Sicherheitsschloss

Was sind die BAIT?

Die BaFin veröffentlichte Ende 2017 mit den Bankaufsichtlichen Anforderungen an die IT (BAIT) ein verbindliches Regelwerk zur Absicherung der IT in der Finanzindustrie. Zielsetzung war eine sichere Ausgestaltung von Systemen und Prozessen sowie die Schaffung einer transparenten Governance.

Jetzt absichern mit dem Myra DDoS Schutz
Zusammenhänge BAIT, MaRisk und DORA

01

BAIT: Eine Definition

Vergleichbar mit den MaRisk definieren auch die BAIT die gesetzlichen Anforderungen des § 25a KWG. Entsprechend wird in dem Anforderungskatalog der Aufsicht erläutert, wie Finanzinstitute eine angemessene technisch-organisatorische Ausstattung der IT-Systeme aufzustellen haben. Inhaltlich bauen die BAIT auf den MaRisk auf und konkretisieren diese. Allerdings bleiben die MaRisk-Anforderungen von den BAIT unberührt und behalten somit ihre Gültigkeit. Die BaFin hebt besonders die Berücksichtigung der Anforderungen an die Informationssicherheit sowie eines angemessenen Notfallkonzepts hervor. Außerdem adressieren die BAIT auch § 25b KWG, da Unternehmen in der Finanzindustrie zunehmend IT-Dienstleistungen als sonstigen Fremdbezug, nicht wesentliche oder wesentliche Auslagerungen outsourcen. In der Summe sieht die BaFin die BAIT als den zentralen Baustein für die IT-Aufsicht im Bankensektor in Deutschland.

02

Was ist der Inhalt der BAIT?

Die BAIT sind modular aufgebaut und umfassten ursprünglich neun Kapitel. Im Rahmen der Novellierung zum 16. August 2021 sind die drei Kapitel Operative Informationssicherheit, IT-Notfallmanagement und Management der Beziehungen mit Zahlungsdienstnutzern hinzugekommen. Durch die modulare Struktur der BAIT soll die notwendige Flexibilität für künftige Anpassungen und die Implementierung neuer Themenfelder gegeben sein. Die BAIT sind prinzipienorientiert strukturiert und wollen durch eine transparente Darstellung der Anforderungen ein IT-Risikobewusstsein schaffen.

Die Anforderungen folgen den Maßgaben der Methodenfreiheit und der doppelten Proportionalität zur Wahrung der Verhältnismäßigkeit. Das heißt, die BaFin definiert regulatorische Leitplanken, an denen sich die Institute bei der konkreten Ausgestaltung der Maßnahmen orientieren. Zudem berücksichtigt die Aufsicht das Risikoprofil des jeweiligen Unternehmens, wobei neben dem Umfang der Geschäfte auch das Geschäftsmodell und die Komplexität der Risiken eine Rolle spielen.

Im Folgenden erhalten Sie einen Überblick über die einzelnen Kapitel der BAIT in der Fassung vom 16. August 2021. (Die vollständige Ausführung steht bei der BaFin zum Download bereit.)

Person arbeitet an einem Laptop und schreibt auf ein Notizbuch

02.1

IT-Strategie

Unternehmen in der Finanzindustrie beziehungsweise deren Geschäftsleitung müssen eine nachhaltige IT-Strategie festlegen und konkrete Ziele und Maßnahmen zur Erreichung der Ziele bestimmen. Die IT-Strategie soll zur Geschäftsstrategie konsistent ausgelegt sein und verschiedene Mindestinhalte umfassen:

  • Entwicklung der IT-Aufbau- und IT-Ablauforganisation

  • Entwicklung von IT-Dienstleistungen und sonstigen zentralen Abhängigkeiten

  • Zuordnung gängiger Standards und deren Implementierungsverfahren

  • Einbindung der Informationssicherheit in die Organisation mit grundlegenden Aussagen zur Schulung und Sensibilisierung zur Informationssicherheit

  • Entwicklung der IT-Architektur

  • IT-Notfallmanagement unter Berücksichtigung der Informationssicherheitsbelange

  • Betriebene IT-Systeme in den Fachbereichen (Hardware und Software)

02.2

IT-Governance

Mittels IT-Governance managen Finanzinstitute die Struktur zur Steuerung sowie Überwachung des Betriebs und der Weiterentwicklung der IT-Systeme auf Grundlage der definierten IT-Strategie – das schließt auch die dazugehörigen IT-Prozesse mit ein. Die Definition der IT-Governance durch die BaFin umfasst:

  • Aufbau einer Struktur zur Steuerung und Überwachung hinsichtlich Betrieb und Weiterentwicklung der IT-Systeme sowie der dazugehörigen IT-Prozesse

  • Verantwortung für die wirksame Umsetzung trägt die Geschäftsführung.

