Erfahrungsbericht einer Vor-Ort-Prüfung durch die EZB

25.07.2025

Wie läuft eigentlich eine Vor-Ort-Prüfung der Europäischen Zentralbank (EZB) für IT-Risikomanagement, -Governance und Informationssicherheit bei einem Finanzinstitut ab und wie bereitet man sich darauf vor? Dieser Erfahrungsbericht dokumentiert eine umfassende Prüfung durch die EZB bei einem unserer Kunden und welche Erkenntnisse daraus gewonnen wurden. Der geprüfte Kunde ist ein großer Finanzdienstleister für Privat- und Geschäftskunden in Deutschland. Er ist direkt der Aufsicht der Europäischen Zentralbank unterstellt und nutzt seit Jahren unsere RegTech-Plattform VASGARD/IAN.

Erfahrungsbericht einer EZB Prüfung

Als Aufsichtsbehörde für den Bankensektor legt die EZB im Zuge der Digitalisierung großen Wert auf eine solide Finanzinfrastruktur, um die Stabilität und Effektivität des Bankensektors innerhalb der Europäischen Union sicherzustellen. Die Prüfungen dienen dazu, potenzielle Risiken zu identifizieren, die die finanzielle Integrität und das Vertrauen in das Bankensystem gefährden könnten. Sie hilft den Banken somit, ihre Risikomanagementpraktiken zu verbessern, potenzielle Schwachstellen zu identifizieren und geeignete Maßnahmen zur Risikominderung zu ergreifen. Im Rahmen dieser Onsite-Prüfung konzentrierte sich die EZB auf verschiedene Aspekte der IT-Governance.

Die IT-Governance umfasst die Gesamtheit der Regeln, Prozesse, Strukturen und Mechanismen, die in einer Organisation implementiert werden, um die IT-Aktivitäten effektiv zu steuern und zu lenken. Das Ziel besteht darin, sicherzustellen, dass die IT-Strategie mit den Geschäftszielen der Organisation übereinstimmt, die Risiken angemessen verwaltet und die Ressourcen effizient und sicher genutzt werden.

Wie läuft eine Vor-Ort-Prüfung ab?

Die Prüfung beginnt mit einem Notification Letter der EZB in dem der Prüfungsbeginn, die Prüfungsleiter sowie die Themen mitgeteilt werden.

In dieser Prüfung waren die Prüfungsthemen:

  • IT-Strategie und -Organisation
  • Auslagerungsmanagement
  • Informationssicherheitsmanagement
  • Informationsrisikomanagement
  • Berechtigungsmanagement
  • IT-Betrieb
  • Operative IT-Sicherheit

Während der Vorbereitung und Durchführung verteilten sich die Aufgaben und Akteure wie folgt:

Europäische Zentralbank und
Deutsche Bundesbank

Die EZB ist für die Vergabe der Feststellungen zuständig und hat die Befugnis, Fristen zu setzen und gegebenenfalls Maßnahmen zur Mängelbeseitigung einzuleiten. Die Prüfung hingegen ist von der Deutsche Bundesbank von insgesamt 8 Prüfern durchgeführt worden. Nach Abschluss der Prüfung verfasste die Bundesbank den Prüfungsbericht und stimmte die Prüfungsergebnisse mit der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und der EZB ab. Anschließend übergab die Bundesbank den Prüfungsbericht an die BaFin.

Geprüfte Bank

Das Finanzinstitut, das Gegenstand der Prüfung war, hatte etwa 30 Mitarbeiter aus 5 verschiedenen Bereichen in den Prüfungsprozess involviert. Diese Mitarbeiter bereiteten Dokumente für die Lieferung an die Bundesbank vor und stellten sicher, dass alle internen und externen Prüfungsteilnehmer auf die Prüfungsgespräche bestmöglich vorbereitet waren. Des Weiteren sorgte die geprüfte Bank für die Bereitstellung, Produktion und Qualitätssicherung von Evidenzen, die im Rahmen der Prüfung benötigt wurden. Zudem zeichnete sie sich für die initiale Erstellung des Mängelbeseitigungsplans verantwortlich.

