Mitte August veröffentlichte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die finale Version der „Zahlungsdiensteaufsichtlichen Anforderungen an die IT von Zahlungs- und E-Geld-Instituten“ (ZAIT). Darin werden entsprechende Vorgaben auferlegt, die Anwendung der Inhalte sind mit Veröffentlichung des Rundschreibens verpflichtend. Im Vergleich zu zurückliegenden Rundschreiben der BaFin enthält die ZAIT einige neue bzw. konkreter beschriebene Anforderungen.
Die Anforderungen der ZAIT verlangen durchgängig eine direkte und teilweise vertiefte Integration der Geschäftsleitung und des Informationssicherheitsbeauftragten in relevante Prozesse der Ablauforganisation, insbesondere bei der fortlaufenden Bewertung von Risiken.
Die Anforderungen der ZAIT gelten für alle Institute im Sinne von §1 Absatz 3 des Zahlungsdiensteaufsichtsgesetz (ZAG) und ergänzen damit die Familie der Rundschreiben der BaFin, in der diese die IT-Richtlinien im Finanzsektor zentral definiert – beispielsweise die Mindestanforderungen an das Risikomanagement (MaRisk) sowie die auf die jeweiligen Branchen fokussierten Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) bzw. die für Banken (BAIT). Inhaltlich setzt sich die ZAIT im Detail teilweise signifikant von der ebenfalls in einer geänderten Version veröffentlichten BAIT ab, auch wenn die Anforderungen im Inhaltsverzeichnis nahezu deckungsgleich sind. Die Operationalisierung der Inhalte der ZAIT sind mit der Veröffentlichung am 16.08., mit Ausnahme der Übergangsfristen der genannten EBA Leitlinien, verpflichtend und werden in Abhängigkeit des Prüfungszeitraums im Rahmen der internen Revision, von Jahresabschluss-& Sonderprüfungen sowie anlassunabhängiger Prüfungen entsprechend auditiert.
Geschäftsstrategie, IT-Strategie, Auslagerungen
Sehr konkret nennt die ZAIT Anforderungen an die an eine an der Geschäftsstrategie konsistent ausgerichtete IT-Strategie. Diese gelten auch für selbst betriebene bzw. entwickelte Hard- und Softwarekomponenten, die strategische Einordnung extern bezogener IT-Dienstleistungen (Abhängigkeit von Dritten) sowie das jeweilige Zusammenarbeitsmodell mit IT-Dienstleistern. Letzterem Punkt widmet sich ein separates Kapitel der ZAIT im Detail. In diesem wird ein Rahmen für die Definition, die Rechte und Pflichten interner Stakeholder (Auslagerungsbeauftragter, Geschäftsleitung), den eigentlichen Auslagerungsprozess (initiale Risikoanalyse, Befugnis, Schlechtleistung, Berichterstattung, Auslagerungsregister), Kontrollhandlungen des auslagernden Instituts (fortlaufende Risikobewertung) sowie die mögliche Beendigung der Auslagerungsvereinbarung (Exit-Strategie bei wesentlichen Auslagerungen) vorgegeben. Zu sämtlichen Auslagerungen müssen die individuellen Regelungen vertraglich vereinbart werden, inklusive Vereinbarungen zu einer Weiterverlagerung auf Subunternehmen und dem Ort der eigentlichen Leistungserbringung. Die individuelle Ende-zu-Ende-Verantwortung einer Auslagerung inklusive der Betrachtung der Zielerreichung obliegt der Geschäftsleitung.
Geschäftsleitung in der Pflicht
Analog zur IT-Strategie und Auslagerungen sieht die ZAIT eine (zwangsläufig) starke Einbindung der Geschäftsleitung bei der IT-Governance. Diese beinhaltet insbesondere, dass Prozesse sowie damit verbundene Aufgaben, Kompetenzen, Verantwortlichkeiten, Kontrollen und Kommunikationswege klar zu definieren und aufeinander abzustimmen sind. Diese Verantwortung gilt auch für Schnittstellen zu Auslagerungen, die als „wesentlich“ eingeordnet wurden bzw. sind. Auch das Qualitätsniveau der Mitarbeiter rückt, stärker als in zurückliegenden Rundschreiben, mehr und mehr in den Fokus der Regulatorik. Diese fordert eine angemessene qualitative Ressourcenausstattung, sowie ein angemessenes Qualitätsniveau an Kenntnissen und Erfahrungen, beispielsweise durch das Erlangen von Personenzertifizierungen.