  • Ressourcenausstattung für IT-Betrieb, Anwendungsentwicklung, Informationsrisikomanagement und Informationssicherheitsmanagement muss quantitativ und qualitativ angemessen sein.

  • Zu vermeiden sind Interessenkonflikte und unvereinbare Tätigkeiten innerhalb der IT-Aufbau- und IT-Ablauforganisation.

02.3

Informationsrisikomanagement

In modernen Geschäfts- und Serviceprozessen erfolgt die Informationsverarbeitung weitestgehend durch datenverarbeitende IT-Systeme. Umfang und Qualität dieser Systeme müssen sich an betriebsinternen Erfordernissen, den Geschäftsaktivitäten sowie an der Risikosituation orientieren. Ziel ist es, Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit von Daten durch die IT sicherzustellen. Im Rahmen des Informationsrisikomanagements müssen folgende Punkte Beachtung finden:

  • Definition des Informationsverbundes, etwa aus geschäftsrelevanten Informationen, Geschäfts- und Unterstützungsprozessen, IT-Systeme, IT-Prozesse, Netz- und Gebäudeinfrastruktur sowie Schnittstellen zu Partnern und Dienstleistern

  • Schutzbedarf ist in der Verantwortung des Informationseigentümers und der Fachbereiche zu ermitteln.

  • Informationssicherheitsmanagement muss die ermittelte Schutzbedarfsfeststellung überprüfen.

  • Aufstellung eines Sollmaßkatalogs (Definition angemessener Anforderungen)

  • Informationsrisikomanagement koordiniert Soll-Ist-Vergleich und Risikoanalyse. Abschließend erfolgt eine kompetenzgerechte Genehmigung für die Behandlung der ermittelten Risiken.

  • Geschäftsführung muss mindestens vierteljährlich über die Ergebnisse und über Veränderungen der Risikosituation informiert werden. Dies umfasst ebenso Informationen zu potenziellen externen Bedrohungen.

02.4

Informationssicherheitsmanagement

Mit einem Informationssicherheitsmanagement stellen Institute Vorgaben für die Informationssicherheit auf und definieren in einem fortlaufenden Prozess die konkrete Umsetzung. Daraus ergeben sich folgende Anforderungen:

  • Die Geschäftsleitung muss eine strategiekonsistente Informationssicherheitsleitlinie beschließen und diese innerhalb des Unternehmens kommunizieren.

  • Informationssicherheitsrichtlinien und Informationssicherheitsprozesse konkretisieren die beschlossene Informationssicherheitsleitlinie und geben dem Stand der Technik entsprechende Maßnahmen zur Erreichung der Schutzziele vor.

  • Informationssicherheitsprozesse beinhalten Teilprozesse, etwa für Identifizierung, Schutz, Entdeckung, Reaktion und Wiederherstellung.

  • Ein Informationssicherheitsbeauftragter muss von der Geschäftsleitung ernannt werden. Dieser überwacht, koordiniert und prüft: Informationssicherheitsprozesse, Maßnahmen-Realisierung, Einhaltung und Informationssicherheitsvorfälle. Außerdem zählen Erstellung und Fortschreibung der Informationssicherheitsrichtlinien sowie regelmäßige Statusberichte an die Geschäftsleitung zu seinen Aufgaben.

  • Für das Personal müssen kontinuierliche und angemessene Sensibilisierungs- und Schulungsprogramme für Informationssicherheit festgelegt werden.

02.5

Operative Informationssicherheit

Die Anforderungen des Informationssicherheitsmanagements werden in der operativen Informationssicherheit umgesetzt. Ziel ist die Sicherstellung von Integrität, Verfügbarkeit, Authentizität und Vertraulichkeit der Daten auf System- und Prozessebene sowie in sonstigen Bestandteilen des Informationsverbundes. Hierzu müssen operative Informationssicherheitsmaßnahmen und Prozesse wie Schwachstellenmanagement, Netzwerksegmentierung und Kontrolle, Systemhärtung, Verschlüsselung, mehrstufige Schutzkonzepte oder auch Perimeterschutz implementiert werden.

