IT Readiness Check für Finanzdienstleister

Vermögensverwalter unterliegen gesetzlichen und aufsichtsrechtlichen Anforderungen an den Bereich der Informationstechnologie. Die technische Infrastruktur der Institute sowie die eingesetzten IT-System weisen aufgrund der zu erfüllenden Aufgaben Parallelen auf. Initiativen der Branchenverbände haben trotz dieses günstigen Umfeldes noch keine standardisierten Prüfungsvorschläge erarbeitet oder vorgeschlagen. Hinzu kommt, dass eine kritische und unabhängige Prüfung nur von außerhalb des Unternehmens durchgeführt werden kann. Prüfungen dieser Art werden in der Regel über individuelle Projekte von BSI zertifizierten Beratern angeboten. Die Durchführung eines solchen Projektes ist meist für die Unternehmen mit hohem zeitlichen, personellen und finanziellen Aufwand verbunden.

 

Hier setzt das Angebot der vv.de Finanzdatensysteme GmbH an. Das Angebot umfasst einer der Größe des Institutes angemessene IT-Prüfung und Schwachstellenanalyse, die den aufsichtsrechtlichen Anforderung des nationalen und europäischen Gesetzgebers und im speziellen der Finanzmarktaufsicht Rechnung trägt. Zentrales Element der Prüfung ist der standardisierte Kriterienkatalog, welcher mit Hilfe der langjährigen Erfahrung von Mitarbeitern der vv.de aus Projekten aus unterschiedlichen Instituten (Vermögensverwalter, Family-Offices, Verwahrstellen, KVGs) entwickelt wurde.

 

Die Merkmale sind:

Standardisierte IT Prüfung für Finanzdienstleister zum Pauschalpreis

Dokumentation der Einhaltung von MaRisk-Vorgaben der BaFin mit den aktuellen Konkretisierungen in BAIT und IDV Ergebnisse als Basis verwendbar für die jährliche WpHG-Prüfung.

 

Prüfbereiche

  • Technisch-organisatorische Ausstattung (MaRISK AT 7.2)
  • Benutzerberechtigungen, Authentizität sowie die Vertraulichkeit der Daten (AT 7.2.2)
  • IT-Betrieb inkl. Datensicherung (BAIT 7)
  • IT-Projekte, Anwendungsentwicklung (BAIT 6)
  • Testverfahren, Freigabe und Implementierung neuer oder geänderter IT-Systeme (AT 7.2.3)
  • „Inhouse entwickelte Anwendungen“ (IDV, BAIT TZ.43)
  • Überwachungs- und Steuerungsprozesse, IT-Risikokriterien und Schutzmaßnahmen (AT 7.2.4)
  • Notfallkonzept (MaRisk AT 7.3)
  • IT-Revision (BT 2), IT-controlling (AT 4.3.2 Tz.2)
  • Auslagerung (MaRisk AT 9, BAIT 8 und BaFin Merkblatt zur „Auslagerung an Cloud-Anbieter“)
  • „Anforderungen an die Sicherheit der Datenverarbeitung“ nach §64 BDSG
  • Technisch-Organisatorische Maßnahmen (TOMs) nach Art.32 DSGVO

“Diese Prüfung soll keine vollumfängliche Abdeckung aller Bereiche bieten, aber mit wenig Aufwand die häufigsten Probleme aufdecken. Dafür sind die Checklisten so ausgestaltet, dass die wichtigsten Punkte aus den Bereichen enthalten sind”, erläutert der Geschäftsführer der vv.de Thomas Gotta.

 

Der Schwerpunkt der Prüfung liegt auf konkreter Technik und deren Handhabung. Die Beurteilung juristischer oder aufsichtsrechtlicher Fragen, wie beispielsweise der Vertragsgestaltung von Outsourcing-Verträgen, ist nicht Teil der Prüfung. Durch den Fokus auf IT-Sicherheit werden bewusst andere Themengebiete ausgeklammert. So werden zwar die Anforderungen an die „Sicherheit der Verarbeitung“ aus Artikel 32 der DSGVO in den Checklisten berücksichtigt, der allgemeine Umgang mit Datenschutz in den Arbeitsprozessen des Kunden hingegen nicht.

 

Die BSI Standards zum IT-Grundschutz (BSI-Standard 200-1, 200-2, 200-3 und den „Leitfaden Basis-Absicherung“) werden verwendet. Eine Zertifizierung der BSI-konformen Absicherung nach IT-Grundschutz erfolgt jedoch nicht.

 

Ergebnis der Prüfung ist eine Übersicht der aufgenommenen Informationen mit Bewertung und Hinweisen. Der standardisierte Check ermöglicht einen Überblick über erkannte Schwachstellen und Handlungsempfehlungen zum günstigen Pauschalpreis.

 

 

Kontakt:

 

Thomas Gotta
thomas.gotta@vv.de

Telefon: 06074 / 3011-550

 

KONTAKT

vv.de Finanzdatensysteme GmbH 

kontakt@vv.de

Tel.: +49(0)2133 / 9739 198