Zum Hauptinhalt springen
CENEDRIL WIKI
EN
Standard · BaFin

BAIT & VAIT — BaFin-Anforderungen an die IT von Banken und Versicherern

Aktualisiert am 4 Min. Geprüft von: Cenedril-Redaktion
BAITVAITKAITDORA

Eine Sparkasse meldet einen Cyber-Vorfall bei einem Auslagerungspartner. Die BaFin-Sonderprüfung beginnt sechs Wochen später und fordert für jeden ausgelagerten IT-Dienst: Risikobewertung, Vertragsklauseln zu Informations- und Prüfungsrechten, Wiederanlauf-Tests der letzten zwölf Monate, dokumentierte Eskalationswege. Wer diese Nachweise erst während der Prüfung zusammensucht, verliert die Diskussion über die Angemessenheit seiner Steuerung. BAIT und VAIT verlangen ein gelebtes IT-Steuerungssystem, dessen Wirksamkeit jederzeit belegbar sein muss.

BAIT (Bankaufsichtliche Anforderungen an die IT), VAIT (Versicherungsaufsichtliche Anforderungen an die IT) und KAIT (Kapitalverwaltungsaufsichtliche Anforderungen an die IT) sind Rundschreiben der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Sie konkretisieren die gesetzlichen Anforderungen an die IT-Steuerung in regulierten Finanzinstituten. Aktuelle Fassungen: BAIT vom 16. August 2021, VAIT vom 3. März 2022, KAIT vom 1. Oktober 2019.

Was umfasst der Standard?

Die drei Rundschreiben folgen einem gemeinsamen Aufbau in acht bis elf Kapiteln. Sie regeln Anforderungen an IT-Strategie, IT-Governance, Informationsrisikomanagement, Informationssicherheitsmanagement, Benutzerberechtigungsmanagement, IT-Projekte, IT-Betrieb und Auslagerungen.

Die Kapitel im Überblick (BAIT 2021)

  • Kapitel 1 — IT-Strategie: dokumentierte, von der Geschäftsleitung verabschiedete IT-Strategie mit Bezug zur Geschäftsstrategie.
  • Kapitel 2 — IT-Governance: Aufbau- und Ablauforganisation der IT, Rollen, Personalressourcen, Anforderungen an die IT-Funktion.
  • Kapitel 3 — Informationsrisikomanagement: systematische Identifikation, Bewertung und Steuerung von Informationsrisiken auf Basis eines aktuellen Inventars an Informationsverbünden.
  • Kapitel 4 — Informationssicherheitsmanagement: Informationssicherheitsleitlinie, Informationssicherheitsbeauftragter, Vorfallmanagement, Awareness.
  • Kapitel 5 — Operative Informationssicherheit: Schwachstellen-, Patch- und Konfigurationsmanagement, Logging und Monitoring, Penetrationstests.
  • Kapitel 6 — Identitäts- und Rechtemanagement: dokumentierte Berechtigungskonzepte, regelmäßige Rezertifizierung, Trennung kritischer Funktionen.
  • Kapitel 7 — IT-Projekte und Anwendungsentwicklung: Projektrisikobewertung, Trennung von Entwicklungs-, Test- und Produktivumgebungen, Anforderungsmanagement.
  • Kapitel 8 — IT-Betrieb: Bestandsführung der IT-Komponenten, Lebenszyklusmanagement, Datensicherung, Notfallmanagement mit definierten RTO/RPO.
  • Kapitel 9 — Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen: Risikobewertung, Vertragsanforderungen, Auslagerungsregister, Steuerung und Überwachung.
  • Kapitel 10 — IT-Notfallmanagement: Wiederanlaufpläne, jährliche Tests für zeitkritische Aktivitäten.
  • Kapitel 11 — Kritische Infrastrukturen: zusätzliche Anforderungen für KRITIS-Institute nach BSI-Gesetz.

Was VAIT zusätzlich abdeckt

VAIT folgt demselben Aufbau, ergänzt aber Anforderungen an versicherungsspezifische Prozesse: Bestandsverwaltungssysteme, Schadenbearbeitung, Aktuariat und versicherungsmathematische Funktionen. KAIT ist deutlich knapper und konzentriert sich auf die für Kapitalverwaltungsgesellschaften relevanten Themen wie Anlageverwaltungssysteme und Schnittstellen zu Verwahrstellen.

Prüfungspraxis

Jahresabschlussprüfung. Wirtschaftsprüfer prüfen jährlich im Rahmen der Abschlussprüfung die Einhaltung der BAIT/VAIT-Anforderungen. Der Prüfungsbericht geht an die BaFin, Feststellungen werden dort ausgewertet.

BaFin-Sonderprüfung nach §44 KWG / §306 VAG. Anlassbezogen oder turnusmäßig prüft die BaFin direkt vor Ort, häufig mit Schwerpunkt auf einem Themenkomplex (z. B. Auslagerungen, Notfallmanagement, Berechtigungen). Dauer typisch 4–12 Wochen. Schwere Feststellungen können zu aufsichtlichen Maßnahmen bis hin zur Abberufung von Geschäftsleitern führen.