Ferner sehen die Anforderungen an die operative Informationssicherheit eine nahtlose Protokollierung sowie Dokumentation sicherheitsrelevanter Ereignisse oder Ausfälle vor. Für die kontinuierliche und ausführliche Auswertung der Daten werden automatisierte Systeme empfohlen. Ein dauerhaft besetztes Security Operations Center (SOC) kann dabei für eine zeitnahe Analyse und Reaktion erforderlich sein. Um die Wirksamkeit der getroffenen Maßnahmen nachzuvollziehen, müssen Institute zudem regelmäßig die Sicherheit der IT-Systeme mittels Abweichungsanalysen (Gapanalyse), Schwachstellenscans, Penetrationstests, Simulationen von Angriffen und ähnlichen Methoden überprüfen.

handybildschirm mit vielen Apps auf dem Bildschirm sichtbar

02.6

Identitäts- und Rechtemanagement

Mit dem Identitäts- und Rechtemanagement stellen Institute sicher, dass Zugriffs- und Nutzungsrechte in Übereinstimmung mit den organisatorischen und funktionalen Regelungen der jeweiligen Einrichtung gestaltet werden. Zielsetzung ist, dass sämtliche Zugriffs-, Zugangs- und Zutrittsrechte auf den Informationsverbund standardisierten (möglichst automatisierten) Prozessen und Kontrollen unterliegen. Die Rechtevergabe muss dabei konsistent zum jeweiligen Schutzbedarf erfolgen und sollte dem Sparsamkeitsgrundsatz (Need-to-know-Prinzip) folgen. Darüber hinaus müssen Institute Maßnahmen wie Funktionstrennung, Protokollierung und Dokumentation zur Sicherstellung der Nachvollziehbarkeit von Aktivitäten und eine regelmäßige Rezertifizierung der Rechtevergabe umsetzen. Damit die Vorgaben des Berechtigungskonzepts auch in der Praxis eingehalten werden, gilt es entsprechende technisch-organisatorische Maßnahmen zu implementieren. Hierzu zählen: angemessen starke Authentifizierungsverfahren, Richtlinien für sichere Passwörter, gesicherte Bildschirmsperren, Verschlüsselung von Daten oder auch eine manipulationssichere Protokollierung.

02.7

IT-Projekte und Anwendungsentwicklung

Bei Entwicklung, Austausch und Implementierung von IT-Systemen und Prozessen müssen im Fall von wesentlichen Veränderungen stets die Auswirkung auf die IT-Aufbau- und IT-Ablauforganisation sowie die dazugehörigen IT-Prozesse berücksichtigt und im Rahmen einer Auswirkungsanalyse bewertet werden. Wesentliche IT-Projekte und damit einhergehende Risiken gilt es an die Geschäftsführung zu berichten und im Risikomanagement zu berücksichtigen.

Bei der Anwendungsentwicklung müssen je nach Schutzbedarf entsprechende Vorkehrungen getroffen werden, um Vertraulichkeit, Integrität, Verfügbarkeit und Authentizität der zu verarbeitenden Daten nachvollziehbar sicherzustellen. Zu den geeigneten Vorkehrungen zählt die BaFin unter anderem Systemzugangskontrollen, Benutzerauthentifizierung, Transaktionsautorisierung, Audit Logs oder die Verfolgung von sicherheitsrelevanten Ereignissen. Zur Überprüfung der Integrität von Anwendungen empfiehlt sich die Untersuchung des Quellcodes. Darüber hinaus sollten die Entwicklung von Anwendungen sowie die Anwendungen selbst ausführlich dokumentiert sein, damit Sachkundige einen transparenten Einblick in das jeweilige Projekt erlangen können. Zur Qualitätssicherung sind geeignete Testmethoden zu entwickeln und einzusetzen. Der Testumfang orientiert sich an der Funktionalität der Anwendung, an den implementierten Schutzmaßnahmen sowie bei Bedarf an der Systemleistung. Mittels Penetrationstests lässt sich beispielsweise ermitteln, ob die implementierten Schutzmaßnahmen ausreichen.

