Wer heute über die IT-Steuerung eines Kreditinstituts spricht, kommt an einem Begriff nicht vorbei: BAIT – die bankaufsichtlichen Anforderungen an die IT. Hinter dem Kürzel verbirgt sich kein weiteres Technik-Dokument für Spezialisten, sondern eine klare Erwartungshaltung der Aufsicht an das gesamte Haus: IT ist nicht länger „Unterstützung“, sie ist Produktionskern. Damit verschiebt sich die Verantwortung aus dem Serverraum in die Chefetage. BAIT beschreibt das Betriebssystem, auf dem eine Bank ihre IT sicher, beherrscht und prüfbar organisiert – von der Strategie über den Betrieb bis zur Auslagerung. Wer BAIT richtig liest, erkennt, dass es nicht um hübsche Policies geht, sondern um gelebte Routinen, um nachweisbare Wirksamkeit und um die Fähigkeit, in der Krise reproduzierbar zu handeln. Dieser Beitrag ordnet BAIT in den aufsichtsrechtlichen Kontext ein, erläutert die gemeinsame Logik hinter Governance, Risiko, Sicherheit, Berechtigungen, Entwicklung, Betrieb und Auslagerungen und zeigt, welche Schritte Institute jetzt konkret gehen sollten, damit „BAIT-konform“ nicht auf Papier, sondern im Alltag funktioniert.

Warum BAIT? Von der Technikinsel zum Steuerungsmodell

Die Ausgangslage ist einfach: Banken sind digital getriebene Organisationen. Wertschöpfung, Kundenschnittstellen, Zahlungsverkehr, Handel, Meldewesen – alles hängt an Anwendungen, Datenflüssen und Dienstleistern. Fehler in der IT sind keine isolierten Störungen mehr, sondern Geschäftsrisiken. BAIT ist die Antwort darauf. Die Anforderungen verankern IT-Strategie und -Risiko im Herzen der Gesamtsteuerung, verzahnen Informationssicherheit mit Projekt- und Betriebsdisziplin und machen die Auslagerungssteuerung zur Pflichtaufgabe des Managements. Das Regelwerk ist dabei ausdrücklich prinzipienorientiert: Die Aufsicht schreibt kein starres Rezept vor, sondern Ziele und Mindeststandards. Wie ein Institut diese Ziele proportional zu Größe, Komplexität und Risikoprofil erreicht, muss es selbst tragfähig gestalten – und im Zweifel der Prüfung standhalten.

Wer die IT-Aufsicht im deutschen Finanzsektor verstehen will, kommt an drei Kürzeln nicht vorbei: BAIT, VAIT und KAIT. Hinter diesen Abkürzungen stehen die bank-, versicherungs- und kapitalverwaltungsaufsichtlichen Anforderungen an die IT – drei Regelwerke, die in kurzer Folge eingeführt wurden und seitdem die Messlatte für Governance, Informationssicherheit, Outsourcing und den Betrieb geschäftskritischer IT setzen. Sie sind Geschwister aus einem Haus: in Aufbau und Anspruch eng verwandt, im Detail aber spürbar geprägt von den Besonderheiten ihrer jeweiligen Domäne. Wer sie nur als „weitere Checkliste“ liest, übersieht ihren eigentlichen Charakter: Die xAITs beschreiben nicht bloß technische Mindeststandards, sondern ein integriertes Betriebs- und Steuerungsmodell für digitale Stabilität. Dieser Beitrag ordnet das Trio ein, zeigt die gemeinsame DNA – und markiert jene Stellen, an denen die Pfade sichtbar auseinandergehen.

Wozu überhaupt xAIT? Entstehung, Anspruch, Kontext

Der Auslöser ist schnell erzählt: IT hat sich von der Unterstützungsfunktion zum Produktionskern der Finanzwirtschaft entwickelt. Wertschöpfung, Kundenschnittstellen, Risiko- und Meldeprozesse – alles hängt an verteilten Anwendungen, Datenströmen und einer Lieferkette, die weit über die Unternehmensgrenzen reicht. Gleichzeitig hat der Sektor in den vergangenen Jahren mehrere schmerzhafte Lektionen gelernt: Sicherheitsvorfälle, Verfügbarkeitsprobleme, Fehlentwicklungen in Projekten, Abhängigkeiten von einzelnen Dienstleistern. Aufsicht und Institute, Versicherer und Kapitalverwaltungsgesellschaften teilen deshalb dasselbe Zielbild: ein beherrschbares, prüfbares, resilient aufgestelltes IT-Ökosystem. Die xAITs liefern dafür die Systematik – prinzipienorientiert („Ziel, nicht Mittel“), risikobasiert („Tiefe nach Kritikalität“) und proportional („Größe und Komplexität zählen“).

