Wer heute über die IT-Steuerung eines Kreditinstituts spricht, kommt an einem Begriff nicht vorbei: BAIT – die bankaufsichtlichen Anforderungen an die IT. Hinter dem Kürzel verbirgt sich kein weiteres Technik-Dokument für Spezialisten, sondern eine klare Erwartungshaltung der Aufsicht an das gesamte Haus: IT ist nicht länger „Unterstützung“, sie ist Produktionskern. Damit verschiebt sich die Verantwortung aus dem Serverraum in die Chefetage. BAIT beschreibt das Betriebssystem, auf dem eine Bank ihre IT sicher, beherrscht und prüfbar organisiert – von der Strategie über den Betrieb bis zur Auslagerung. Wer BAIT richtig liest, erkennt, dass es nicht um hübsche Policies geht, sondern um gelebte Routinen, um nachweisbare Wirksamkeit und um die Fähigkeit, in der Krise reproduzierbar zu handeln. Dieser Beitrag ordnet BAIT in den aufsichtsrechtlichen Kontext ein, erläutert die gemeinsame Logik hinter Governance, Risiko, Sicherheit, Berechtigungen, Entwicklung, Betrieb und Auslagerungen und zeigt, welche Schritte Institute jetzt konkret gehen sollten, damit „BAIT-konform“ nicht auf Papier, sondern im Alltag funktioniert.

Warum BAIT? Von der Technikinsel zum Steuerungsmodell

Die Ausgangslage ist einfach: Banken sind digital getriebene Organisationen. Wertschöpfung, Kundenschnittstellen, Zahlungsverkehr, Handel, Meldewesen – alles hängt an Anwendungen, Datenflüssen und Dienstleistern. Fehler in der IT sind keine isolierten Störungen mehr, sondern Geschäftsrisiken. BAIT ist die Antwort darauf. Die Anforderungen verankern IT-Strategie und -Risiko im Herzen der Gesamtsteuerung, verzahnen Informationssicherheit mit Projekt- und Betriebsdisziplin und machen die Auslagerungssteuerung zur Pflichtaufgabe des Managements. Das Regelwerk ist dabei ausdrücklich prinzipienorientiert: Die Aufsicht schreibt kein starres Rezept vor, sondern Ziele und Mindeststandards. Wie ein Institut diese Ziele proportional zu Größe, Komplexität und Risikoprofil erreicht, muss es selbst tragfähig gestalten – und im Zweifel der Prüfung standhalten.

Wer die IT-Aufsicht im deutschen Finanzsektor verstehen will, kommt an drei Kürzeln nicht vorbei: BAIT, VAIT und KAIT. Hinter diesen Abkürzungen stehen die bank-, versicherungs- und kapitalverwaltungsaufsichtlichen Anforderungen an die IT – drei Regelwerke, die in kurzer Folge eingeführt wurden und seitdem die Messlatte für Governance, Informationssicherheit, Outsourcing und den Betrieb geschäftskritischer IT setzen. Sie sind Geschwister aus einem Haus: in Aufbau und Anspruch eng verwandt, im Detail aber spürbar geprägt von den Besonderheiten ihrer jeweiligen Domäne. Wer sie nur als „weitere Checkliste“ liest, übersieht ihren eigentlichen Charakter: Die xAITs beschreiben nicht bloß technische Mindeststandards, sondern ein integriertes Betriebs- und Steuerungsmodell für digitale Stabilität. Dieser Beitrag ordnet das Trio ein, zeigt die gemeinsame DNA – und markiert jene Stellen, an denen die Pfade sichtbar auseinandergehen.

Wozu überhaupt xAIT? Entstehung, Anspruch, Kontext

Der Auslöser ist schnell erzählt: IT hat sich von der Unterstützungsfunktion zum Produktionskern der Finanzwirtschaft entwickelt. Wertschöpfung, Kundenschnittstellen, Risiko- und Meldeprozesse – alles hängt an verteilten Anwendungen, Datenströmen und einer Lieferkette, die weit über die Unternehmensgrenzen reicht. Gleichzeitig hat der Sektor in den vergangenen Jahren mehrere schmerzhafte Lektionen gelernt: Sicherheitsvorfälle, Verfügbarkeitsprobleme, Fehlentwicklungen in Projekten, Abhängigkeiten von einzelnen Dienstleistern. Aufsicht und Institute, Versicherer und Kapitalverwaltungsgesellschaften teilen deshalb dasselbe Zielbild: ein beherrschbares, prüfbares, resilient aufgestelltes IT-Ökosystem. Die xAITs liefern dafür die Systematik – prinzipienorientiert („Ziel, nicht Mittel“), risikobasiert („Tiefe nach Kritikalität“) und proportional („Größe und Komplexität zählen“).