02.8

IT-Betrieb

Aufgabe des IT-Betriebs ist es, die Anforderungen, die sich aus der Geschäftsstrategie sowie aus den IT-unterstützten Geschäftsprozessen ergeben, zu decken. Dies bedarf einer kontinuierlichen und detaillierten Erfassung der Bestände aller IT-Komponenten mitsamt Konfigurationsangaben, Support- und Gewährleistungsdetails, Angaben zum Schutzbedarf sowie tolerierbare Ausfallzeiten. Institute sind dazu verpflichtet, ihren Bestand an IT-Systemen regelmäßig mit Aktualisierungen zu versorgen. Im Rahmen eines Lebenszyklus-Managements sind Risiken, die sich aus veralteten und nicht mehr vom Hersteller unterstützten Systemen ergeben, zu berücksichtigen.

Prozesse für Änderungen an den IT-Systemen müssen anhand von Art, Umfang, Komplexität und Risikogehalt ausgestaltet und umgesetzt werden. Das umfasst gleichermaßen Neu- oder Ersatzbeschaffungen sowie Wartung oder auch Sicherheitspatches. Alle Änderungen an der IT müssen von den Verantwortlichen dokumentiert, bewertet, priorisiert, genehmigt, koordiniert und sicher umgesetzt werden. Eine sichere Umsetzung umfasst unter anderem Risikoanalysen, Datensicherung betroffener Systeme, Tests von Anpassungen und Patches vor dem produktiven Einsatz sowie Rückabwicklungspläne und Wiederherstellungsoptionen bei möglichen Problemen.

Im IT-Betrieb auftretende Störungen und Vorfälle müssen je nach Ausmaß entsprechend erfasst, bewertet und kommuniziert werden (etwa an die Geschäftsleitung oder zuständige Aufsichtsbehörden). Außerdem sollten über prozessgesteuerte Ursachenanalysen die aufgetretenen Ereignisse nachverfolgt und die notwendigen Maßnahmen zur Behebung des Vorfalls eingeleitet werden.

Die Anforderungen an den IT-Betrieb umfassen ferner Vorgaben für die Datensicherung, die über ein schriftlich vereinbartes Datensicherungskonzept aufzuführen sind. Hier werden die Ansprüche an Verfügbarkeit, Lesbarkeit und Aktualität der Kunden- und Geschäftsdaten sowie an die für deren Verarbeitung notwendigen IT-Systeme vorgegeben.

Außerdem liegt es an den Instituten, den aktuellen Leistungs- und Kapazitätsbedarf der IT-Systeme zu ermitteln und einen Ausblick auf den zukünftigen Bedarf abzuschätzen.

02.9

Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Als IT-Dienstleistungen definieren die BAIT sämtliche Ausprägungen des IT-Bezugs. Die Auslagerung von IT-Dienstleistungen hat nach den Maßgaben von MaRisk AT9 zu erfolgen – als Auslagerung gelten Finanzdienstleistungen, die typischerweise vom jeweiligen Institut selbst bereitgestellt werden. Dies umfasst ebenfalls Cloud-Dienstleistungen wie die Bereitstellung von Rechenleistung, Speicherplatz, Plattformen oder Software über vernetzte Schnittstellen. Grundlage für die Auslagerung von IT-Dienstleistungen bildet in jedem Fall eine Risikobewertung, deren Art und Umfang das Institut selbst definiert.

Auch der sonstige Fremdbezug von IT-Dienstleistungen muss unter Berücksichtigung der Risikobewertung im Einklang mit der Geschäftsstrategie gesteuert und überwacht werden. Aus dem Risikomanagement hervorgehende Maßnahmen gilt es vertraglich zu vereinbaren. Hierzu zählen etwa Regelungen bezüglich des Informationsrisikomanagements, Informationssicherheitsmanagements, Notfallmanagements und des IT-Betriebs. Außerdem sind erforderliche Exit- und Alternativ-Strategien zu entwickeln, um angemessen auf einen Ausfall des Dienstleisters oder einen Anbieterwechsel reagieren zu können. Die Einbindung von Subunternehmen muss ebenso vertraglich geregelt sein. Die zugrundeliegende Risikobewertung ist regelmäßig und anlassbezogen zu erneuern.

