Programmfreigabe nach MaRisk AT7.2 (OPDV)

Der Einsatz von Informationstechnik (IT) in den Instituten, auch unter Einbeziehung von IT-Services, die durch Dienstleister bereitgestellt werden, ist von zentraler Bedeutung. Die in den Mindestanforderungen an das Risikomanagement (MaRisk) enthaltenen Anforderungen geben auf der Grundlage des § 25a Abs. 1 des Kreditwesengesetzes (KWG) einen flexiblen und praxisnahen Rahmen für die technisch-organisatorische Ausstattung der Institute – insbesondere für das Management der IT-Ressourcen, das Informationsrisikomanagement und das Informationssicherheitsmanagement – vor. Es werden ferner die Anforderungen des § 25b KWG (Auslagerung von Aktivitäten und Prozessen) präzisiert. Das Institut ist gemäß § 25a Abs. 1 Satz 3 Nr. 4 KWG i. V. m. AT 7.2 Tz. 2 MaRisk verpflichtet, bei der Ausgestaltung der IT-Systeme und der dazugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen. Zu diesen zählen beispielsweise Stand der Technik, der IT-Grundschutz des Bundesamts für Sicherheit in der Informationstechnik und die internationalen Sicherheitsstandards ISO/IEC 270XX der International Organization for Standardization. Anforderungen an die IT-Systeme, betreffen Hardware- und Software-Komponenten. Die Systeme müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Systeme sollen regelmäßig aktualisiert werden. Risiken aus veralteten bzw. nicht mehr vom Hersteller unterstützten Systemen sind zu steuern.
Mit SafeNet Version 11 liegt die Software für das gesamte Steuerungs- und Datenmanagement von Schließfächern in der aktuellen Version vor. SafeNet 11 bietet viele neue Sicherheits-Features und erhält eine Programmfreigabe nach MaRisk, AT7.2., um verantwortlichen Administratoren die regulatorischen Anforderungen für den Einsatz der Software für Schließfächer zu vereinfachen. Um die Sicherheit überprüfbar und für die Prüfer evaluierbar zu machen, liegt der Bericht über die Prüfung, wie zur Programmfreigabe gefordert (ehemals OPDV 1/2015), unter Nutzung der relevanten Standards für die IT-Anwendung, vor.