Neben der Abfrage der aktuellen und künftig geplanten Auslagerung wurde noch die Bilanzsumme sowie der IT-Auslagerungsgrad an die FI erhoben.

Ziel und Hintergrund

Für immer mehr Sparkassen stellt die Besetzung der Beauftragten-Funktionen eine Herausforderung dar. Eine Auslagerung ist daher eine Option, um die hohen Anforderungen der Aufsicht zu erfüllen. Insbesondere im Bereich Informationssicherheit ist es schwierig, qualifizierte Mitarbeitende zu finden. Zum einen ist der Markt für Informationssicherheits-Expertinnen und -Experten „leergefegt“, was sich in den verhaltenen Reaktionen auf Stellenanzeigen und in den Gehaltsforderungen zeigt. Zum anderen ist die Position für viele geeignete Kräfte bei nahezu vollständig ausgelagertem IT-Betrieb wenig attraktiv. Zudem ist gerade bei kleineren Häusern die Position meist keine 100%-Stelle, sodass das Fachwissen nicht vollständig genutzt wird. So kommt es, dass bei mehr als 300 Sparkassen mit jeweils eigener ISB-Funktion kaum Synergieeffekte genutzt werden können. Zur Sicherung der Zukunft von Sparkassen sind Einsparungen im Beauftragtenwesen jedoch erforderlich. Diese ließen sich durch die Bündelung von Kräften, Standardisierung, Risikoorientierung und zentrale Abstimmungen erreichen. Und dies ist mit Auslagerungen wiederum leichter zu erreichen.
Es gibt jedoch auch Argumente, die für die interne Besetzung des ISB sprechen. Hierzu zählt beispielweise die zeitnahe Verfügbarkeit bei Sicherheitsvorfällen.
Ziel der Umfrage war es daher, valide Daten als Grundlage für Gespräche des DSGV-Vertreters im Fachgremium IT in der DK (Deutsche Kreditwirtschaft) zum Thema Auslagerungen zu erlangen.
Die Auslagerung der Funktion des ISB ist aufgrund der Regelungen 4.6 BAIT umstritten. Die BaFin nennt fünf Bedingungen, welche für eine Auslagerung der Funktion des ISB kumulativ erfüllt sein müssen:

1. regional tätige (insbesondere verbundangehörige) Institute sowie
2. kleine (insbesondere gruppenangehörige) Institute
3. ohne wesentliche eigenbetriebene IT
4. mit einem gleichgerichteten Geschäftsmodell und
5. gemeinsamen IT-Dienstleistern

Die Kriterien werden von vielen Sparkassen erfüllt. Lediglich das zweite Kriterium (kleine Institute) ist nicht klar definiert. Die BaFin hat in mündlichen Gesprächen eine Grenze von 1 Mrd. Bilanzsumme genannt. Diese Zahl ist jedoch nicht veröffentlicht und kontrovers diskutiert. Beispielsweise wurde bei einer IT-Prüfung nach §44 KWG die Auslagerung des ISB von den Bundesbankprüfern akzeptiert, jedoch von der BaFin mit einer F2-Feststellung versehen. Daher ist eine Übersicht der aktuellen und geplanten Auslagerungen für künftige Diskussionen mit der Aufsicht hilfreich.
Im DSGV ITM-Radar (veröffentlicht im Umsetzungsbaukasten und im SITB) stehen weitere Informationen und Empfehlungen zur Auslagerung des ISB im Dokument 03x34_Info_SVB_Ressourcenermittlung_ISM bereit.

Auswertung

Insgesamt haben sich 235 Teilnehmer:innen von insgesamt weit über 400 Besucher:innen der Symposien / Fachtagungen beteiligt. Da bei der Umfrage von jeder Sparkasse nur eine Person teilnehmen sollte, kann von ca. 200 teilnehmenden Sparkasse ausgegangen werden. Ein repräsentativer Wert, auch wenn noch die Daten von den Fachtagungen des SVN und SVB im Herbst fehlen.

Fazit

Auslagerungen von Beauftragten-Funktionen sind für viele Sparkassen selbstverständlich. Ein Insourcing der ISB-Funktion würde die meisten Sparkassen vor Herausforderungen stellen. Entgegen der Erwartung planen jedoch nur wenige Sparkassen weitere Auslagerungen der ISB-Funktion in den nächsten 18 Monaten. Jedoch sprechen knapp 40 ISB-Auslagerungen (und in dieser Zahl fehlen noch einige Verbandsgebiete) dafür, bei der Aufsicht für eindeutige und schriftlich fixierte Kriterien zu werben. Nur so können unnötige Aufwände und Feststellungen vermieden werden.

Diese Auswertung der Umfrage finden Sie auch hier.

Dieser Beitrag stammt aus dem Informationssicherheits-Newsletter der DSV-Gruppe. Hier können Sie sich zu diesem anmelden.