Institutional Money, Ausgabe 3 | 2020

„Wir konnten nach dem Corona-Lock- down tatsächlich von heute auf morgen alles remote abwickeln. Auch unsere Vor- standssitzungen haben wir digital durchge- führt. Im Büro hatten wir zu der Zeit nur eine minimale Präsenz, eigentlich nur um die physische Post zu verteilen“, erzählt Bernd Lönner, der im Vorstand der Real I.S. unter anderem für Risikomanagement sowie IT und Informationssicherheit zuständig ist. Er gibt aber auch zu: „Eine Änderung der gesamten IT-Systemlandschaft nimmt natür- lich Ressourcen vom Tagesgeschäft weg. Womöglich ist ein gewisser regulatorischer Druck dazu nötig.“ Lönner kam dabei das Geschäftsmodell der Real I.S. zugute: „Als Immobilien-KVG haben wir keinen Zah- lungsverkehr für Dritte und keinen Handel, also keine zeitkritischen Prozesse.“ Im Vor- feld hatte die Real I.S. viel in ihre IT-Infra- struktur und Hardware investiert, angestoßen durch die KAIT. Hilfreich dabei dürfte gewesen sein, dass die Muttergesellschaft der Real I.S., die Bayern LB, bereits zwei Jahre zuvor die BAIT umzusetzen hatte. „Im Rahmen der Gruppensteuerung wurden damals schon bestimmte Standards einge- richtet und einheitliche Datenformate gefor- dert. Ich nehme an, dass Fondsgesellschaf- ten, die Banken- oder Versicherungstöchter sind, bei der KAIT-Umsetzung generell wei- ter sind, weil der jeweilige Mutterkonzern die IT-Anforderungen bereits in Angriff ge- nommen und sie zu einem Konzernthema gemacht hat“, vermutet Lönner. Prozess ist angestoßen Die Anforderungen an die IT dürften wohl eher als Anstoß eines Prozesses zu verstehen sein, denn wirklich fertig ist man mit einer IT-Strategie nie. Kaum hat man ein Thema abgearbeitet, kommt eine neue Technologie auf oder Hacker finden neue Lücken, die dann zu berücksichtigen sind. Auch bei den Banken und den Versicherun- gen gab es längere Zeit nach Veröffentli- chung der sektorspezifischen IT-Anforde- rungen zahlreichen Feststellungen bei auf- sichtsrechtlichen Prüfungen, was ein Hin- weis darauf ist, dass auch dort die Prozesse zwar angestoßen, aber nicht von heute auf morgen zu Ende gebracht wurden. Vierteljährliche Berichterstattung Neben den während der Coronakrise un- freiwillig getesteten Notfallmaßnahmen ent- hält die KAIT verschiedene Bereiche des operativen IT-Managements, der IT-Steue- rung mit Regelungen zur IT-Aufbau- und IT-Ablauforganisation sowie zur IT-Gover- nance. Damit konkretisiert die KAIT unter anderem die in den Mindestanforderungen an das Risikomanagement von Kapitalver- waltungsgesellschaften (KAMaRisk) ent- haltenen Anforderungen an die IT. „Da im- mer mehr Kapitalverwaltungsgesellschaften IT-Dienstleistungen von Dritten in An- spruch nehmen, wird auch der Umgang mit Auslagerungen von IT-Aktivitäten und IT- Prozessen in der KAIT geregelt“, erklärt Rechtsanwältin Katja Lammert von Lam- mert Legal Consulting in München. Hier seien dann auch die Anforderungen an den Auch im Finanzsektor sind IT-Organisation und -Sicherheit ein zunehmend wichtiger werdendes Thema. Die Fondsgesellschaften haben sich auf den Weg gemacht, die „Anforderungen an die IT von Kapitalverwaltungsgesellschaften (KAIT)“ umzusetzen. Das Grobgerüst steht, aber abgeschlossen ist die Umsetzung noch nicht. N o. 3/2020 | www.institutional-money.com 263 S T E U E R & R E C H T : KA I T