Das Fachmagazin für institutionelle Investoren

Geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden:
| Regulierung
twitterlinkedInXING

Bafin verpflichtet Fondsanbieter zu höherer IT-Sicherheit

Bald braucht jede Kapitalverwaltungsgesellschaft eine "Informationssicherheitsleitlinie" – und einen Verantwortlichen, der deren Einhaltung überwacht. Christian Rüdiger von der Beratungsfirma Baker Tilly erläutert, was es mit dem neuen Rundschreiben der Finanzaufsicht auf sich hat.

Christian Rüdiger
Christian Rüdiger, Baker Tilly: "Die IT hat in den KVGen mittlerweile eine zentrale Bedeutung gewonnen."
© Christian Rüdiger

Die Finanzaufsicht Bafin legt erstmals Mindeststandards für die IT in Kapitalverwaltungsgesellschaften (KVGen) fest. Das Rundschreiben trägt den Titel "Kapitalverwaltungsaufsichtliche Anforderungen an die IT" (KAIT). Betroffen sind 137 KVGen in Deutschland, die als externe Verwalter tätig und somit rechtlich von der Fondsgesellschaft getrennt sind, berichtet das Beratungsunternehmen Baker Tilly.

Einen Schwerpunkt setzt die Behörde dabei auf das Thema IT-Sicherheit. Jede KVG-Geschäftsleitung muss eine Informationssicherheitsleitlinie aufstellen und beschließen. Auf deren Basis müssen Richtlinien für bestimmte Unterbereiche aufgestellt werden, etwa für Netzwerksicherheit, Kryptografie, Authentisierung und Protokollierung.

"Ziel ist die Vorbeugung von Informationssicherheitsvorfällen und die angemessene Reaktion bei Problemfällen", so Baker Tilly. Außerdem muss jede KVG einen Informationssicherheitsbeauftragten ernennen, der die Einhaltung der Richtlinien überwachen und Interessenkonflikte managen muss. "Interessenkonflikte können etwa entstehen, wenn die Themen Kosten und IT-Sicherheit in Konflikt miteinander stehen", erläutert die Beratungsgesellschaft.

"Gute Hilfestellung"
"Die IT hat in den KVGen mittlerweile eine zentrale Bedeutung gewonnen", sagt Christian Rüdiger, Leiter Fund Solutions bei Baker Tilly. "Aufgrund der großen Datenmengen, der verschiedenen beteiligten Systeme und der Sensibilität der Daten ist eine Festlegung von Minimalstandards durch Bafin eine gute Hilfestellung, insbesondere im Hinblick auf das sensible Thema Risikomanagement."

Das Rundschreiben regle zudem die Auslagerung von IT-Dienstleistungen, da diese immer mehr an Bedeutung gewinne, erläutert Rüdiger. So müsse jede KVG vor einer Auslagerung eine Risikobewertung vornehmen und eine Alternativstrategie für den Fall erarbeiten, dass der IT-Dienstleister ausfällt.

Rüdiger zufolge kalkuliert die Bafin den Aufwand für jede betroffene KVG bei der erstmaligen Umsetzung mit 4,5 Mannwochen je KVG. Die Konsultationsfrist für das Rundschreiben ist bereits abgelaufen. Baker Tilly rechnet Ende Juli oder Anfang August mit einer finalen Fassung, die sich nicht wesentlich vom jetzigen Stand unterscheiden dürfte. (fp)

twitterlinkedInXING

News

 Schliessen

Mit der Nutzung dieser Website stimmen Sie der Verwendung von Cookies und unserer Datenschutzerklärung zu. Mehr erfahren