach KWG § 1, unabhängig von Größe oder Geschäftsmodell. Die Anforderungen sind proportional umzusetzen, entsprechend der Größe, Komplexität und Risikosituation des Instituts.

Zentrale Anforderungsbereiche

1. IT-Governance

Verantwortung der Geschäftsleitung:

  • Festlegung der IT-Strategie im Einklang mit Geschäftsstrategie
  • Etablierung einer angemessenen IT-Aufbauorganisation
  • Sicherstellung ausreichender Ressourcen
  • Überwachung der IT-Risiken

IT-Strategie: Die IT-Strategie muss dokumentieren:

  • Strategische IT-Ziele und Maßnahmen
  • IT-Architekturprinzipien
  • Sourcing-Strategien (Make-or-Buy)
  • Innovationsmanagement

2. IT-Governance-Struktur

Drei-Linien-Modell:

LinieVerantwortungAufgaben
1. LinieIT-BetriebEntwicklung, Betrieb, IT-Sicherheit
2. LinieIT-RisikocontrollingÜberwachung, Berichtswesen, Policies
3. LinieInterne RevisionUnabhängige Prüfung der IT-Prozesse

3. Informationssicherheitsmanagement

ISMS-Anforderungen nach BAIT:

  • Etablierung eines Informationssicherheitsbeauftragten (ISB)
  • Regelmäßige Sicherheitsrisikoanalysen
  • Incident-Response-Management
  • Security Awareness Training
  • Penetrationstests und Schwachstellenmanagement

Schutzziele:

  • Vertraulichkeit: Zugriffskontrolle und Verschlüsselung
  • Integrität: Schutz vor unautorisierten Änderungen
  • Verfügbarkeit: Business Continuity Management

4. IT-Projekte und Anwendungsentwicklung

Software Development Lifecycle (SDLC):

  • Requirements Engineering mit Fachbereichseinbindung
  • Testing-Strategie (Unit-, Integrations-, Systemtests)
  • Change Management und Release-Prozesse
  • Separation of Duties (Entwicklung vs. Produktion)

BAIT-Anforderungen:

  • Dokumentation von Anforderungen und Testfällen
  • Abnahme durch Fachbereich vor Produktivsetzung
  • Versionierung und Konfigurationsmanagement
  • Post-Implementation-Reviews

5. IT-Betrieb

Zentrale Anforderungen:

  • Angemessene Kapazitätsplanung
  • Patch- und Schwachstellenmanagement
  • Monitoring und Alerting
  • Backup-Konzepte mit Restore-Tests
  • Berechtigungsmanagement

Datensicherung: Mindestanforderungen nach BAIT:

  • Regelmäßige Backups kritischer Systeme
  • Geografisch getrennte Aufbewahrung
  • Verschlüsselte Speicherung
  • Halbjährliche Restore-Tests

6. Auslagerungen und Cloud Computing

BAIT-Cloud-Anforderungen (2021):

Die überarbeiteten BAIT stellen klar, dass Cloud-Nutzung grundsätzlich zulässig ist, sofern:

  • Angemessene Risikoanalyse durchgeführt wurde
  • Auslagerungsvertrag BaFin-konform ist
  • Prüfrechte und Datenherausgabe gewährleistet sind
  • Exit-Strategie vorhanden ist

Public Cloud Besonderheiten:

  • Multi-Tenancy-Risiken bewerten
  • Verschlüsselung mit eigener Schlüsselverwaltung
  • Nachweis der Datenlokation (DSGVO-Konformität)
  • Service Level Agreements (SLAs) definieren

7. Notfallmanagement

Business Continuity Management (BCM):

  • Business Impact Analysen (BIA) für kritische Prozesse
  • Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO)
  • Notfallpläne mit klaren Verantwortlichkeiten
  • Jährliche Notfalltests

BAIT-Anforderungen:

  • Dokumentierte Wiederanlaufpläne
  • Alternative Betriebsstätten (Cold/Hot Sites)
  • Notfallkommunikationswege
  • Lessons Learned nach Störungen

Praktische Umsetzung

Implementierungsansatz

Phase 1: Gap-Analyse

  • Abgleich bestehender Prozesse mit BAIT-Anforderungen
  • Identifikation von Lücken
  • Priorisierung nach Risiko

Phase 2: Maßnahmenplanung

  • Erstellung Umsetzungsroadmap
  • Ressourcenplanung (Budget, Personal)
  • Definition von Meilensteinen

Phase 3: Implementierung

  • Anpassung Richtlinien und Prozesse
  • Technische Umsetzung
  • Mitarbeiterschulungen

Phase 4: Monitoring

  • KPIs für IT-Governance etablieren
  • Regelmäßige Compliance-Assessments
  • Continuous Improvement

Herausforderungen

Typische Umsetzungshürden:

  1. Ressourcenknappheit: Fehlendes IT-Security-Personal
  2. Legacy-Systeme: Alte Systeme erschweren moderne Security-Standards
  3. Dokumentationslücken: Historisch gewachsene IT ohne Dokumentation
  4. Kulturwandel: Etablierung einer Compliance-Kultur

