Digital Trust Blog

IT-Regulatorik Update – Konsultation der Neufassungen der BAIT und MaRisk

Am 26. Oktober 2020 hat die Bundesanstalt fĂŒr Finanzdienstleistungsaufsicht (BaFin) die EntwĂŒrfe der Novellen der Bankaufsichtlichen Anforderungen an die IT (BAIT) sowie der Mindestanforderungen an das Risikomanagement (MaRisk) in ein öffentliches Konsultationsverfahren ĂŒberfĂŒhrt. Stellungnahmen zu den EntwĂŒrfen, die der Deutschen Bundesbank sowie der BaFin bis zum 23. November 2020 (BAIT) bzw. 4.Dezember 2020 (MaRisk) schriftlich mitgeteilt werden konnten, werden auf den jeweiligen Websites veröffentlicht. Eine Veröffentlichung der Novellen in der finalen Fassung im 1. Quartal 2021 nach Abschluss des Konsultationsverfahrens ist wahrscheinlich.

Die neuen GoBD als Treiber der Digitalisierung

Das Bundesministerium der Finanzen hat mit dem BMF-Schreiben vom 28. November 2019 die „GrundsĂ€tze zur ordnungsmĂ€ĂŸigen FĂŒhrung und Aufbewahrung von BĂŒchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) neu gefasst und damit die GoBD vom 14. November 2014 ersetzt. In Kraft getreten sind die neugefassten GoBD seit dem 1. Januar 2020. In den neuen GoBD wurden punktuelle Änderungen vorgenommen, die zum einen zur Klarstellung dienen und zum anderen die Entwicklung hin zu digitalen Prozessen berĂŒcksichtigen und die Nutzung von aktuellen Technologien unterstĂŒtzen.

Aufbau und Nutzen eines Datenschutzmanagementsystems

Mit der Datenschutzgrundverordnung (DSGVO) sind umfassende Anforderungen rund um die Verarbeitung personenbezogener Daten definiert worden. Verantwortlich fĂŒr die Umsetzung eines angemessenen Datenschutzniveaus ist die Unternehmensleitung und nicht – wie mancherorts auch heute noch erwartet – der Datenschutzbeauftragte. Letzter hat im Sinne der DSGVO neben der Beratung der Unternehmensleitung u.a. die Überwachung der eingerichteten Maßnahmen zur Einhaltung der DSGVO als Aufgabe.

Obwohl die Datenschutzgrundverordnung den Aufbau eines strukturierten Datenschutzmanagementsystems (DSMS) u.a. zur ErfĂŒllung der Rechenschaftspflicht nahelegt, sind die konkreten Anforderungen an die Ausgestaltung eines solchen DSMS vom Gesetzgeber und den Aufsichtsbehörden bisher nicht weiter spezifiziert. Trotzdem ist der Aufbau eines DSMS ein lohnendes Investment, da gem. DSGVO die vom Unternehmen ergriffenen Maßnahmen bei der Sanktionierung angerechnet werden und somit ein wirksames Datenschutzmanagement neben Reputationsrisiken auch Bußgeldrisiken sowie die Eintrittswahrscheinlichkeit fĂŒr Datenschutzverletzungen reduzieren kann.

KĂŒnstliche Intelligenz im Finanzsektor

KĂŒnstliche Intelligenz (KI) hat das Potential die Arbeitsweise von Banken fundamental zu verĂ€ndern. Computer, welche auf KI basierende Technologien nutzen, imitieren die Funktionsweise menschlicher Intelligenz und reprĂ€sentieren eine besonders komplexe Art von Automatisierung. Wir gliedern Automatisierungen in solche, die menschliche TĂ€tigkeiten lediglich unterstĂŒtzen und solche, die TĂ€tigkeiten vollstĂ€ndig autonom ausfĂŒhren. Alternativ können sich Automatisierungen in ihrem Grad von AnpassungsfĂ€higkeit unterscheiden: es gibt Systeme, welche fĂŒr festgelegte Aufgaben programmiert sind und solche, die sich selbststĂ€ndig an neue Gegebenheiten anpassen können.

