Protokoll Sonderfachgremium IT am 27.11.2023 (IT Notfallmanagement)

Die BaFin veröffentlicht das Protokoll der Videokonferenz des Sonderfachausschusses IT vom 27. November 2023 zum Thema „Cloud/IT-Notfallmanagement“.
Das Gremium, bestehend aus Experten des Finanzsektors, erörterte detailliert die Prozesse und Verfahren zur Fortführung und Wiederherstellung zeitkritischer IT-Aktivitäten und -Prozesse, die in Kapitel 10 der BAIT/VAIT behandelt werden. Es wurde betont, dass die Diskussionsergebnisse nicht als abgeschlossener Implementierungsleitfaden zu verstehen sind, sondern vielmehr als Orientierungsrahmen dienen, der in Zusammenarbeit mit Cloud-Anbietern ausgestaltet, vereinbart, implementiert und regelmäßig evaluiert werden muss.
Die Diskussion konzentrierte sich auf die aufsichtsrechtlichen Anforderungen an das IT-Notfallmanagement, die aus verschiedenen Leitlinien und Vorschriften abgeleitet werden. Eine besondere Herausforderung im Bereich des IT-Notfallmanagements in der Cloud ist die Abstraktionsgrenze, die zwischen den beaufsichtigten Unternehmen und den Cloud-Anbietern verläuft. Sie bedingt, dass beaufsichtigte Unternehmen oft keine detaillierten Informationen über die genutzten IT-Komponenten haben und nur begrenzten Einfluss auf die interne Prozessgestaltung beim Cloud-Anbieter ausüben können. Trotz dieser Herausforderungen bietet die Cloud durch hochstandardisierte Dienste und Prozesse sowie durch Mechanismen zur Redundanz und Hochverfügbarkeit eine grundsätzliche „Notfallfestigkeit“.
Die Diskussion ergab, dass die Verantwortung für ein angemessenes IT-Notfallmanagement beim beaufsichtigten Unternehmen liegt. Dies beinhaltet auch die ausgelagerten Cloud-Dienstleistungen. Die Abstraktionsgrenze definiert dabei die Zuständigkeitsteilung zwischen dem beaufsichtigten Unternehmen und dem Cloud-Anbieter. Das beaufsichtigte Unternehmen muss sicherstellen, dass beim Cloud-Anbieter ein angemessenes IT-Notfallmanagement eingerichtet ist und die mit den genutzten Cloud-Diensten verbundenen Risiken bewertet und eigene Maßnahmen ergriffen werden.
Das Notfallkonzept des beaufsichtigten Unternehmens basiert auf der Konfiguration der Cloud-Dienste und -Anwendungen und zielt darauf ab, dass auch kritische Ereignisse auf Seiten des Cloud-Anbieters nicht zu einer Unterschreitung der vertraglich festgelegten Verfügbarkeiten führen. IT-Notfalltests des beaufsichtigten Unternehmens umfassen die Szenarien, die sich bis an die Abstraktionsgrenze erstrecken. Die von Cloud-Anbietern durchgeführten IT-Notfalltests erfordern keine zeitliche oder logische Verknüpfung mit denen des beaufsichtigten Unternehmens.
Das Protokoll legt dar, dass das beaufsichtigte Unternehmen vertraglich sicherstellen muss, dass im Falle eines IT-Notfalls relevante Informationen zur Verfügung stehen. Die Entscheidungen über einzuleitende Maßnahmen basieren auf der potentiellen Auswirkung auf den Betriebszustand der genutzten IT-Systeme und IT-Komponenten oberhalb der Abstraktionsgrenze. Nach einer Störungsbeseitigung erfolgt eine Root-Cause-Analyse, und es werden Maßnahmen vereinbart sowie bestehende Risiken entsprechend behandelt. Abschließend wird betont, dass das beaufsichtigte Unternehmen seine IT-Notfallpläne mindestens einmal pro Jahr überprüfen und anpassen soll.