Mindestanforderungen klangen lange nach Papier, nach Checklisten und nach der Frage: „Welche Dokumente will der Prüfer sehen?“ Wer MaRisk heute noch so liest, verpasst den entscheidenden Punkt. Das Rundschreiben hat sich in den letzten Jahren von einer Sammlungsstelle „guter Ordnung“ zu einem Betriebssystem für Governance & Compliance entwickelt. Es ordnet Rollen und Verantwortlichkeiten, zwingt Entscheidungen in klare Bahnen, verbindet Geschäftsstrategie mit Risikoappetit, verankert Datenqualität als Führungsaufgabe, macht Auslagerungen steuerbar, rückt IT und Informationssicherheit in die erste Reihe und übersetzt Resilienz von der Prosafloskel in geübte Praxis. Kurz: MaRisk ist kein zusätzliches Projekt mehr. Es ist der Rahmen, in dem alles andere vernünftig wird – oder eben scheitert.

Und genau deshalb wirkt der Standard heute wie ein Gamechanger. Nicht, weil neue Seiten entstanden wären, sondern weil sich das Verständnis verschoben hat: weg von der Erfüllung einzelner Anforderungen hin zu einem integrierten Führungs- und Steuerungssystem, das in Aufsichtsrunden, Release-Boards, Kreditkomitees und Krisenstäben tatsächlich den Takt vorgibt. Wo MaRisk ernst genommen wird, sinken Reibungsverluste, eskalieren Probleme früher – und werden schneller gelöst. Wo es als „Papierarbeit“ abgetan wird, steigen Kosten, wächst Frust, und Risiken werden durch Bürokratie nicht kleiner, sondern bloß unsichtbarer.

Es gibt Schlagworte, die harmlos klingen, aber im Maschinenraum einer Bank Erdbeben auslösen. „Novelle“ gehört dazu. Auf dem Papier liest sich das nüchtern: ein paar neue Randziffern, geschärfte Formulierungen, ein verändertes Wording zu Auslagerungen, mehr Präzision bei Daten, Governance und IT. In der Praxis fühlt sich das an wie eine Taktverdichtung in einem Orchester, das ohnehin am Limit spielt: mehr Anforderungen, engere Zyklen, schärfere Nachweise, tiefere Eingriffe in die tägliche Steuerung. Mehr Druck also. Und mit ihm – wenn man nicht aufpasst – mehr Risiko: für Überforderung, für Schein-Compliance, für Fehlsteuerung durch Kennzahlen, die niemand wirklich versteht, für IT-Fragilität unter Last, für Lieferkettenprobleme, die man gestern noch „Outsourcing“ nannte und heute „Konzentrationsrisiko“.

Dieser Text seziert nicht die Paragraphen, sondern ihre Wirkung. Er zeigt, wie die MaRisk-Novellen den Alltag von Banken und IT tatsächlich verändern – im Guten wie im Schwierigen. Und er macht deutlich, warum es jetzt weniger auf mehr Papier, sondern auf bessere Praxis ankommt: auf Entscheidungen, die schneller werden, weil sie klar vorbereitet sind; auf Daten, die tragfähig sind; auf Verträge, die Zähne haben; auf IT, die Stabilität wirklich belegt; auf eine Kultur, die Abweichungen nicht verdeckt, sondern gezielt nutzt, um robuster zu werden.

Wer MaRisk nur als Rundschreiben im Ablageordner sieht, spürt davon wenig außer Arbeitslast. Wer MaRisk als Betriebssystem für Steuerung und Verlässlichkeit versteht, erlebt etwas anderes: Entscheidungen werden klarer, Überraschungen seltener, und die Organisation reagiert schneller – ohne hektisch zu wirken. Dieser Fachartikel erzählt, wie das gelingt. Nicht mit Paragrafenakrobatik, sondern mit dem Blick auf den gelebten Alltag: Vorstandsrunden, Kreditentscheidungen, Risikoreports, Auslagerungen, IT-Veränderungen, Stresstests. MaRisk ist dabei weder Bremse noch Selbstzweck. Es ist die Logik hinter vernünftiger Banksteuerung, übersetzt in Rollen, Prozesse und Daten.

MaRisk in einem Satz: Proportional, risikoorientiert, wirksam

Der Charme der MaRisk liegt nicht im Umfang, sondern in drei konsequenten Ideen. Proportionalität: Der Rahmen passt sich der Größe und Komplexität eines Instituts an. Risikoorientierung: Wesentliches wird vertieft, Nebensächliches bleibt schlank. Wirksamkeit: Gefordert ist nicht Papier, sondern gelebte Steuerung. Wer diese Trias ernst nimmt, verschiebt die Diskussion vom „Haben wir eine Richtlinie?“ hin zu „Trifft uns dieses Risiko – und was tun wir dann?“.