Kapitalverwaltungsgesellschaften müssen bei IT-Sicherheit nachrüsten

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) legt erstmals Minimalstandards für die IT in Kapitalverwaltungsgesellschaften (KVGen) fest. Das Rundschreiben, das im April zur Konsultation gestellt wurde, trägt den Titel Kapitalverwaltungsaufsichtliche Anforderungen an die IT (KAIT) und hat das zentrale Ziel, die IT-Sicherheit im Markt zu erhöhen und das IT-Risikobewusstsein in den Kapitalverwaltungsgesellschaften zu schärfen (DFPA berichtete). Betroffen sind laut der Wirtschaftsprüfungsgesellschaft Baker Tilly 137 KVGen in Deutschland, die als externe Verwalter tätig sind und somit rechtlich von der Fondsgesellschaft getrennt sind.

Einen Schwerpunkt setzt die BaFin in dem Rundschreiben auf das Thema IT-Sicherheit. So muss jede KVG-Geschäftsleitung eine Informationssicherheitsleitlinie aufstellen und beschließen. Auf Basis der Leitlinie müssen weitere Sicherheitsrichtlinien für bestimmte Unterbereiche aufgestellt werden wie etwa für Netzwerksicherheit, Kryptografie (Informationsverschlüsselung), Authentisierung und Protokollierung. Ziel ist die Vorbeugung von Informationssicherheitsvorfällen und die angemessene Reaktion bei Problemfällen.

Des Weiteren muss jede KVG einen Informationssicherheitsbeauftragten ernennen, der die Verantwortlichen der IT-Sicherheit überwachen soll. Diese Person muss die KVG-Geschäftsführung in allen Fragen rund um das Thema Datensicherheit beraten, sie muss die erwähnten Richtlinien überwachen und Interessenkonflikte managen. Interessenkonflikte können etwa entstehen, wenn die Themen Kosten und IT-Sicherheit in Konflikt miteinander stehen.

Christian Rüdiger, Leiter Fund Solutions bei Baker Tilly: „Die IT hat in den KVGen mittlerweile eine zentrale Bedeutung gewonnen. Aufgrund der großen Datenmengen, der verschiedenen beteiligten Systeme und der Sensibilität der Daten ist eine Festlegung von Minimalstandards durch BaFin eine gute Hilfestellung. Insbesondere im Hinblick auf das sensible Thema Risikomanagement.“

Die IT von KVGen wird teilweise bereits durch die KAMaRisk (Mindestanforderungen an das Risikomanagement von KVGen) reguliert. Die Vorgaben der KAMaRisk bleiben durch die Vorgaben des BaFin-Rundschreibens unberührt, werden jedoch teilweise weiter konkretisiert.

Das Rundschreiben regelt zudem die Auslagerung von IT-Dienstleistungen, da diese immer mehr an Bedeutung gewinnt. So muss jede KVG vor einer Auslagerung eine Risikobewertung durchführen. Des Weiteren müssen auch die Möglichkeit eines Ausfalls des IT-Dienstleisters berücksichtigt werden und eine Alternativ-Strategie erarbeitet werden.

Neben den genannten Themen IT-Sicherheit und IT-Auslagerung regelt das Rundschreiben noch eine Reihe weiterer Bereiche. Jede KVG muss Darstellungen zu folgenden Themen vorlegen: IT-Strategie, IT-Governance, Informationsrisikomanagement, Benutzerberechtigungsmanagement, IT-Betrieb sowie Datensicherung.

Die Konsultationsfrist für das Rundschreiben ist bereits abgelaufen. Es wird mit einer finalen Fassung Ende Juli/Anfang August 2019 gerechnet, die sich laut Baker Tilly nicht wesentlich von dem jetzigen Stand unterscheiden dürfte. (DFPA/JF1)

Quelle: Pressemitteilung Baker Tilly

Baker Tilly bietet mit 35.000 Mitarbeitern in 145 Ländern ein breites Spektrum an Beratungsdienstleistungen in den Bereichen Audit & Advisory, Tax, Legal und Consulting an. Weltweit entwickeln Wirtschaftsprüfer, Rechtsanwälte, Steuerberater und Unternehmensberater gemeinsam Lösungen, die exakt auf jeden einzelnen Mandanten ausgerichtet sind. (JF1)

www.bakertilly.de

Zurück

Recht

Im Bereich geschlossener Immobilien-Publikumsfonds gibt es vermehrt Produkte, ...

Europas Banken erzielen Überrenditen am Aktienmarkt, wenn ihre Beschäftigten ...

Datenschutzeinstellungen

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.
In dieser Übersicht können Sie, einzelne Cookies einer Kategorie oder ganze Kategorien an- und abwählen. Außerdem erhalten Sie weitere Informationen zu den verfügbaren Cookies.
Gruppe Essenziell
Name Contao CSRF Token
Technischer Name csrf_contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der Website vor Fälschungen von standortübergreifenden Anfragen . Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Gruppe Essenziell
Name PHP SESSION ID
Technischer Name PHPSESSID
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Cookie von PHP (Programmiersprache), PHP Daten-Identifikator. Enthält nur einen Verweis auf die aktuelle Sitzung. Im Browser des Nutzers werden keine Informationen gespeichert und dieses Cookie kann nur von der aktuellen Website genutzt werden. Dieses Cookie wird vor allem in Formularen benutzt, um die Benutzerfreundlichkeit zu erhöhen. In Formulare eingegebene Daten werden z. B. kurzzeitig gespeichert, wenn ein Eingabefehler durch den Nutzer vorliegt und dieser eine Fehlermeldung erhält. Ansonsten müssten alle Daten erneut eingegeben werden.
Erlaubt
Gruppe Analyse
Name Google Analytics
Technischer Name _gat,_ga_gid
Anbieter Google
Ablauf in Tagen 1
Datenschutz https://policies.google.com/privacy
Zweck Tracking
Erlaubt
Gruppe Essenziell
Name Contao HTTPS CSRF Token
Technischer Name csrf_https-contao_csrf_token
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Dient zum Schutz der verschlüsselten Website (HTTPS) vor Fälschungen von standortübergreifenden Anfragen. Nach dem Schließen des Browsers wird das Cookie wieder gelöscht
Erlaubt
Gruppe Essenziell
Name FE USER AUTH
Technischer Name FE_USER_AUTH
Anbieter
Ablauf in Tagen 0
Datenschutz
Zweck Speichert Informationen eines Besuchers, sobald er sich im Frontend einloggt.
Erlaubt