Struktur der Aufbauorganisation
In Anlehnung an die in der ISO/IEC 27005 beschriebenen Methodik (primary assets – supporting assets) fordert die ZAIT die aktive Integration maßgeblicher Stellen in die Prozesse des Informationsrisikomanagements. Dabei wird die entsprechende aktive Integration der Verantwortlichen (asset owner, risk owner, …) in die Schutzbedarfsanalyse (auch gegenüber externen Bedrohungen) direkt gefordert und darüber hinaus ein aktives Management risikoreduzierender Maßnahmen. Die Rolle des Informationssicherheitsbeauftragten kann mit anderen in der internen Organisation kombiniert, oder extern besetzt werden. Erstmals werden in Rundschreiben der BaFin Voraussetzungen für die externe Besetzung der Rolle genannt. Grundsätzlich liegt die Verantwortung für den Reifegrad einer ISMS-Implementierung und beispielsweise abgeleiteter Dokumente der schriftlich fixierten Ordnung bei der Geschäftsleitung.
Operative Informationssicherheit
Dieses Kapitel ist neu im Vergleich zu zurückliegenden Rundschreiben der BaFin. Explizit gefordert werden präventive Maßnahmen (Vulnerability-Managment, Netzsegmentierung, Hardening, …) ohne jedoch konkrete Controls aufzuerlegen. Sehr konkret sind hingegen die Anforderungen and die regelbasierte Auswertung potentiell sicherheitsrelevanter Informationen. Um diesen Anforderungen nachzukommen sind Organisationen, die im Scope der ZAIT stehen, gezwungen, entsprechende technische Werkzeuge und Lösungen zu implementieren, wie z. B. ein SIEM (Security Incident and Event Management), das in der Lage ist, Inhalte aus Logdateien und/oder Feeds zeitnah, regelbasiert und zentral auszuwerten. Diese Regeln müssen getestet und laufend qualitätsgesichert werden. Erstmals wird auch eine ständig besetzte zentrale Stelle (z. B. Security Operation Center – SOC) gefordert, die eine zeitnahe Analyse und Reaktion auf entsprechende Ereignisse sicherstellt und deren Qualität beispielsweise durch Simulation von Angriffen sichergestellt werden muss.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Notfallmanagement
Auch in diesem Kapitel wird die BaFin mit ihren Anforderungen in der ZAIT konkreter. Gefordert werden Maßnahmen für explizit 4 Szenarien, die im Rahmen des Notfallmanagements mindestens zu berücksichtigen sind, die entsprechende Quantifizierungen von RTO (Recovery Time Objective) und RPO (Recovery Point Objective) sind obligatorisch. Das ebenfalls geforderte IT-Testkonzept beinhaltet neben einzelnen IT-Systemen auch deren Zusammenfassung, die Betrachtung ganzer Prozesse sowie die Erbringung eines Nachweises der MBCO (Minimum business continuity objective) bei einem RZ-Ausfall.
Ebenfalls im Fokus: Der Nutzer
Neben Vorgaben zur institutsinternen Aufbau- und Ablauforganisation und dem Management von Auslagerungen sieht die ZAIT eine stärkere Einbindung des Zahlungsdienstnutzers vor. Durch die aktive Integration in Prozesse soll ihm auf diese Weise und auf Basis aktueller Risiken und eigener Kontrollen eine angemessene Reaktion, und die sichere Nutzung ermöglicht werden.
