Die BAIT steht für die Bankenaufsichtlichen Anforderungen an die IT und dient dem Schutz der Unternehmen vor potenziellen IT-Risiken und -schäden.
In diesem Beitrag beleuchten wir, worauf bei der Installation und dem Betrieb geachtet werden sollte. Zu unterscheiden gilt hierbei zwischen der Integration der Anwendung in die IT-Infrastruktur und ihrem Betrieb.
Inwiefern unterscheiden sich Integration und Betrieb der Anwendung?
Nach dem technischen Setup (also der Installaton bzw. dem Upgrade der Software sowie etwaiger Erweiterungen) gilt es, ein compliance-konformes Berechtigungssystem aufzusetzen bzw. zu aktualisieren, aktiv zu schalten und in Folge kontinuierlich zu warten. Das heißt, die Anwendung muss entsprechend eingerichtet und zum Beispiel unter Einhaltung des Need-to-know-Prinzips und geltender Kompetenzregelungen technisch abgesichert werden.
Bei der Integration in die Infrastruktur liegt der Fokus vor alem auf dem Schutz vor Angriffen und Risiken von außen. Dabei gilt es, Risiken durch externe Zugriffe sowie den Datenaustausch mit externen Services zu überwachen und Schutzmaßnahmen zu etablieren. Die Dokumentation bzw. die Protokollierung und Nachvollziehbarkeit solcher Maßnahmen stellt eine wichtige Anforderung dar.
Wie kann ich mir den Prozess vorstellen?
Softwarehersteller bieten mit ihrer Software eine solide Grundlage - so auch NAVAX. Wir bieten Unternehmen mit HENRI for Leasing und HENRI for Factoring eine Lösung mit einem umfangreichen Standard, der individuell an die Bedürfnisse der Kund:innen angepasst werden kann. Dies ermöglicht die technische Absicherung geltender Kompetenzregeln und die Reduktion operativer Risiken. Ein lückenloses Sicherheitskonzept zu implementieren liegt dabei in der Verantwortung des Finanzdienstleistungsinstituts. HENRI ermöglicht es, berechtigten Mitarbeiter:innen bzw. Key Usern beim Finanzdienstleister durch die integrierte Berechtigungs- und Workflowsteuerung eigenständig Neuerung zu definieren. Unter anderem können Berechtigungen in der Applikation an neue Anforderungen angepasst, Änderungen in den Geschäftsprozessen mit Hilfe der Workflowsteuerung im System abgebildet und neue Mitarbeiter:innen durch eine einfache, programmgeführte Prozessunterstützung bestmöglich durch das System geführt werden.
Bei wem liegt die Verantwortung für die IT-Sicherheit?
Der Rechenzentrumsbetreiber bzw. das Finanzdienstleistungsinstut ist Verantwortungsträger für die IT-Sicherheit. Wie bereits im ersten Teil unserer Blogreihe beschrieben, ist die Qualität unserer Softwareentwicklung durch relevante Zertifizierungen und regelmäßige Audits geprüft. NAVAX unterstützt Key User bei der Einrichtung, dem Rollout definierter Prozesse und der Implementierung. Als Hersteller entwicklen wir die Software entsprechend den geltenden Regularien und bieten einen dokumentierten Standard, der nach Bedarf auch individuell erweiterbar ist.
Die Kund:innen haben somit die Möglichkeit zu prüfen, ob die Software den für ihn bzw. sie geltenenden Prozessen und Regularien entspricht oder ob individuelle Anpassungen benötigt werden.
Gemäß den neuen BAIT ist ein "SOC" (Security Operations Center) zu etablieren, welches dafür zuständig ist, IT-Vorgänge zu beobachten, Unregelmäßigkeiten zu überwachen und Risiken vorzubeugen. Unsere Applikation unterstützt das SOC durch das integrierte Tracking von Daten sowie die Protokollierung und Historisierung von Vorgängen. Somit liefern wir eine Grundlage zur Auswertung und Interpretation relevanter Informationen.
Gut zu wissen! Was muss ich im Betrieb noch beachten?
Wir begleiten unsere Kund:innen vor, während und auch nach der Inbetriebnahme der Software - Teamwork auf Augenhöhe. Berechtigten Key Usern wird es ermöglicht, relevante Einstellungen im System selbst vorzunehmen. Dies erhöht die Flexibilität für den laufenden Betrieb erheblich.
Wir liefern grundlegende und technische Einrichtungen - die fachliche Justierung des Systems wird durch unsere Kund:innen vorgenommen. Das heißt, die Kund:innen brechen das System auf eigene Bedarfe herunter. Besonders für die Einrichtung und Implementierung neuer Anforderungen ist Fachwissen bzw. die technische Affinität in unseren Augen ein wichtiger Aspekt.
Das A und O bei jeder Softwareeinführung und jedem Projekt ist die Kommunikation. Bei den Kund:innen werden intern fachspezifische Ansprechpartner festgelegt - die Key User. Diese wiederum betreuen die Applikation, erhalten und katalysieren die Anforderungen. Sobald dieser Schritt abgeschlossen ist, können die Anforderungen an uns weitergegeben werden. Über unser Kundenportal werden Anträge in Form von Tickets eingestellt. Unser Beratungsteam prüft die Anliegen, berät die Kund:innen und kümmert sich um das weitere Vorgehen.
Fazit
Wir bieten Standardprozesse, die aber über die Key User der Kund:innen an deren Bedürfnissen orientiert individualisiert werden werden und somit auf das Kundenbusiness abgestimmt sind. Kurzum: Wir liefern eine komfortabel einrichtbare Basis für Ihre Bedürfnisse und sind mit Microsoft Dynamics 365 Business Central immer auf dem aktuellen Stand und zukunftssicher. So werden Risiken möglichst reduziert und es steht einer BAIT-konformen Softwarenutzung nichts im Wege.