Online Banking verfahren

02.10

IT-Notfallmanagement

Für das Notfallmanagement müssen Institute konkrete Ziele zur Steigerung der Resilienz definieren und davon abgeleitet einen Notfallmanagementprozess aufsetzen. Außerdem ist ein Notfallkonzept für Störungen von zeitkritischen Aktivitäten und Prozessen zu erarbeiten. In dem Konzept gilt es Geschäftsfortführungs- sowie Wiederherstellungspläne zu definieren. Zählen Auslagerungen zu den zeitkritischen Aktivitäten und Prozessen, muss außerdem der verantwortliche Dienstleister in das Konzept mit eingebunden werden. Wirksamkeit und Angemessenheit eines solchen Notfallkonzepts sollten Institute regelmäßig überprüfen. Bei zeitkritischen Aktivitäten und Prozessen ist dies anlassbezogen beziehungsweise mindestens jährlich erforderlich.

Vom Notfallkonzept werden wiederum Notfallpläne für alle zeitkritischen Aktivitäten und Prozesse abgeleitet. Diese Notfallpläne umfassen mitunter Angaben zu Wiederanlauf, Notbetrieb und Wiederherstellung der jeweiligen Prozesse. Die Praxistauglichkeit der Pläne müssen Institute mindestens einmal im Jahr auf der Grundlage eines IT-Testkonzepts überprüfen. Außerdem haben Institute die redundante Sicherung ihrer Rechenzentren nachzuweisen. Zeitkritische Aktivitäten müssen bei einem Ausfall angemessen lange von einem anderen Standort aus betrieben werden können, bis die Wiederherstellung des IT-Normalbetriebs erfolgt ist.

Hände die Handy halten mit einer Statistik auf dem Bildschirm

02.11

Management der Beziehungen mit Zahlungsdienstnutzern

Die durch § 53 ZAG geforderten Maßnahmen für ein angemessenes Management der Beziehungen mit den Zahlungsdienstnutzern verpflichten Institute unter anderem dazu, den Nutzern die Deaktivierung einzelner Funktionalitäten zu gestatten und Betragsobergrenzen zu definieren. Außerdem müssen Zahlungsdienstnutzer die Möglichkeit erhalten, sich über getätigte und fehlgeschlagene Transaktionen sowie über Aktualisierungen sicherheitsrelevanter Prozesse informieren zu lassen. Auch sind Kommunikationsmöglichkeiten für Sicherheitsfragen, Kundenhinweise und Fragen jeglicher Art in Bezug auf die erbrachten Zahlungsdienste anzubieten.

02.12

Kritische Infrastrukturen

Die Anforderungen aus Modul zwölf betreffen ausschließlich Betreiber kritischer Infrastrukturen nach BSI-KritisV. Die BaFin erweitert darin die BAIT um spezielle Vorgaben, die der Erreichung der KRITIS-Schutzziele hinsichtlich Versorgungssicherheit dienen. Zu den kritischen Dienstleistungen im Finanzsektor zählen Bargeldversorgung, kartengestützter Zahlungsverkehr, konventioneller Zahlungsverkehr sowie Verrechnung und Abwicklung von Wertpapier- und Derivatgeschäften.

KRITIS-relevante Institute müssen laut BAIT kritische Infrastrukturen innerhalb des Informationsverbundes zusammen mit den relevanten Schnittstellen eindeutig kennzeichnen – beispielsweise in einer Configuration Management Database (CMDB). Auch in diesem Bereich gilt es die BAIT-Anforderungen und sonstige aufsichtsrechtliche Regelungen vollumfänglich zu beachten. Darüber hinaus müssen Institute das KRITIS-Schutzziel im Informationsrisiko- und Informationssicherheitsmanagement beachten und geeignete Maßnahmen zur Zielerreichung einleiten.

Grundsätzlich sind für Risiken angemessene Maßnahmen zur Mitigation nach dem Stand der Technik zu treffen.

Bei der Zusammenarbeit mit Dienstleistern ist zu beachten, dass das KRITIS-Schutzziel auch bei Auslagerungen von Dienstleistungen den Vorgaben aus KWG, MaRisk und BAIT entsprechen. Außerdem sind im Rahmen der Notfallvorsorge Maßnahmen zu treffen, damit Institute die Versorgung der Bevölkerung mit kritischen Dienstleistungen auch im Notfall aufrechterhalten können.

