IT-Sicherheit als wesentliche Auslagerung nach MaRisk AT 9

IT-Sicherheit als wesentliche Auslagerung nach MaRisk AT 9

In den MaRisk-Regularien gibt die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein striktes Regelwerk vor, das Banken und Finanzdienstleister beim Outsourcing von Prozessen wie der IT-Sicherheit zu beachten haben. Vor allem für die sogenannten wesentlichen Auslagerungen gelten besondere Vorgaben.

Jetzt absichern mit dem Myra DDoS Schutz

Mehr Informationen zu Lösungen von Myra Security für die Finanzindustrie

Mehr erfahren

Auf einen Blick

1. BaFin-Definition von Auslagerungen nach MaRisk
2. Risikoanalyse als Grundlage
3. Auslagerungsmanagement für komplexes Outsourcing
4. Trotz Outsourcing: Verantwortung bleibt im Institut
5. Höchste Anforderungen an Dienstleister
6. Vertragliche Anforderungen an wesentliche Auslagerungen (MaRisk AT 9, Textziffer 7)
7. Myra Security ist ready: Compliance für MaRisk AT 9 & § 25a KWG

01

BaFin-Definition von Auslagerungen nach MaRisk

Unternehmen in der Finanzindustrie haben beim IT-Outsourcing strikte Vorgaben zu beachten. In den Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin sind Auslagerungen als „Aktivitäten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienstleistungen oder sonstigen institutstypischen Dienstleistungen“ definiert, die ansonsten vom jeweiligen Institut selbst bereitgestellt werden. Gemäß § 25b KWG sollen Institute unabhängig von der jeweiligen Art einer Auslagerung angemessene Vorkehrungen zur Risikovermeidung in diesen Bereichen treffen. „Eine Auslagerung darf weder die Ordnungsmäßigkeit dieser Geschäfte und Dienstleistungen noch die Geschäftsorganisation im Sinne des § 25a Abs. 1 beeinträchtigen.“

02

Risikoanalyse als Grundlage

Auf Grundlage einer Risikoanalyse muss das Institut ermitteln, ob es sich beim jeweiligen Outsourcing um eine sogenannte „wesentliche Auslagerung“ handelt. Wesentliche Auslagerungen sind Dienste, die eigenverantwortlich vom Institut unter Risikogesichtspunkten als wesentlich definiert sind. Die Analyse muss im Vorfeld der Auslagerung durchgeführt und kontinuierlich wiederholt werden. Welche konkreten Inhalte darin zu behandeln sind, gibt MaRisk allerdings nicht vor. Eine erneute Analyse empfiehlt sich laut der BaFin bei wesentlichen Auslagerungen jährlich und bei unwesentlichen Auslagerungen alle drei Jahre.

Sobald bei der Risikoanalyse einzelne Aktivitäten und Prozesse durch das Institut als wesentlich eingestuft wurden, sind diese nach den (Mindest-)Anforderungen der MaRisk zu behandeln. Nicht wesentliche Auslagerungen müssen dahingegen die allgemeinen Anforderungen an die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG erfüllen.

03

Auslagerungsmanagement für komplexes Outsourcing

Seit der 6. Novelle 2021 sehen die MaRisk vor, dass jedes Institut, das Auslagerungen vornimmt, einen zentralen Auslagerungsbeauftragten ernennen muss. Dieser ist der Geschäftsführung direkt unterstellt und kümmert sich um die sukzessive Weiterentwicklung des Auslagerungsmanagements mitsamt der darin enthaltenen Kontroll- und Überwachungsfunktionen. Speziell große Institute, die viele Auslagerungen zu verwalten haben, kamen schon bisher um ein zentrales Auslagerungsmanagement nicht herum – dieses dient als Unterstützung für den Auslagerungsbeauftragten. Hier müssen für die Aufsicht jährlich Berichte erstellt werden, die alle wesentlichen Auslagerungen festhalten. Ferner sind Institute zu entsprechenden Kontroll- und Überwachungsprozessen verpflichtet. Eine kontinuierliche Dokumentation sowie die Koordination und Überprüfung der durchgeführten Risikoanalysen sind ebenso sicherzustellen. Ebenso verpflichtet die BaFin Banken dazu, ein aktuelles Auslagerungsregister zu pflegen, das detaillierte Angaben über sämtliche ausgelagerten und weiterverlagerten Prozesse enthält.

