Was bedeutet BAIT? Von nationalen Standards zur EU-Resilienz (DORA)

Die Bankaufsichtlichen Anforderungen an die IT (BAIT) waren jahrelang der Goldstandard für IT-Sicherheit im deutschen Finanzsektor. Sie definierten, wie Banken ihre IT-Systeme schützen, Berechtigungen verwalten und Projekte steuern müssen. Doch mit dem Inkrafttreten des Digital Operational Resilience Act (DORA) hat sich das Spielfeld grundlegend verändert.

Für Compliance Officer und IT-Verantwortliche stellt sich nun die Frage: Wie greifen die bewährten BAIT-Prozesse und die neuen europäischen DORA-Pflichten ineinander? Dieser Artikel zeigt Ihnen, wie Sie das Beste aus beiden Welten nutzen, um Ihre digitale Widerstandsfähigkeit zu maximieren.

BAIT als Fundament: Was bleibt wichtig?

Auch unter der Ägide von DORA verlieren die BAIT nicht ihre Bedeutung. Sie konkretisieren weiterhin den § 25a KWG und bleiben für die nationale Aufsichtspraxis der BaFin relevant, insbesondere in Bereichen, die DORA nicht explizit regelt.

Die Kernmodule der BAIT im Überblick:

IT-Strategie & Governance: Die IT muss zwingend an der Geschäftsstrategie ausgerichtet sein.
Informationssicherheit (ISMS): Ein etabliertes Managementsystem (oft nach ISO 27001) ist Pflicht.
Berechtigungsmanagement: Das „Need-to-Know“-Prinzip muss technisch und organisatorisch durchgesetzt werden.
IT-Betrieb & Anwendungsentwicklung: Sichere Coding-Standards und stabile Betriebsprozesse.

Der entscheidende Unterschied: Während BAIT primär auf die Sicherheit der eigenen IT fokussiert, erweitert DORA den Blickwinkel auf die Resilienz der gesamten Lieferkette.

Der Evolutionssprung: DORA erweitert die Perspektive

DORA ist keine bloße „BAIT 2.0“, sondern ein Paradigmenwechsel. Die Verordnung verlangt von Ihnen, nicht nur Angriffe abzuwehren, sondern den Geschäftsbetrieb auch während und nach einem erfolgreichen Angriff aufrechtzuerhalten (Resilienz).

Die 5 Säulen der digitalen Resilienz nach DORA

IKT-Risikomanagement: Es reicht nicht mehr, Risiken nur zu dokumentieren. Sie müssen ein dynamisches Framework etablieren, das Bedrohungen in Echtzeit erkennt und bewertet.
Meldewesen für Vorfälle: Die Reaktionszeiten werden drastisch verkürzt. Schwerwiegende IKT-Vorfälle müssen innerhalb strikter Fristen (z.B. Erstmeldung binnen 4 Stunden) an die Aufsicht gemeldet werden.
Digitale Resilienztests: Vom einfachen Vulnerability Scan bis zum komplexen Threat-Led Penetration Testing (TLPT): Sie müssen nachweisen, dass Ihre Abwehrmechanismen auch einem gezielten Red-Teaming-Angriff standhalten.
Management von IKT-Drittanbietern: Das ist der größte Hebel. Sie haften für Ihre Dienstleister. DORA fordert ein lückenloses Informationsregister und strenge Exit-Strategien für kritische Anbieter.
Information Sharing: Banken sollen nicht mehr als Inseln agieren, sondern Bedrohungsdaten (Threat Intelligence) untereinander austauschen, um die Branche gemeinsam zu härten.

Gap-Analyse: Wo müssen BAIT-Anwender nachschärfen?

Viele Institute, die bereits BAIT-konform sind, wähnen sich in falscher Sicherheit. Doch DORA schließt Lücken, die die BAIT offen gelassen haben.

Bereich	Status Quo (BAIT)	Neuer Standard (DORA)	Handlungsbedarf
Drittparteien	Fokus auf Auslagerungsvertrag.	Fokus auf die gesamte Lieferkette (inkl. Sub-Dienstleister).	Register erstellen, Konzentrationsrisiken prüfen.
Tests	Regelmäßige Pentests empfohlen.	Verpflichtende, szenariobasierte TLPTs für kritische Systeme.	Test-Strategie mit externen Red Teams aufsetzen.
Meldewesen	Meldung bei wesentlichen Ausfällen.	Harmonisierte Klassifizierungskriterien und EU-weite Templates.	Incident-Prozess an EU-Standards anpassen.
Verträge	Zugriffs- und Prüfungsrechte.	Explizite Kündigungsrechte & Service-Level-Garantien bei IKT-Vorfällen.	Vertragsinventur durchführen & Nachverhandlung starten.

Governance: Die Rolle der Geschäftsleitung

Sowohl BAIT als auch DORA machen IT-Sicherheit zur Chefsache. Die Geschäftsleitung kann die Verantwortung für die Informationssicherheit nicht delegieren.