Dass die erforderlichen Maßnahmen zum Schutz kritischer Dienstleistungen ordnungsgemäß getroffen wurden, müssen Institute mindestens alle zwei Jahre gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) nachweisen. Die Nachweiserbringung kann im Rahmen der Jahresabschlussprüfung erfolgen.

03

Wie wirken sich die BAIT auf die Cybersicherheit aus?

Im Zuge der fortlaufenden Digitalisierung von Services und operationellem Geschäft spielt die IT-Sicherheit in der Finanzindustrie eine immer gewichtigere Rolle. Um die Cyberresilienz zu erhöhen, setzen Aufsichtsbehörden wie die BaFin auf eine zunehmend straffere Regulatorik und rücken das Thema Cybersicherheit verstärkt ins Zentrum ihrer Prüfungen. Banken und Finanzdienstleister werden sich daher intensiver denn je mit ihrer IT-Architektur sowie mit Compliance-Themen befassen müssen. Vor diesem Hintergrund stellen Dienstleister für die Auslagerung digitaler Prozesse eine attraktive Möglichkeit dar, den Inhouse-Aufwand zu reduzieren und dennoch alle Anforderungen an IT-Sicherheit und Compliance optimal zu decken.

04

BAIT: Das müssen Sie wissen

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) geben ein verbindliches Regelwerk zur Absicherung der IT in der Finanzindustrie vor. Sie definieren damit – wie die MaRisk – die gesetzlichen Anforderungen des § 25a KWG. Zielsetzung der regulatorischen Anforderungen ist es, die IT der deutschen Banken effizient und zukunftsorientiert abzusichern und hohe Standards bei der Cyberresilienz zu setzen. Außerdem sollen die BAIT ein unternehmensweites IT-Risikobewusstsein in den Instituten selbst sowie in Hinblick auf Auslagerungsdienstleister fördern. In zwölf Modulen behandeln die BAIT die wesentlichen Bereiche der operativen IT, der konkreten Steuerung und Kontrolle von Prozessen und Dienstleistern sowie die strategische Governance. Banken erhalten damit einen praxisnahen Rahmen für Management und Betrieb ihrer IT sowie für ein optimales und sicheres Zusammenspiel mit angeschlossenen Partnern. Für Letztere gilt, das sie dieselben hohen Standards erfüllen müssen wie die Banken selbst.

Speziell wesentliche Auslagerungen sind beim Outsourcing daher eine große Herausforderung, die nur von erfahrenen Dienstleistern bewältigt werden können.

Als Spezialdienstleister für Cybersicherheit im Finanzsektor begleitet Myra Security schon lange wesentliche und nicht wesentliche Auslagerungen nach KWG § 25, MaRisk AT 9 und BAIT. Mit unserer Expertise unterstützen wir Banken vollumfänglich beim Auslagerungs- und Notfallmanagement. Compliance ist unser Tagesgeschäft. Das Myra SOC überwacht 24/7 alle Systeme und Ereignisse. Namhafte Unternehmen und Organisationen aus der Finanzindustrie nutzen seit Jahren die Security-as-a-Service-Plattform von Myra, um ihre Bedürfnisse nach Cybersicherheit und Compliance gleichermaßen abzudecken.

05

Das macht Myra zum richtigen Partner für die Finanzindustrie

  • DSGVO-konformer Spezialanbieter mit Branchenexpertise (Sparkassen-Finanzportal, DSV IT Service, Sparkassen und Direktbanken, Finanzdienstleister, KRITIS)

  • Investitionssichere Technologie: vollautomatische Angriffsmitigation, hochperformante Auslieferung, maximale Skalierbarkeit

  • Revisionssicher: Myra erfüllt alle Anforderung an die wesentliche Auslagerung nach KWG § 25, MaRisk AT9 und BAIT

  • Myra erfüllt bereits jetzt alle relevanten Anforderungen des geplanten EU Digital Operational Resilience Act (DORA) an Risikomanagement, Reporting, Testing und Auslagerung

  • Maximal zertifizierte Qualität: ISO 27001 auf Basis von IT-Grundschutz, PCI-DSS-zertifiziert, BSI-KRITIS-qualifiziert, BSI C5 Testat (in Arbeit), Trusted Cloud