Institutional Money, Ausgabe 3 | 2020

ment in Bezug auf die IT-Struktur für die beiden aufwendigsten Punkte, die aktuell zu lösen sind. Dabei bezieht sich die Rezertifi- zierung auf das Benutzerberechtigungsma- nagement. Hierzu müssen Berechtigungskonzepte für die Mitarbeiter für sämtliche genutzten IT-Systeme erstellt und deren Einhaltung überprüfbar gemacht werden. Insbesondere sind auch nicht personalisierte Berechtigun- gen zweifelsfrei einer handelnden Person zuzuordnen, nach Möglichkeit automati- siert. Die KAIT fordert außerdem, dass die KGV einmal jährlich kontrolliert, dass die Mitarbeiter lediglich die Rechte haben, die sie benötigen. „Dabei muss sichergestellt werden, dass sich kein Mitarbeiter selbst kontrolliert. Dementsprechend müssen die Zugriffs- möglichkeiten aus dem IT-System ausgele- sen und regelmäßig auf ihre Plausibilität hin kontrolliert werden“, erklärt Lammert. Wie umfangreich das bei einzelnen Mitarbeitern sein kann, macht eine Zahl deutlich, die sie erwähnt: „Ein Händler kann gut und gern 100 und mehr Einzelrechte haben.“ Etablierung eines ISB Die KAIT fordert auch die Etablierung eines Informationssicherheitsbeauftragten (ISB) im eigenen Haus, was für die großen Gesellschaften unproblematisch, für kleinere aber nicht einfach ist. Für sie gibt es daher eine Ausnahmeregelung: KVGen mit gerin- ger Mitarbeiterzahl und ohne wesentlichen eigenen IT-Betrieb können die Funktion des ISB auslagern. Dennoch muss jede Gesell- schaft ihre Informationssicherheitsvorfälle bezüglich der Auswirkungen auf die Infor- mationssicherheit analysieren und angemes- sene Nachsorgemaßnahmen veranlassen. „Wir sind mit der Umsetzung der KAIT schon weit fortgeschritten. Wir haben unse- re Ziele und die Konzeption definiert“, erklärt Lönner. „Dabei haben wir u. a. die Funktion des Informationssicherheitsbeauf- tragten (ISB) an ein externes Unternehmen ausgelagert. Der ist bei uns in die Umset- zung der KAIT direkt mit eingebunden.“ „Im Prinzip geht es bei der Digitalisie- rung in KVGen um das Thema Effizienz, insbesondere auch der Kosteneffizienz“, sagt ein BVI-Sprecher. Schließlich ist durch den intensiveren Wettbewerb im Asset Ma- nagement und dank des Niedrigzinsumfelds der Kostendruck enorm gestiegen. Von nahtlosen Prozessen von der Wert- papierorder bis hin zur Ausgabe von An- teilsscheinen und zum Reporting sind die meisten Gesellschaften aber noch ein gutes Stück entfernt. Optimal wäre es, die Pro- zesse so zu digitalisieren, dass ohne großen Mehraufwand gleich ein individuelles Reporting herauskommt. „Im institutionel- len Bereich braucht eine KVG mit ihrem digitalen Reporting gar nicht mehr zu wer- ben; das wird als selbstverständlich voraus- gesetzt“, meint Lammert, aber es sei eben oft umständlich. „Altlasten“ Bei Fondsgesellschaften wird heute noch viel mit Excel-Listen gearbeitet, zuweilen sollen auch noch Fax-Schnittstellen in Be- trieb sein. „Faxe habe ich in den letzten Jah- ren zum Glück nicht mehr gesehen“, lacht Lammert, „da greift man mittlerweile eher auf SWIFT zurück.“ Aber nicht alles geht über SWIFT. Daher arbeiten die meisten Fondsgesellschaften noch mit zahlreichen Excel-Schnittstellen. „Excel-Anwendungen gelten laut KAIT als individuelle Daten- verarbeitung (IDV) und müssen genauso wie andere Softwaresysteme dokumentiert werden“, sagt Lammert und ergänzt: „Das ist auch sinnvoll: Wenn ein Mitarbeiter etwas auf Excel-Basis macht, und er fällt aus irgendeinem Grund plötzlich aus, hätte die KVG ein Problem, wenn niemand an- ders die Excel-Anwendung nutzen könnte.“ Sie verweist darauf, dass am Ende die Wirt- schaftsprüfer das gesamte interne Kontroll- system (IKS) prüfen, wozu auch die Um- setzung der KAIT gehört. Letztlich gehe es aber nicht nur um das Testat. Um effizienter zu werden, habe die Fondsbranche ein hohes Interesse an einer weiteren Digitali- sierung. „Im Vergleich zu Banken haben KVGen eine vergleichsweise einfachere Ausgangsposition“, findet Lammert. Ban- ken hätten durch die zunehmende Regulie- rung noch mehr Themen auf dem Tisch und mit Kredit-, Handels- und Privatkunden- geschäft auch mehr unterschiedliche IT- Bereiche und -Systeme, die miteinander zu verbinden und zu digitalisieren sind. „Inso- fern kann eine KVG leichter und schneller digitalisieren, als es eine Universalbank kann“, meint Lammert. ANKE DEMBOWSKI Auf dem Weg zur Digitalisierung Regulatorische und praktische Hürden D ass die Asset-Management-Bran- che in Sachen Digitalisierung noch einiges an Wegstrecke vor sich hat, sieht auch der Branchenverband BVI. Schließlich geht es darum, neue techno- logische Möglichkeiten in die IT-Struktur der Kapitalverwaltungsgesellschaften ein- zubeziehen. „Die drei Technologien DLT/ Blockchain, Big Data / Künstliche Intelli- genz und Cloud Computing werden zu einem Umbruch in der Asset-Manage- ment-Branche führen. Das Thema Digita- lisierung ist für die Branche daher von hoher Relevanz“, steht im BVI Jahrbuch 2019. Dabei sei die Blockchain die Schlüsseltechnologie der kommenden Jahre. Rechtsanwältin Lammert von Lam- mert Legal Consulting stimmt dem zu, meint aber: „Dass Token als Wertpapiere anerkannt werden, schreitet voran. Das ist aber eher eine rechtliche als eine IT- Frage“. Fest steht: Auch Token sind in die IT-Strategien von KVGen und der Ver- wahrstellen aufzunehmen. » Im Prinzip geht es bei der Digitalisierung in KVGen um das Thema Effizienz, insbesondere auch der Kosteneffizienz. « Ein Sprecher des deutschen Fondsverbandes BVI N o. 3/2020 | www.institutional-money.com 265 S T E U E R & R E C H T : KA I T