Fazit
Die Inhalte der ZAIT sind auf der Höhe der Zeit. Die Anforderungen verlangen durchgängig eine direkte und teilweise vertiefte Integration der Geschäftsleitung und des Informationssicherheitsbeauftragten in relevante Prozesse der Ablauforganisation, insbesondere bei der fortlaufenden Bewertung von Risiken. Dies ist aufgrund der aktuellen Bedrohungslage absolut sinnvoll, ebenso wie die Vorgaben für die operative Informationssicherheit. Dem seit Jahren andauernden Trend zu Auslagerungen wird nun ein Rahmen gegeben und darüber hinaus werden die Nutzer aktiv integriert. Aus seiner Perspektive garantieren die Anforderungen der ZAIT einen Mindeststandard. Die Anforderungen der ZAIT und für die Institute abzuleitende Maßnahmen müssen dennoch begründbar sein und bleiben - insbesondere vor dem Hintergrund der praktischen Anwendbarkeit und dem tatsächlichen, wirtschaftlichen und/oder gesellschaftlichen Nutzen.
Über den Autor: Markus Thiel unterstützt Organisationen bei Fragenstellungen zu ISMS, SIEM/SOC und Incident Response Management.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/5d/d95db308f21105edf9003cfc42f866e2/0128657338v2.jpeg "Die Hackergruppe Ashen Lepus ist durch ihre Spionageaktivitäten motiviert, die auf das Sammeln sensibler Informationen aus Regierungsstellen und diplomatischen Einrichtungen im Nahen Osten abzielen, wobei sie zunehmend auch ihre Ziele auf andere Regionen, einschließlich Europa, ausdehnt. (Bild: Midjourney / Paula Breukel / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/1f/2b/1f2bceb72469cea0323e7dd906576d1b/0129080111v2.jpeg "Der 28. Januar wurde als Europäischer Datenschutztag gewählt, da an diesem Datum im Jahr 1981 der Europarat das Übereinkommen Nr. 108 annahm, das erste rechtsverbindliche zwischenstaatliche Abkommen zum Schutz personenbezogener Daten bei automatischer Verarbeitung. (Bild: © lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/02/81/02817f46ea84a6cb411406cc3d0ddc17/0128648824v2.jpeg "KI-gestützte Angriffe ermöglichen es Cyberkriminellen, ihre Angriffsmethoden durch automatisierte Malware-Entwicklung und raffinierte Social-Engineering-Taktiken zu optimieren und jede Phase ihrer Angriffe zu beschleunigen, was das Reaktionsfenster für Verteidiger drastisch verkürzt. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ca/54/ca546583f644634e8620e31635a34b88/0129056071v2.jpeg "Blick in die Zukunft: Der Nachfolger von Windows Server 2025 heißt wahrscheinlich Windows Server 2028/2029. Bereits jetzt gibt es eine Testversion und neue Funktionen sickern durch. (Bild: © PNG City - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/57/cc/57cc4ad7badd6e36300bf10fcda97eac/0129117117v2.jpeg "Microsoft reagiert mit außerplanmäßigen Updates auf eine Sicherheitsanfälligkeit in Office 2016 bis 2024 und Office 365-Apps und stellt derzeit im Eiltempo Notfall-Patches bereit, um schwerwiegende Angriffe durch das Umgehen von Sicherheitsfunktionen zu verhindern. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8d/a6/8da69ebdef1090970a7ef7d44f304864/0129086965v2.jpeg "Die Niedersächsische Landesregierung reagiert auf die zunehmenden Cyberangriffe, indem sie einen neuen digitalen Schutzschirm einführt. Der Anbieter des neuen Schutzschilds kommt aus den USA. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/9e/43/9e43dcf1cbf2a1ac7766c9535aa6d4fa/0126366743v2.jpeg "IKT-Drittanbieter bergen hohe Risiken, aber ein strukturiertes Third Party Risk Management sichert Kontrolle, Resilienz und Compliance nach DORA und NIS2. (Bild: © chiew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/c5/5fc595101c3f67c3f6e29ef6d0aba1c0/0128510102v1.jpeg "Da sich das Cybersecurity-Lagebild stets verändert, müssen Organsiationen ihre Strategien laufend neu bewerten. (Bild: © Pakin - stock.adobe.com)")