Die derzeit aktuellste Studie zum Thema Bring your own Device (BYOD) wurde von der Unternehmensberatung Gartner im Mai 2013 veröffentlicht. Die Analysten haben hierfür weltweit CIOs von großen Unternehmen nach ihrer Meinung und dem Potenzial zum BYOD-Trend und -Maßnahmen befragt. Wichtige Erkenntnisse der Studie sind:

• 38 Prozent der Befragten rechnen damit, dass sie im Jahr 2016 keine (mobilen) Endgeräte mehr für ihre Angestellten beschaffen müssen.
• In mittleren und großen Unternehmen sind BYOD-Programme derzeit schon weiter verbreitet als in kleineren Unternehmen.
• Gerade kleinen Unternehmen bietet BYOD jedoch die Möglichkeit, ohne große Investitionen mobiles Arbeiten zu unterstützen.

Ein Beachtliches Ergbnis der Auswertung ist auch, dass in den USA mehr als doppelt so viele Unternehmen BYOD-Maßnahmen wie in europäischen Ländern unterstützen. Sogar Länder wie Indien, China und Brasilien liegen bei der BYOD-Umsetzung weit vor Europa. Unabhängig davon, ob die Verwendung eigener Devices am Arbeitsplatz erlaubt ist, scheint ein Großteil der Mitarbeiter nach seinen Geräten süchtig zu sein. So geben 86 Prozent der Befragten an, dass sie ihre privaten Geräte Tag und Nacht für die Arbeit verwenden – 44 Prozent sogar während der Mahlzeiten. Daneben erachten sich 20 Prozent der Studienteilnehmer als "Fast-Workaholic", 15 Prozent nehmen ihre Geräte mit in den Urlaub, und für sieben Prozent gibt es nach eigenen Angaben keine Trennung mehr zwischen Arbeits- und Privatleben.

Es gibt neue Rollen, die ganze Organisationen verändern, ohne dass sie laut auftreten. Der AI Officer gehört dazu. Er (oder sie) ist weder reiner Daten-Profi noch klassischer Compliance-Manager, weder Produktchef noch IT-Sicherheitsarchitekt – und doch hat er von allem etwas. Vor allem aber besitzt er den Auftrag, aus Möglichkeiten verlässliche Fähigkeiten zu machen: KI, die wirklich hilft, statt nur zu beeindrucken. KI, die nicht bloß funktioniert, sondern verantwortlich funktioniert. Und KI, die nicht mit dem ersten Audit ins Straucheln gerät, sondern im Feld über Jahre tragfähig bleibt.

Der AI Officer ist damit die Klammer zwischen Code und Konsequenz. Er verbindet Produktvision mit regulatorischer Realität, Datenwissenschaft mit Unternehmenswerten, Geschwindigkeit mit Sorgfalt. Was macht diese Rolle konkret? Warum ist sie jetzt so wichtig? Und woran erkennt man, dass jemand sie gut ausfüllt? Die Antworten sind weniger akademisch, als viele vermuten – sie liegen im täglichen Tun.

Mindestanforderungen klangen lange nach Papier, nach Checklisten und nach der Frage: „Welche Dokumente will der Prüfer sehen?“ Wer MaRisk heute noch so liest, verpasst den entscheidenden Punkt. Das Rundschreiben hat sich in den letzten Jahren von einer Sammlungsstelle „guter Ordnung“ zu einem Betriebssystem für Governance & Compliance entwickelt. Es ordnet Rollen und Verantwortlichkeiten, zwingt Entscheidungen in klare Bahnen, verbindet Geschäftsstrategie mit Risikoappetit, verankert Datenqualität als Führungsaufgabe, macht Auslagerungen steuerbar, rückt IT und Informationssicherheit in die erste Reihe und übersetzt Resilienz von der Prosafloskel in geübte Praxis. Kurz: MaRisk ist kein zusätzliches Projekt mehr. Es ist der Rahmen, in dem alles andere vernünftig wird – oder eben scheitert.

Und genau deshalb wirkt der Standard heute wie ein Gamechanger. Nicht, weil neue Seiten entstanden wären, sondern weil sich das Verständnis verschoben hat: weg von der Erfüllung einzelner Anforderungen hin zu einem integrierten Führungs- und Steuerungssystem, das in Aufsichtsrunden, Release-Boards, Kreditkomitees und Krisenstäben tatsächlich den Takt vorgibt. Wo MaRisk ernst genommen wird, sinken Reibungsverluste, eskalieren Probleme früher – und werden schneller gelöst. Wo es als „Papierarbeit“ abgetan wird, steigen Kosten, wächst Frust, und Risiken werden durch Bürokratie nicht kleiner, sondern bloß unsichtbarer.