Auditierung von Blockchain

Die Auditierung von Blockchain-Technologien

Die Blockchain gilt als eine der großen Technologietrends der letzten Jahre mit dem Potential die Unternehmenslandschaft und das Finanzwesen fundamental zu verĂ€ndern.  Mit ihrem dezentralen Aufbau bietet sie die Möglichkeit IntermediĂ€re in GeschĂ€ftsprozessen zu ersetzen, die Transparenz zu erhöhen und die Manipulation von Daten zu verhindern. Sie eröffnet somit große Perspektiven und stellt gleichzeitig eine Alternative zu traditionellen Finanztransaktionen dar.

Balance zwischen FlexibilitĂ€t und OrdnungsmĂ€ĂŸigkeit im Umgang mit IDV

Umgang mit individueller Datenverarbeitung (IDV) – Der Hintergrund

Die klassische IT-Landschaft der Kredit- und Finanzdienstleistungsinstitute ist durch standardisierte Kernanwendungen bestimmt. Zur UnterstĂŒtzung der ProzessablĂ€ufe in den Fachbereichen werden darĂŒber hinaus unterschiedliche IDV-Anwendungen (z.B. auf der Basis von MS-Office-Anwendungen) eingesetzt. Diese Anwendungen beinhalten teilweise umfangreiche FunktionalitĂ€ten und werden von den Fachbereichen selbststĂ€ndig entwickelt und betrieben.

Der Einsatz von IDV wird reguliert und muss die regulatorischen Mindestanforderungen zur IntegritĂ€t, VerfĂŒgbarkeit, AuthentizitĂ€t sowie Vertraulichkeit erfĂŒllen.

IDW veröffentlicht neue PrĂŒfungshinweise

In der Mai und Juni Ausgabe seiner Mitgliederzeitschrift hat das Institut der WirtschaftsprĂŒfer (IDW) je einen PrĂŒfungshinweis veröffentlicht, welche den PrĂŒfungsstandard IDW PS 860 konkretisieren. Der PrĂŒfungsstandard regelt die GrundsĂ€tze und Vorgehensweisen nach denen IT-PrĂŒfungen außerhalb der AbschlussprĂŒfung durchzufĂŒhren sind. Er korrespondiert dabei mit dem internationalen „International Standard on Assurance Engagements (ISAE) 3000 (Revised)“.

Covid-19-Update: Anforderungen des SWIFT Customer Security Programme (CSP) in 2020

Covid-19-Update

Aufgrund der Covid-19 Pandemie hat SWIFT die ZeitplĂ€ne fĂŒr die Attestierung des Customer Security Controls Framework (CSCF) ĂŒberarbeitet. FĂŒr 2020 ist eine Selbstzertifizierung in Bezug auf das SWIFT CSCF in der Version v2019 fĂŒr alle SWIFT-Nutzer ausreichend, SWIFT empfiehlt jedoch aufgrund der Klarstellungen zu den Kontrollen die Version v2020 zu nutzen.

Das von SWIFT gemĂ€ĂŸ “Independent Assessment Framework” vorgeschriebene unabhĂ€ngige interne oder externe Assessment (“Community Standard Assessment”) verschiebt sich in das Jahr 2021 und wird auf Basis der Kontrollen des SWIFT CSCF in der Version v2021 durchzufĂŒhren sein. Insofern empfiehlt sich dennoch eine frĂŒhzeitige Auseinandersetzung mit den zugehörigen Kontrollen (bspw. mittels Health Check/ Gap Analyse), um fĂŒr das unabhĂ€ngige Assessment gewappnet zu sein.

DarĂŒber hinaus regt SWIFT seine Nutzer nach Möglichkeit dazu an, bereits im aktuellen Jahr 2020 ein unabhĂ€ngiges Assessment durchzufĂŒhren.

Gerne unterstĂŒtzen wir mit einem Health Check zur Vorbereitung auf entsprechende Assessments, oder natĂŒrlich auch bei der Attestierung der SWIFT CSCF Kontrollen mit unserem etablierten Verfahren auf Basis von ISAE-Standards.

/* */