Selbstauskunft und IT-Aufsichtsmeldungen. Institute melden bestimmte Vorfälle (z. B. schwerwiegende IT-Sicherheitsvorfälle, längere Ausfälle kritischer Systeme) der BaFin. Seit DORA-Geltungsbeginn gelten zusätzlich europaweit harmonisierte Meldepflichten.

Mapping zu anderen Standards

StandardVerhältnis zu BAIT/VAIT
MaRiskÜbergeordneter Rahmen für Risikomanagement; AT 9 (Auslagerungen) und AT 7.2 (technisch-organisatorische Ausstattung) sind die Bezugspunkte für BAIT/VAIT
DORA (EU 2022/2554)Überlagert seit Januar 2025 wesentliche Teile, vor allem ICT-Risikomanagement, Vorfallmeldung, Drittparteienrisiko
ISO/IEC 27001Deckt rund 70 Prozent der Informationssicherheits-Anforderungen ab; muss um BaFin-Spezifika ergänzt werden
BSI IT-GrundschutzDetailtiefere Maßnahmenkataloge, in einigen Häusern als Umsetzungs-Leitfaden für die operative Sicherheit
NIST CSFStrukturierter Rahmen für Cyber-Resilienz, hilfreich für die Selbstbewertung der Reife
EBA-Guidelines on ICT and Security Risk ManagementEuropäische Vorgängerregelung für Banken, in BAIT teilweise umgesetzt
EIOPA Guidelines on ICT Security and GovernanceEuropäische Vorgängerregelung für Versicherer, in VAIT teilweise umgesetzt

Implementierungs-Aufwand

Kleine Institute (z. B. Sparkassen, kleine Versicherer, < 200 Beschäftigte): Erstaufbau 12–24 Monate, danach 1–3 FTE für laufenden Betrieb von ISMS, Auslagerungssteuerung und Berechtigungsmanagement. Häufig wird auf Verbund-Lösungen (z. B. Sparkassen-Finanzgruppe, genossenschaftlicher FinanzVerbund) zurückgegriffen.

Mittlere Institute (200–2.000 Beschäftigte): 18–30 Monate Aufbau, 5–15 FTE im IT-Risiko-, Sicherheits- und Auslagerungsumfeld. Eigene IT-Notfall-Teams, dedizierter Informationssicherheitsbeauftragter und Auslagerungsbeauftragter.

Großbanken und -versicherer: Mehrjähriges Programm, Dutzende FTEs, häufig drei-Linien-Modell mit eigener IT-Risiko-Funktion in der zweiten Linie und IT-Revision in der dritten Linie.

Wiederkehrende Kosten: Penetrationstests (jährlich für kritische Anwendungen), externe Notfallübungen, Audit-Tage durch Wirtschaftsprüfer, Werkzeuge für Berechtigungsmanagement und IT-Service-Management.

Verwandte Standards

  • ISO/IEC 27001: Internationaler ISMS-Standard; Fundament für die Informationssicherheits-Kapitel von BAIT/VAIT.
  • DORA: EU-Verordnung zur digitalen operationalen Resilienz; überlagert BAIT/VAIT in zentralen Bereichen.
  • BSI IT-Grundschutz: Detaillierte Maßnahmenkataloge, hilfreich für die Umsetzung operativer Sicherheit.
  • NIST CSF: Reifegradmodell für die Selbstbewertung der Cyber-Steuerung.

Quellen

Häufig gestellte Fragen

Sind BAIT und VAIT Gesetze oder nur Verwaltungsvorschriften?

Beide sind BaFin-Rundschreiben — also Verwaltungsvorschriften, keine Gesetze im engeren Sinn. Sie konkretisieren die gesetzlichen Anforderungen an die ordnungsgemäße Geschäftsorganisation aus KWG §25a (Banken) bzw. VAG §23 (Versicherer). In der Aufsichtspraxis sind sie verbindlich: Wer abweicht, muss begründen, warum. In der Regel führen Abweichungen ohne tragfähige Begründung zu Feststellungen in der Sonderprüfung.

Wie verhält sich DORA zu BAIT und VAIT?

DORA gilt seit Januar 2025 unmittelbar in der gesamten EU und überlagert in Teilen die nationalen Rundschreiben. Die BaFin hat angekündigt, BAIT und VAIT entsprechend zu konsolidieren. Bis dahin gilt: DORA-Anforderungen gehen vor, BAIT/VAIT bleiben für die nicht von DORA abgedeckten Aspekte (z. B. interne Auslagerungen unterhalb kritischer Schwellen) maßgeblich. Institute müssen beide Regelwerke parallel betrachten.

Reicht ein ISO-27001-Zertifikat, um BAIT zu erfüllen?

Nein, ein Zertifikat allein reicht nicht — es deckt rund 70 Prozent der BAIT-Anforderungen ab. Spezifisch BaFin-bezogene Themen wie Auslagerungsregister nach AT 9, IT-Notfallübungen mit definierten Wiederanlaufzeiten oder die Trennung von Entwicklungs-, Test- und Produktionsumgebungen müssen zusätzlich nachgewiesen werden. Viele Institute nutzen ISO 27001 als Fundament und ergänzen es um die BaFin-spezifischen Punkte.