Cloud ist längst nicht mehr nur Technologieentscheidung, sondern Strategiethema. Institute wollen schneller liefern, Lastspitzen elastisch abfedern, Innovationen aus der Plattform-Ökonomie nutzen – und zugleich die Kontrolle behalten: über Daten, Risiken, Lieferketten, Kosten und Nachweise. Genau an dieser Nahtstelle zwischen Geschwindigkeit und Beherrschbarkeit setzt die BAIT an. Sie schreibt nicht vor, welche Cloud zu wählen ist oder wie viele Availability Zones „genug“ sind. Aber sie macht unmissverständlich klar, dass Verantwortung im Haus bleibt, dass Auslagerung nicht Entsorgung ist und dass Prüfanforderungen nicht am Rechenzentrumsrand enden. Wer die Cloud souverän nutzen will, liest BAIT daher nicht als Bremse, sondern als Geländer: Sie definiert Leitplanken, innerhalb derer sich Institute sicher bewegen können – mit Tempo, aber ohne Kontrollverlust.

Cloud ist kein Ziel, sondern ein Betriebsmodell

Die meisten Transformationsprogramme starten mit einer langen Tool-Liste und enden in Diskussionen über Providerfunktionen. Das verfehlt den Kern. Cloud ist ein anderes Betriebsmodell: Infrastruktur, Plattform und teils komplette Anwendungen werden als Service bezogen, Verantwortlichkeiten verschieben sich entlang des „Shared-Responsibility“-Modells, Änderungen wandern vom Change-Board in Automationspipelines, und Beobachtbarkeit ersetzt Bauchgefühl. BAIT verdeutlicht, was das heißt: Governance, Risikosteuerung, Informationssicherheit, Berechtigungen, Entwicklung/Change, Betrieb/Notfall sowie Auslagerungen müssen als durchgehende Kette funktionieren – nicht als sieben Silos. Cloud wird dort beherrschbar, wo diese Kette geschlossen ist und an jeder Stelle prüfbare Spuren entstehen.

Bis gestern haben Sie Features priorisiert, als ginge es um die Frage „Was bringt den nächsten großen Kunden, was begeistert die Presse, was macht den Vertrieb glücklich?“. Ab morgen steht eine andere Frage im Raum: „Welche dieser Funktionen können wir überhaupt noch verantworten, ohne gegen den Cyber Resilience Act (CRA) zu verstoßen – und wer haftet, wenn wir es trotzdem tun?“ Das mag dramatisch klingen, ist aber nüchtern betrachtet die neue Realität für alle, die Produkte mit digitalen Komponenten bauen, betreiben oder vertreiben. Der CRA dreht die Blickrichtung von außen nach innen: Weg von der Feature-Show, hin zur belastbaren Fähigkeit, ein Produkt über seinen gesamten Lebenszyklus sicher zu halten. Und genau deshalb sprengt er klassische Roadmap-Rituale – nicht aus Bosheit, sondern aus Notwendigkeit.

Was sich verändert, ist nicht nur eine Liste von Pflichten, sondern die Logik, nach der Sie Entscheidungen treffen. Der CRA macht Sicherheit zu einer Marktzulassungsbedingung und verknüpft sie mit nachweisbarer Sorgfalt. Wo bislang „Security“ ein Arbeitspaket im Projektplan war, wird sie zur architektonischen Grundannahme und zur Managementaufgabe, an der sich Budgets, Zeitpläne, Vertragswerke und sogar Marketingclaims ausrichten müssen. Wer Roadmaps weiterhin wie Wunschzettel behandelt, produziert in Zukunft nicht Innovationen, sondern Haftungsrisiken.

Wer im Asset Management Verantwortung trägt, weiß es aus Erfahrung: Performance entsteht nicht nur im Portfolio, sondern im Betriebssystem der Organisation – in Governance, Prozessen, Daten, Kontrollen. Genau hier setzt KaMaRisk an, die Mindestanforderungen an das Risikomanagement für Kapitalverwaltungsgesellschaften. KaMaRisk ist kein weiteres Regelwerk „für die Schublade“, sondern die Bedienungsanleitung für ein geschäftsfähiges, prüfbares und belastbares Risikomanagement entlang der gesamten Wertschöpfungskette einer KVG: von der Produktidee bis zum Jahresbericht, vom Order-Management bis zur NAV-Freigabe, von der Auslagerungsteuerung bis zur Krisenkommunikation. Dieser Beitrag führt tief in die Praxis – ohne Umwege, ohne Schlagworte. Was KaMaRisk wirklich verlangt, wie Sie die Anforderungen proportional verankern und wo Prüfungen heute ansetzen.