Erfolgsfaktoren

  1. Top-Management-Commitment: Geschäftsleitung als Treiber
  2. Pragmatismus: Proportionale Umsetzung entsprechend Institutsgröße
  3. Integration: BAIT-Anforderungen in bestehende Prozesse einbetten
  4. Automatisierung: Tools für Compliance-Monitoring nutzen
  5. Expertise: Externe Unterstützung bei Wissenslücken

Zusammenspiel mit anderen Regelwerken

BAIT und MaRisk

BAIT konkretisiert MaRisk AT 7.2 (Auslagerungen) und AT 8.3 (IT-Risiken). Während MaRisk generelle Risikomanagement-Anforderungen definiert, liefert BAIT die IT-spezifischen Details.

BAIT und DORA

Der Digital Operational Resilience Act (DORA) ist eine EU-Verordnung, die ab Januar 2025 direkt gilt. BAIT wurde angepasst, um Überschneidungen zu minimieren und einen einheitlichen Rahmen zu schaffen.

DORA geht über BAIT hinaus bei:

  • IKT-Drittanbieter-Risikomanagement
  • Berichtspflichten an Aufsichtsbehörden
  • Threat-Led Penetration Testing (TLPT)

BAIT und ZAIT

Die Zahlungsdiensteaufsichtlichen Anforderungen an die IT (ZAIT) ergänzen BAIT um Spezifika für Zahlungsdienstleister. Viele BAIT-Anforderungen gelten analog auch für ZAIT-Institute.

Prüfungsfokus der BaFin

Schwerpunkte bei Vor-Ort-Prüfungen

Die BaFin überprüft regelmäßig:

  • Dokumentation der IT-Strategie und IT-Risikoanalyse
  • Informationssicherheitskonzept und ISMS-Prozesse
  • Notfallkonzepte und Testdokumentation
  • Auslagerungsverträge und -kontrollen
  • Patch-Management und Schwachstellenbehebung

Typische Mängelfeststellungen

Häufige Findings:

  • Unvollständige oder veraltete IT-Risikoanalyse
  • Fehlende Restore-Tests für Backups
  • Unzureichende Dokumentation von Auslagerungen
  • Schwächen im Berechtigungsmanagement
  • Fehlende Trennung von Entwicklung und Produktion

Best Practices

  1. Risikobasierter Ansatz: Fokus auf kritische Systeme und Prozesse
  2. Toolunterstützung: GRC-Tools für effizientes Compliance-Management
  3. Regelmäßige Assessments: Jährliche Selbstbewertungen gegen BAIT
  4. Schulungsprogramme: Systematische Weiterbildung zu IT-Security
  5. Stakeholder-Dialog: Regelmäßiger Austausch zwischen IT, Risk und Compliance
  6. Benchmark: Orientierung an Best Practices anderer Institute

Ausblick

Die BAIT werden kontinuierlich weiterentwickelt. Zukünftige Themen umfassen:

  • KI und Machine Learning: Anforderungen an algorithmisches Risikomanagement
  • Quantencomputing: Vorbereitung auf Post-Quanten-Kryptographie
  • Cyber Resilience: Stärkere Fokussierung auf Resilienz statt reiner Prävention
  • API-Security: Anforderungen an API-basierte Geschäftsmodelle

Fazit

Die BAIT bilden das Fundament für eine solide IT-Governance in deutschen Banken. Eine systematische, risikobasierte Umsetzung in Verbindung mit einem gelebten IT-Risikomanagement ist essentiell für regulatorische Compliance und operative Stabilität. Die Integration mit DORA und anderen Regelwerken erfordert eine ganzheitliche Betrachtung der IT-Governance.

BanktrackPRO Team

BanktrackPRO Team

Redaktion

Das BanktrackPRO Redaktionsteam besteht aus Finanzexperten und Datenanalysten, die sich auf deutsche Bankprodukte und Zinsentwicklungen spezialisiert haben.

Verwandte Artikel

Compliance & Governance

Cloud-Outsourcing nach BAIT: Anforderungen und Best Practices für Banken

Regulatorische Anforderungen an Cloud-Nutzung und IT-Auslagerungen: BAIT-Vorgaben, Vertragsgestaltung und Risikomanagement für Finanzinstitute.

Compliance & Governance

MaRisk-Grundlagen: Mindestanforderungen an das Risikomanagement für Banken

Detaillierter Überblick über die MaRisk der BaFin: Anforderungen an Governance, Risikomanagement und interne Kontrollsysteme deutscher Banken.

Compliance & Governance

Grundlagen der Geldwäschebekämpfung: AML-Anforderungen für deutsche Banken

Umfassender Überblick über Anti-Geldwäsche-Vorschriften in Deutschland: Gesetzliche Grundlagen, BaFin-Anforderungen und praktische Umsetzung.

Teilen: