Es gab eine Zeit, in der IT-Governance vor allem aus gut sortierten Ordnern bestand: Strategiepapiere, Richtlinien, Prozesslandkarten – sauber nummeriert, formal genehmigt, in Jahresabständen aktualisiert. Prüfungen folgten demselben Takt. Man bereitete eine Woche lang Dokumente auf, führte Interviews, hakte Checklisten ab und ging zur Tagesordnung über. Diese Zeit ist vorbei. Heute wird IT-Governance an ihrer Betriebswirkung gemessen: an Zahlen, Reaktionszeiten, Nachweisen aus echten Systemen, an der Kohärenz zwischen Risiko, Kontrolle, Vorfallbearbeitung und Lieferkette. BAIT ist nicht länger das „Policy-Regelwerk für die IT“, sondern ein Wirksamkeitsrahmen für die gesamte Organisation – von der Geschäftsleitung bis zum letzten Dienstleister. Die Latte liegt höher, weil die Erwartung klarer ist: führen, steuern, belegen. Und zwar jederzeit.

Von der Papierlage zur Betriebswirkung: der Paradigmenwechsel

Früher reichte der Nachweis, dass es eine Strategie, ein Risikokonzept, ein Notfallhandbuch gibt. Heute zählt, wie diese Bausteine in den Alltag greifen. Eine IT-Strategie ohne messbare Zielgrößen, ein Risiko-Prozess ohne eskalierende Schwellenwerte, ein Notfallhandbuch ohne geprobte Wiederherstellung – all das gilt nicht mehr als „ausreichend“. BAIT wird zu einem Messsystem: Es fragt nach Zusammenhängen, nach Taktung, nach der Fähigkeit, aus Kennzahlen Entscheidungen abzuleiten und diese Entscheidungen wiederum zu belegen. Governance ist damit kein Sammlungspunkt von Dokumenten mehr, sondern ein Betriebsmodell mit Evidenzen.

Cloud ist längst nicht mehr nur Technologieentscheidung, sondern Strategiethema. Institute wollen schneller liefern, Lastspitzen elastisch abfedern, Innovationen aus der Plattform-Ökonomie nutzen – und zugleich die Kontrolle behalten: über Daten, Risiken, Lieferketten, Kosten und Nachweise. Genau an dieser Nahtstelle zwischen Geschwindigkeit und Beherrschbarkeit setzt die BAIT an. Sie schreibt nicht vor, welche Cloud zu wählen ist oder wie viele Availability Zones „genug“ sind. Aber sie macht unmissverständlich klar, dass Verantwortung im Haus bleibt, dass Auslagerung nicht Entsorgung ist und dass Prüfanforderungen nicht am Rechenzentrumsrand enden. Wer die Cloud souverän nutzen will, liest BAIT daher nicht als Bremse, sondern als Geländer: Sie definiert Leitplanken, innerhalb derer sich Institute sicher bewegen können – mit Tempo, aber ohne Kontrollverlust.

Cloud ist kein Ziel, sondern ein Betriebsmodell

Die meisten Transformationsprogramme starten mit einer langen Tool-Liste und enden in Diskussionen über Providerfunktionen. Das verfehlt den Kern. Cloud ist ein anderes Betriebsmodell: Infrastruktur, Plattform und teils komplette Anwendungen werden als Service bezogen, Verantwortlichkeiten verschieben sich entlang des „Shared-Responsibility“-Modells, Änderungen wandern vom Change-Board in Automationspipelines, und Beobachtbarkeit ersetzt Bauchgefühl. BAIT verdeutlicht, was das heißt: Governance, Risikosteuerung, Informationssicherheit, Berechtigungen, Entwicklung/Change, Betrieb/Notfall sowie Auslagerungen müssen als durchgehende Kette funktionieren – nicht als sieben Silos. Cloud wird dort beherrschbar, wo diese Kette geschlossen ist und an jeder Stelle prüfbare Spuren entstehen.