Ihre Aufgaben als Vorstand/Geschäftsführer:

Genehmigung: Sie müssen die Strategie für digitale Resilienz aktiv verabschieden und regelmäßig prüfen.
Schulung: DORA verpflichtet die Geschäftsleitung zu regelmäßigen IKT-Schulungen, um Risiken kompetent beurteilen zu können.
Budget: Sie müssen sicherstellen, dass ausreichende Ressourcen für das IKT-Risikomanagement bereitgestellt werden.

Fazit: Synergien nutzen statt doppelt arbeiten

Betrachten Sie DORA nicht als Ersatz, sondern als europäisches Upgrade Ihrer BAIT-Bemühungen. Wer die BAIT bereits sauber umgesetzt hat, besitzt ein starkes Fundament. Die Aufgabe besteht nun darin, dieses Fundament um die Aspekte Lieferketten-Sicherheit, Advanced Testing und schnelles Reporting zu erweitern.

Nutzen Sie die Synergien: Ein robustes ISMS (nach BAIT/ISO 27001) deckt bereits ca. 70 % der DORA-Anforderungen an das Risikomanagement ab. Konzentrieren Sie Ihre Ressourcen daher auf die verbleibenden 30 % – insbesondere das Drittparteien-Management und das Testwesen.

S+P Compliance Services: Wir machen Sie DORA-ready

Die Verzahnung von BAIT und DORA ist komplex. Wir unterstützen Sie dabei, Ihre IT-Governance rechtssicher und effizient aufzustellen.

Outsourcing CISO: Wir stellen den Informationssicherheitsbeauftragten für Ihr Institut.
DORA-Gap-Analyse: Wir prüfen Ihren Status Quo und identifizieren Handlungsbedarf.
Vertrags-Check: Wir analysieren Ihre IKT-Verträge auf DORA-Konformität.

Zu unseren Outsourcing-Services

FAQ: BAIT und DORA in der Praxis

Gilt die BAIT noch, wenn DORA in Kraft ist?

Ja. Die BAIT bleibt weiterhin gültig, da sie eine nationale Verwaltungsanweisung der BaFin ist. Allerdings besitzt DORA als EU-Verordnung Anwendungsvorrang.

→ Die BAIT konkretisiert weiterhin § 25a KWG, sofern ihre Inhalte nicht im Widerspruch zu DORA stehen oder durch DORA ersetzt werden.
Muss ich meine Auslagerungsverträge neu schreiben?
In vielen Fällen: Ja. DORA verlangt zahlreiche zwingende Vertragsklauseln, die in älteren BAIT-Verträgen häufig fehlen.

Typische Lücken sind:
- Pflichten zur Unterstützung bei IKT-Vorfällen,
- Regelungen zur Teilnahme an Tests (z. B. TLPT),
- Kündigungsrechte bei IT-Ausfällen oder Non-Compliance,
- detaillierte Service-Level-Anforderungen.
Eine Vertragsinventur ist daher dringend erforderlich.
Für wen gelten BAIT und DORA?
Die BAIT richtete sich primär an Kreditinstitute in Deutschland.

DORA hingegen erweitert den Anwendungsbereich massiv – betroffen sind u. a.:
- Kreditinstitute & Wertpapierfirmen
- Versicherungsunternehmen
- Zahlungs- und E-Geld-Institute
- Krypto-Dienstleister
- Ratingagenturen, Handelsplätze u. v. m.
Damit wird die IT-Resilienz EU-weit harmonisiert.
Wie hilft mir ein externer CISO?
Ein externer Informationssicherheitsbeauftragter (CISO) unterstützt dort, wo intern Know-how oder Kapazität fehlt.

Vorteile eines externen CISOs:
- Spezialwissen zu DORA, TLPT, Cloud-Security & Incident-Response,
- Aufbau und Steuerung eines DORA-konformen ISMS,
- Entlastung der Geschäftsleitung bei operativen Pflichten,
- Neutralität & Prüfungsfestigkeit bei Dokumentation und Risikobewertung.
Damit wird Ihre Organisation rechtskonform, resilient und audit-ready aufgestellt.

Weitere relevante Themen

IT-Strategie nach BAIT Das Fundament Ihrer IT-Compliance: Erfahren Sie, wie Sie Ihre IT-Ziele konsequent an der Geschäftsstrategie ausrichten und dokumentieren müssen.
IT-Governance & Steuerung Keine IT ohne Führung: Lesen Sie, wie Sie klare Rollen, Verantwortlichkeiten und Überwachungsprozesse etablieren, um die Vorgaben der Aufsicht zu erfüllen.
Informationssicherheitsmanagement (ISMS) Der Kernschutz gegen Cyber-Risiken: Wie Sie ein wirksames ISMS implementieren, das den Anforderungen von BAIT und internationalen Standards entspricht.
Auslagerung von IT-Dienstleistungen Fremdvergabe sicher steuern: Ein Leitfaden für die Vertragsgestaltung und Risikoüberwachung bei IT-Outsourcing-Vorhaben.
BAIT und KRITIS Besondere Pflichten für Betreiber kritischer Infrastrukturen: Was Sie beachten müssen, wenn Ihr Institut oder Ihre IT-Dienstleistung als systemrelevant gilt.