Informationssicherheit ohne Anker

HUG GmbH

Zur konzeptionellen Erosion in MaRisk AT 7.2

Was einst als Rückgrat der Informationssicherheit in den MaRisk fungierte und zugleich die strukturelle Anbindung der BAIT gewährleistete, ist in der aktuellen Fassung von MaRisk AT 7.2 kaum wiederzuerkennen.

 

Die Norm wirkt heute weniger wie ein tragendes Element, sondern eher wie ein funktionsloser Steiß – noch vorhanden, funktional jedoch weitgehend entkoppelt von ihrer ursprünglichen Stützfunktion.

 

Die aktuelle Entwicklung zeigt, dass Reduktion und Streichung nicht per se zu mehr Klarheit führen. Eine Verschlankung um jeden Preis ersetzt keine inhaltliche Orientierung. Gerade vor dem Hintergrund der stärkeren Fokussierung auf DORA erscheint es erforderlich, verbleibende Regelungsbereiche klar zu konturieren.

 

Es geht dabei weniger um zusätzliche Vorgaben als um Klarstellung.

kontakt
MaRisk

MaRisk – Konsultation 02/2026 – Informationssicherheit

Umfang und Qualität der technisch-organisatorischen Ausstattung sind an den internen Erfordernissen, den Geschäftsaktivitäten sowie der Risikosituation auszurichten.

Mehr steht erstmal nicht mehr drin, in den neuen MaRisk.

 

Die aktuelle Konsultationsfassung der MaRisk führt zu einer deutlichen Reduktion expliziter Anforderungen an die Informationssicherheit, insbesondere in MaRisk AT 7.2 Tz. 1. Zentrale Konkretisierungen wurden gestrichen.

 

Diese Entwicklung steht erkennbar im Zusammenhang mit der stärkeren Gewichtung von DORA als Referenzrahmen für IKT-Risiken.

 

Genau hier liegt jedoch das Grundproblem. Bereits der bisherige MaRisk-Wortlaut verengte Informationssicherheit konzeptionell häufig auf „IT-Risiken“, anstatt Informationsrisiken konsequent als eigenständige, medienneutrale Risikokategorie zu fassen. Die aktuelle Überarbeitung korrigiert diese Schwäche nicht, sondern verschärft sie.

IKT-Risiko ≠ Informationsrisiko

Ziel von DORA ist das Erreichen eines hohen gemeinsamen Niveaus an digitaler operationaler Resilienz.

 

DORA adressiert IKT-Risiken im Zusammenhang mit der Nutzung von Netzwerk- und Informationssystemen wie folgt:

„IKT-Risiko“ … jeden vernünftigerweise identifizierbaren Umstand im Zusammenhang mit der Nutzung von Netzwerk und Informationssystemen, der bei Eintritt durch die damit einhergehenden nachteiligen Auswirkungen im digitalen oder physischen Umfeld die Sicherheit der Netzwerk- und Informationssysteme, jeglicher technologieabhängiger Instrumente oder Prozesse, von Geschäften und Prozessen oder der Bereitstellung von Diensten beeinträchtigen kann.

Damit ist der IKT-Risikobegriff strukturell gebunden an einen technischen Bezug.

 

Die Konsequenz ist eindeutig: Risiken für Informationen, die keinen Bezug zur Nutzung von IKT-Systemen aufweisen, fallen nicht systematisch in diesen Anwendungsbereich. Dies betrifft insbesondere rein analoge Informationsbestände, etwa papierbasierte Kreditakten, physische Vertragsdokumente oder nicht digitalisierte Notfallunterlagen.

 

Solche Risiken sind nur dann erfasst, wenn sich ein IKT-Bezug herstellen lässt. Eine eigenständige, medienneutrale Regulierung von Informationsrisiken erfolgt damit nicht.

MaRisk

Verlust der Integrationsfunktion der MaRisk

Die bisherigen MaRisk erfüllten insoweit eine zentrale Integrationsfunktion, indem sie Informationssicherheit in den Gesamtkontext des Risikomanagements einbetteten. Die nun gestrichenen Passagen waren Ausdruck dieser Klammer zwischen IT, Prozessen und organisatorischer Verantwortung.

 

Mit ihrem Wegfall entsteht ein strukturelles Defizit: Informationssicherheit wird aus der integrierten Governance herausgelöst und faktisch in ein spezialisiertes IKT-Regime verschoben. Dies stellt keine bloße Vereinfachung dar, sondern eine grundlegende Verschiebung des Steuerungsmodells.

Praktische Auswirkungen und blinder Fleck

In der Umsetzung führt diese Trennung zwangsläufig zu Inkonsistenzen. Digitale Sachverhalte werden klar dem DORA-Regime zugeordnet, während nicht-digital geprägte Informationsrisiken in einem unscharfen Restbereich der MaRisk verbleiben.

 

Dadurch entstehen:

  • erhebliche Interpretationsspielräume in der Umsetzung
  • uneinheitliche Schutzmaßnahmen
  • ein regulatorischer Graubereich für nicht-IKT-bezogene Informationsrisiken

 

Der zentrale blinde Fleck liegt in der fehlenden systematischen Erfassung rein analoger Informationen. Für diese existiert weder im DORA-Rahmen noch nach der Reduktion der MaRisk eine klar konturierte Anforderungssystematik. Die Folge ist eine strukturelle Untererfassung solcher Risiken – nicht zwingend im Einzelfall, aber im System.

Governance-Problem: Rolle des ISB

Die Streichung expliziter und impliziter Verweise auf etablierte Standards hat eine weitere Konsequenz: Die bisher indirekte Herleitung einer klar definierten Informationssicherheitsfunktion – etwa eines ISB – entfällt.

 

Dabei ist zu berücksichtigen, dass eine solche Funktion regulatorisch vormals klar adressiert wurde. So forderten die BAIT ausdrücklich die Einrichtung einer unabhängigen Informationssicherheitsfunktion, einschließlich einer verantwortlichen Stelle (ISB) mit klar definierten Aufgaben in Steuerung, Überwachung und Berichterstattung.

 

Vor diesem Hintergrund wiegt die aktuelle Entwicklung umso schwerer: Während zuvor zumindest über regulatorische Verweise und etablierte Rahmenwerke eine klare funktionale und organisatorische Erwartungshaltung bestand, fehlt diese Ableitung nun weitgehend.

 

Die Funktion selbst wird dadurch nicht obsolet. Ihre organisatorische Verankerung und konkrete Ausgestaltung werden jedoch deutlich unschärfer.

 

Dass daraus überhaupt die Frage entsteht, ob eine solche Rolle entfallen kann, ist aufschlussreich: Das Regelwerk verliert an Klarheit hinsichtlich der Verantwortungszuweisung für Informationssicherheit.

MaRisk

Fazit und Forderung

Die stärkere Berücksichtigung von DORA ist sachlich nachvollziehbar, ersetzt jedoch keine ganzheitliche Betrachtung von Informationsrisiken.

 

Erforderlich ist daher zumindest eine Klarstellung:

  • Informationssicherheit muss explizit als medienneutrale Querschnittsfunktion verankert bleiben
  • die Abgrenzung zu DORA darf nicht zu einer funktionalen Entkopplung führen
  • Institute müssen erkennbar zur integrierten Steuerung aller Informationsrisiken verpflichtet bleiben – unabhängig vom Informationsträger

 

Andernfalls entsteht kein schlankeres, sondern ein inkonsistentes Regelwerk mit erhöhtem Umsetzungs- und Prüfungsrisiko.

Kontakt
Nach oben scrollen