Was KaMaRisk ist – und warum die Debatte ohne sie nicht zu gewinnen ist

KaMaRisk übersetzt die allgemeinen Governance- und Organisationspflichten für Kapitalverwaltungsgesellschaften in operable Erwartungen an Risikosteuerung und Kontrollarchitektur. Sie ergänzt – je nach Produktregime – die europäischen Rahmen (AIFMD/OGAW) um klare, in Deutschland gelebte Aufsichtspraxis: Rollen trennen, Risiken messen, Grenzen setzen, Abweichungen managen, Verantwortung nachweisen. Der Clou ist die Prinzipienorientierung: KaMaRisk schreibt nicht jede Schraube vor, sondern Ziele und Mindeststandards – die Ausgestaltung bleibt proportional zum Geschäftsmodell. Wer wenige, hochstandardisierte OGAW-Fonds mit starkem SaaS-Anteil betreibt, braucht einen anderen Zuschnitt als eine Service-KVG mit Spezial-AIFs, illiquiden Assets und langen Auslagerungsketten. Unverhandelbar bleibt: Wirksamkeit. Nicht das Dokument zählt, sondern die Fähigkeit, in Echtzeit zu steuern und im Nachhinein zu belegen, dass es geschehen ist.

Wer im Asset-Management Verantwortung trägt – in der Geschäftsleitung, in der IT, im Risikomanagement oder in der Compliance – spürt seit Jahren den gleichen Trend: Wertschöpfung entsteht nicht mehr nur am Portfolio, sondern ebenso in Daten, Prozessen und Systemen. Order-Erfassung, Handelsanbindung, Bewertungsmodelle, NAV-Berechnung, regulatorische Meldungen, Anleger-Reporting, Risiko- und Limitkontrolle – all das läuft auf einer verteilten, oft ausgelagerten IT. Genau hier setzt KAIT an, die kapitalverwaltungsaufsichtlichen Anforderungen an die IT. Nach BAIT (für Banken) und VAIT (für Versicherer) schließt KAIT die Lücke im dritten großen Aufsichtsspektrum: Kapitalverwaltungsgesellschaften und ihre Investmentvermögen. Der Anspruch ist klar: ohne Umwege zu einem beherrschten, prüfbaren, resilienten IT-Betrieb – proportional zum Geschäftsmodell, aber konsequent in der Sache.

Warum KAIT – und warum jetzt?

Asset Manager sind längst datengetriebene Organisationen. Produktideen, Handelsstrategien und Vertriebsmodelle mögen den Marktauftritt bestimmen; die tatsächliche Lieferfähigkeit hängt an Order-Strecken, Marktdaten, Preisprozessen, Schnittstellen zur Verwahrstelle, Abwicklung, Meldewesen, Performance- und Risikoanalytik, regulatorischer Berichterstattung sowie – zunehmend – an ausgelagerten Software-as-a-Service-Komponenten. Jede Störung in dieser Kette schlägt unmittelbar auf NAV, Handel, Reporting, Anlegerkommunikation und aufsichtliche Pflichten durch. Vor diesem Hintergrund ist KAIT kein „IT-Rundschreiben“, sondern Betriebsanleitung für eine integrierte Steuerung der IT im KVG-Kosmos.

Wer die IT-Aufsicht im Versicherungssektor verstehen will, kommt an einem Kürzel nicht vorbei: VAIT – die versicherungsaufsichtlichen Anforderungen an die IT. Hinter dem Begriff verbirgt sich kein reines Technikpapier, sondern eine klare Erwartungshaltung der Aufsicht an Governance, Organisation und Betrieb der IT bei Versicherungsunternehmen. VAIT macht deutlich: IT ist nicht Hilfsdisziplin, sondern Kern der Wertschöpfung – vom Antrag bis zur Leistung, vom Aktuariat bis zur Kapitalanlage, vom Vermittlerportal bis zum Schadenworkflow. Dieser Beitrag ordnet VAIT ein, erklärt die gemeinsame Logik hinter den Kapiteln und zeigt, welche Schritte Versicherer jetzt konkret gehen sollten, damit „VAIT-konform“ nicht auf dem Papier endet, sondern im Alltag wirkt.

Warum VAIT? Vom Nebenprozess zur Steuerungsaufgabe

Versicherung ist Informationsverarbeitung: Tarifierung, Bestandsführung, Leistungsprüfung, Meldewesen – alles beruht auf Daten, Anwendungen und vernetzten Prozessen. Störungen sind daher nicht nur IT-Probleme, sondern Geschäftsrisiken. Genau hier setzt VAIT an. Das Rundschreiben übersetzt die bekannten Grundsätze guter Geschäftsorganisation in die IT-Wirklichkeit des Versicherers: verantwortliche Leitung, risikobasierte Steuerung, nachweisbare Wirksamkeit. Die Ausrichtung ist prinzipienorientiert und proportional: Es gibt Ziele und Mindeststandards, aber keine Einheitscheckliste. Tiefe und Taktung richten sich nach Geschäftsmodell, Komplexität und Kritikalität.