Beratungsunternehmen

Ein unterstützendes Beratungsunternehmen war ebenfalls in den Prüfungsprozess eingebunden. Dieses Unternehmen übernahm koordinatorische und organisatorische Aufgaben im Projektmanagement-Office (PMO). Es bereitete die Kommunikation mit den Stakeholdern vor und stellte sicher, dass die Prüfungsteilnehmer der Bank durch ein Expertenteam aus 6 Beratern auf die Prüfungsinterviews mit der Bundesbank vorbereitet wurden. Außerdem protokollierte das Unternehmen die Durchführung
der Prüfung und unterstützte bei der Erstellung des initialen Mängelbeseitigungsplans.

Bei dieser Vor-Ort-Prüfung wurden die ersten Dokumente von den Prüfern der Bundesbank zwei Monaten nach Erhalt des Notification Letters angefordert. Die Interviews begannen schließlich nach einem weiteren Monat mit einem Kick-Off-Termin. Die gesamte Prüfung erstreckte sich dann über einen Zeitraum von ca. fünf Monaten vom Erhalt des Notification Letters bis zum Sachverhaltsabgleich, der das Ende der Prüfungshandlungen bildet.

Die Prüfung erstreckte sich über sechs Phasen

EZB Prüfungsphasen

1. In der ersten Phase erfolgte die Analyse der Schriftlich fixierten Ordnung (SfO) und der Projektorganisation. Dabei wurden verschiedene Aktivitäten durchgeführt, wie die Analyse des Informationssicherheitsmanagementsystems (ISMS) mit Schwerpunkten aus den zu erwartenden Prüfungspunkten sowie die Erstellung von GAP-Analysen. Des Weiteren wurden Teams zusammengestellt und die Zusammenarbeit abgestimmt. Dies beinhaltete die Durchführung eines Kick-Off-Meetings, die Abstimmung der Team-Organisation sowie die Festlegung von Regelterminen.

Ergebnisse:

  • Übersicht der fehlenden Dokumente basierend auf der GAP-Analyse
  • abgestimmte Projekt-Governance
  • arbeitsbereite Teams, die konkrete Fragen beantworten konnten

2. In der zweiten Phase stand die Dokumentenlieferung im Fokus. Es erfolgte ein Soll-Ist-Abgleich und die Erstellung fehlender Dokumente und Belege basierend auf einer Priorisierung der identifizierten Gaps. Zudem wurden Soll-Ist-Reviews durchgeführt und ein angefragtes Dokumentenkonvolut erstellt.

Ergebnisse:

  • Klassifizierung der angeforderten Dokumente
  • Identifikation von Gaps
  • Dokumentensammlung

3. Die dritte Phase diente der Vorbereitung der internen Teams auf die Prüfungsinterviews. Es wurden Probeläufe für die Prüfungsinterviews durchgeführt und die identifizierten Gaps ausgewertet, um Dokumente, Prozesse und Evidenzen aufzuarbeiten. Zudem fanden Mock-Up-Termine statt, um den finalen Check vor der Prüfung durchzuführen.

Ergebnisse:

  • Prüfungsstorys für alle Teams
  • aufbereitete Prüfungspräsentationen

4. Die vierte Phase umfasste die Vor-Ort-Prüfung. Dabei begleitete das Prüfungsteam die Durchführung der Prüfung und erarbeitete eventuell fehlende Evidenzen aus den Prüfungsinterviews. Zudem wurde ein internes Prüfungsprotokoll erstellt.

Ergebnisse:

  • erfasste Evidenzen
  • internes Prüfungsprotokoll
  • erste Indikationen zur Mängelbeseitigung

5. In der fünften Phase erfolgte der Sachverhaltsabgleich. Dabei wurden letzte Fragestellungen beantwortet und gegebenenfalls fehlende Evidenzen aus den Prüfungsinterviews erarbeitet. Zudem wurde die Vorstands- und Konzernkommunikation geplant und durchgeführt.

Ergebnisse:

  • Evidenzen
  • Kommunikationsplan der Prüfungsergebnisse

6. Die sechste und abschließende Phase beinhaltete die Einleitung der Mängelbeseitigung. Dafür wurde ein interner Mängelbeseitigungsplan sowie ein ausführliches Programm für dessen Umsetzung erstellt.