04

Trotz Outsourcing: Verantwortung bleibt im Institut

Trotz des Outsourcings von Prozessen bleibt die Verantwortung stets bei der Geschäftsleitung des Auftraggebers, also bei der Führung des auslagernden Unternehmens. Aus diesem Grund sieht MaRisk auch die Ausarbeitung von Handlungsoptionen vor, die bei einem Ausfall des Dienstleisters die Kontinuität und Qualität des ausgelagerten Services sicherstellen. Dasselbe gilt für den Ausstiegsprozess – beispielsweise beim Wechsel des Dienstanbieters. Die Leitungsaufgaben der Geschäftsleitung selbst gelten laut MaRisk hingegen als nicht auslagerbar.

05

Höchste Anforderungen an Dienstleister

Um die regulatorischen Vorgaben für wesentliche Auslagerungen zu erfüllen, wählen Finanzinstitute ihre Dienstleister stets mit größter Sorgfalt aus. Die strikten Anforderungen an die zu erbringenden Leistungen werden von den Unternehmen zudem laufend überprüft. Der vom DSGV (Deutscher Sparkassen- und Giroverband) und den MaRisk-Experten der Sparkassen-Finanzgruppe erstellte Interpretationsleitfaden für MaRisk definiert die Auswahlkriterien an externe Dienstleister wie folgt:

Die Geschäftsprozesse des Auslagerungsunternehmens sind effizient und effektiv ausgestaltet.
Das Personal erfüllt die qualitativen Anforderungen für die Bereitstellung der Dienstleistungen.
Das Vergütungssystem entspricht den gesetzlichen Anforderungen.
Durch die Auslagerung können Prozesse qualitativ gleich- oder höherwertig im Vergleich zur Inhouse-Lösung abgewickelt werden.
Das Dienstleistungsunternehmen kann auch individuelle Anliegen und spezifische Prozesse des Instituts berücksichtigen.
Auf Basis von vereinbarten Service-Level-Agreements (SLAs) muss es messbare Qualitätskriterien geben.
Zur Sicherstellung der Überwachung der Auslagerung muss das Auslagerungsunternehmen aussagekräftige Reports zur Verfügung stellen.
Das Auslagerungsunternehmen verhält sich entsprechend den rechtlichen Vorgaben.

06

Vertragliche Anforderungen an wesentliche Auslagerungen (MaRisk AT 9, Textziffer 7)

Um die Qualität und Beständigkeit der ausgelagerten Prozesse auch formell abzusichern, sind in einem umfangreichen Auslagerungsvertrag etwa die zu erbringenden Leistungen, Prüf- und Weisungsrechte sowie Kündigungsfristen festzulegen. Darüber hinaus ist auch das vertragliche Verhältnis im Hinblick auf sogenannte Weiterverlagerungen zu klären. Diese liegen vor, wenn der Dienstleister seinerseits zur Erfüllung der Leistungen ein Subunternehmen engagiert. Besonderes Augenmerk liegt dabei auf mögliche Zustimmungsvorbehalte und einer vertraglich zugesicherten Informationspflicht über die gesamte Lieferkette hinweg bis hin zum Institut.

07

Myra Security ist ready: Compliance für MaRisk AT 9 & § 25b KWG

Myra erfüllt alle Voraussetzungen für Auslagerungen nach MaRisk AT9 und § 25b KWG uneingeschränkt. Namhafte Unternehmen und Organisationen aus der Finanzindustrie nutzen schon seit Jahren die Security-as-a-Service-Plattform von Myra und decken damit ihre Bedürfnisse nach Cybersicherheit und Compliance gleichermaßen ab.

Mehr Informationen zu Lösungen von Myra Security für die Finanzindustrie finden Sie hier

Häufige Fragen zu MaRisk

Was sind die MaRisk?

Was ist MaRisk Compliance?

Für wen gelten die MaRisk?

Sie wollen mehr über unsere Lösungen, Anwendungsbeispiele und Best Practices zur Angriffsabwehr erfahren? In unserem Downloadbereich finden Sie Product Sheets, Fact Sheets, Whitepaper und Case Studies.

Zum Download-Bereich

Über den Autor

Björn Greif

Senior Editor

Über den Autor

Björn Greif startete seine Redakteurskarriere 2006 beim IT-Nachrichtenportal ZDNet. 10 Jahre und exakt 12.693 Artikel später engagierte er sich beim deutschen Start-up Cliqz für mehr Privatsphäre und Datenschutz im Web. Vom Datenschutz zur IT-Sicherheit war es dann nur noch ein kleiner Schritt: Seit 2020 schreibt Björn bei Myra über die neusten Trends und Entwicklungen in der Welt der Cybersecurity.