Wer heute über die IT-Steuerung eines Kreditinstituts spricht, kommt an einem Begriff nicht vorbei: BAIT – die bankaufsichtlichen Anforderungen an die IT. Hinter dem Kürzel verbirgt sich kein weiteres Technik-Dokument für Spezialisten, sondern eine klare Erwartungshaltung der Aufsicht an das gesamte Haus: IT ist nicht länger „Unterstützung“, sie ist Produktionskern. Damit verschiebt sich die Verantwortung aus dem Serverraum in die Chefetage. BAIT beschreibt das Betriebssystem, auf dem eine Bank ihre IT sicher, beherrscht und prüfbar organisiert – von der Strategie über den Betrieb bis zur Auslagerung. Wer BAIT richtig liest, erkennt, dass es nicht um hübsche Policies geht, sondern um gelebte Routinen, um nachweisbare Wirksamkeit und um die Fähigkeit, in der Krise reproduzierbar zu handeln. Dieser Beitrag ordnet BAIT in den aufsichtsrechtlichen Kontext ein, erläutert die gemeinsame Logik hinter Governance, Risiko, Sicherheit, Berechtigungen, Entwicklung, Betrieb und Auslagerungen und zeigt, welche Schritte Institute jetzt konkret gehen sollten, damit „BAIT-konform“ nicht auf Papier, sondern im Alltag funktioniert.

Warum BAIT? Von der Technikinsel zum Steuerungsmodell

Die Ausgangslage ist einfach: Banken sind digital getriebene Organisationen. Wertschöpfung, Kundenschnittstellen, Zahlungsverkehr, Handel, Meldewesen – alles hängt an Anwendungen, Datenflüssen und Dienstleistern. Fehler in der IT sind keine isolierten Störungen mehr, sondern Geschäftsrisiken. BAIT ist die Antwort darauf. Die Anforderungen verankern IT-Strategie und -Risiko im Herzen der Gesamtsteuerung, verzahnen Informationssicherheit mit Projekt- und Betriebsdisziplin und machen die Auslagerungssteuerung zur Pflichtaufgabe des Managements. Das Regelwerk ist dabei ausdrücklich prinzipienorientiert: Die Aufsicht schreibt kein starres Rezept vor, sondern Ziele und Mindeststandards. Wie ein Institut diese Ziele proportional zu Größe, Komplexität und Risikoprofil erreicht, muss es selbst tragfähig gestalten – und im Zweifel der Prüfung standhalten.

Wer die IT-Aufsicht im deutschen Finanzsektor verstehen will, kommt an drei Kürzeln nicht vorbei: BAIT, VAIT und KAIT. Hinter diesen Abkürzungen stehen die bank-, versicherungs- und kapitalverwaltungsaufsichtlichen Anforderungen an die IT – drei Regelwerke, die in kurzer Folge eingeführt wurden und seitdem die Messlatte für Governance, Informationssicherheit, Outsourcing und den Betrieb geschäftskritischer IT setzen. Sie sind Geschwister aus einem Haus: in Aufbau und Anspruch eng verwandt, im Detail aber spürbar geprägt von den Besonderheiten ihrer jeweiligen Domäne. Wer sie nur als „weitere Checkliste“ liest, übersieht ihren eigentlichen Charakter: Die xAITs beschreiben nicht bloß technische Mindeststandards, sondern ein integriertes Betriebs- und Steuerungsmodell für digitale Stabilität. Dieser Beitrag ordnet das Trio ein, zeigt die gemeinsame DNA – und markiert jene Stellen, an denen die Pfade sichtbar auseinandergehen.

Wozu überhaupt xAIT? Entstehung, Anspruch, Kontext

Der Auslöser ist schnell erzählt: IT hat sich von der Unterstützungsfunktion zum Produktionskern der Finanzwirtschaft entwickelt. Wertschöpfung, Kundenschnittstellen, Risiko- und Meldeprozesse – alles hängt an verteilten Anwendungen, Datenströmen und einer Lieferkette, die weit über die Unternehmensgrenzen reicht. Gleichzeitig hat der Sektor in den vergangenen Jahren mehrere schmerzhafte Lektionen gelernt: Sicherheitsvorfälle, Verfügbarkeitsprobleme, Fehlentwicklungen in Projekten, Abhängigkeiten von einzelnen Dienstleistern. Aufsicht und Institute, Versicherer und Kapitalverwaltungsgesellschaften teilen deshalb dasselbe Zielbild: ein beherrschbares, prüfbares, resilient aufgestelltes IT-Ökosystem. Die xAITs liefern dafür die Systematik – prinzipienorientiert („Ziel, nicht Mittel“), risikobasiert („Tiefe nach Kritikalität“) und proportional („Größe und Komplexität zählen“).