Die Rolle der RegTech-Plattform VASGARD/IAN

Das geprüfte Finanzinstitut nutzt seit mehreren Jahren die integrierte RegTech-Plattform VASGARD/IAN, um unter anderem auch auf solche Prüfungsszenarien bestmöglich vorbereitet zu sein. VASGARD/IAN bietet eine einheitliche und konsistente Abbildung des Informationsverbundes und ermöglichte so bei der Onsite-Prüfung eine schnelle und valide Beantwortung der Prüferfragen in den verschiedenen Themenbereichen. Die Plattform integriert alle relevanten Aspekte, von der Business Impact Analyse bis hin zur Abbildung des EBA-konformen Auslagerungsmanagement-Prozesses, und ermöglicht so eine umfangreiche Auswertung der Daten. Wobei alle Module im VASGARD/IAN auf den gleichen Datenbestand zugreifen und die Abhängigkeiten zwischen den Assets transparent machen.

Implementierte Funktionen

EZB implementierte Funktionen

Erfahrungen aus der Prüfung bzgl. der Unterstützung durch VASGARD/IAN

Die Plattform VASGARD/IAN erwies sich als äußerst hilfreich für das interne Prüfungsteam während des gesamten Prüfungsprozesses. VASGARD/IAN ermöglichte eine transparente Darstellung des Informationsverbundes und sorgte für eine effiziente Abstimmung zwischen den Teams. Auf Prüferfragen konnte so schnell und nachvollziehbar geantwortet werden, da alle Anforderungen und Information-Assets im VASGARD/IAN verwaltet werden. Zusätzlich ermöglichte die Plattform umfangreiche Wirksamkeitskontrollen (Cases) und Auswertungsmöglichkeiten (Reports), die zur Aufbereitung der Prüfungsergebnisse genutzt wurden.

Die Nutzung von VASGARD/IAN weckte bei den Prüfern ein großes Interesse, was sogar zu einem eigenen Prüfungsgespräch führte. Besonders positiv bewerteten die Prüfer dabei die transparente und nachvollziehbare Dokumentation von Genehmigungs-Workflows, die Struktur und den Umfang der Compliance Configuration Datenbank (CCDB) sowie die umfangreichen Schnittstellen.

Für die Prüfer waren dabei folgende Aspekte wichtig:

  • Abbildung des gesamten Informationsverbundes mit Verbindungen zwischen den Assets
  • Datenqualität (Einhaltung und Nachweis einer angemessenen Datenqualität)
  • automatische Schnittstellen
  • umfangreiche Kontrollhandlungen inkl. Nachweis (Soll-Ist-Abgleiche zur Sicherstellung der Umsetzung der Anforderungen an IT-Assets)
  • Vererbungslogik (Bedeutsamkeit von Geschäftsprozessen wird automatisiert auf Daten und IT-Assets vererbt)
  • ausreichende Begründungen im Rahmen von Fragebögen (Risikoanalysen zu Auslagerungsgegenständen)

Was waren die Erfolgsfaktoren des geprüften Finanzinstituts

Ein wesentlicher Faktor für die erfolgreiche Bewältigung des Prüfungsprozesses war aus Sicht der Bank, dass sie auf umfangreiche Prüfungsvorbereitungen setzte. Alle beteiligten Teams wurden intensiv auf die Prüfung vorbereitet, einschließlich der Durchführung von Probeläufen und der Erstellung von Präsentationen. Eine effektive Organisation des Prüfungsprozesses durch ein Projektmanagementbüro (PMO) spielte ebenfalls eine wichtige Rolle. VASGARD/IAN bot dabei die notwendige Flexibilität, um aufsichtliche Anforderungen anzupassen und diese anhand des hohen Integrationsgrades der Plattform nachzuweisen.

EZP Prüfungsfakten

Fazit

Die Vor-Ort-Prüfung durch die Europäische Zentralbank stellt eine große Herausforderung für alle Finanzinstitute dar. Der Einsatz von VASGARD/IAN als Plattform zur Dokumentation und Verwaltung der IT-Sicherheitsprozesse erwies sich als äußerst hilfreich und unterstützte das geprüfte Finanzinstitut bei der erfolgreichen Bewältigung der Prüfung.

Durch eine umfangreiche Prüfungsvorbereitung, intensive interne Abstimmungen und die effiziente Nutzung von VASGARD/IAN konnte das Finanzinstitut die Anforderungen der Prüfer erfüllen. Die Erfahrungen aus dieser Prüfung dienen dem Finanzinstitut als wertvolle Lehren für die kontinuierliche Verbesserung der Informationssicherheit, IT-Sicherheit und -Compliance.

Zurück zur Übersicht