Letzte Aktualisierung: März 2026 | Lesezeit: ca. 10 Min.
Die Bankaufsichtlichen Anforderungen an die IT — kurz BAIT — sind für IT-Beratungsunternehmen, die im Finanzsektor aktiv sind, eines der wichtigsten regulatorischen Frameworks. Denn die BAIT treiben nicht nur die IT-Strategie von Banken und Finanzdienstleistern, sondern auch ein erhebliches Volumen an IT-Ausschreibungen. Sparkassen, Landesbanken, öffentliche Förderbanken und Versicherungsunternehmen unter BaFin-Aufsicht müssen ihre IT kontinuierlich an die BAIT-Anforderungen anpassen — und benötigen dafür externe Unterstützung.
In diesem Artikel erfahren Sie, was die BAIT konkret fordern, warum daraus so viele IT-Ausschreibungen entstehen und wie Sie sich als IT-Beratungsunternehmen in diesem lukrativen Marktsegment positionieren.
Auf einen Blick
- 350+ Sparkassen und mehrere Landesbanken — alle vergabepflichtig und BAIT-reguliert
- Hunderte Millionen EUR jährlich für IT-Beratung allein in der Sparkassen-Finanzgruppe
- 4 Bereiche mit dem höchsten Ausschreibungsvolumen: ISMS, Auslagerungsmanagement, IT-Notfallmanagement, IDV
- DORA seit Januar 2025 anwendbar — verschärft die Anforderungen zusätzlich
- 200.000 bis 1 Mio. EUR typisches Volumen pro ISMS-Projekt
Was die BAIT fordern: Ein Überblick
Die BAIT wurden von der BaFin erstmals 2017 veröffentlicht und zuletzt 2022 umfassend aktualisiert. Sie konkretisieren die Anforderungen des § 25a KWG an die IT von Finanzinstituten und bestehen aus mehreren Modulen:
IT-Strategie: Jedes Institut muss eine IT-Strategie haben, die mit der Geschäftsstrategie abgestimmt ist. Die IT-Strategie muss regelmäßig überprüft und aktualisiert werden. In der Praxis werden dafür häufig externe Berater hinzugezogen.
IT-Governance: Die Organisation der IT muss klar geregelt sein, mit definierten Rollen, Verantwortlichkeiten und Prozessen. Die Geschäftsleitung muss ausreichend IT-Kompetenz besitzen, um ihre Steuerungsfunktion wahrnehmen zu können.
Informationsrisikomanagement: Institute müssen ein systematisches Verfahren zur Identifikation, Bewertung und Behandlung von IT-Risiken implementieren. Das umfasst Schutzbedarfsanalysen, Risikoanalysen und ein kontinuierliches Risiko-Reporting.
Informationssicherheitsmanagement: Ein ISMS (Informationssicherheits-Managementsystem) muss implementiert und betrieben werden. Wie der BSI-Grundschutz als Türöffner für IT-Sicherheitsausschreibungen dient, erklären wir in einem separaten Artikel. Der Informationssicherheitsbeauftragte (ISB) hat eine zentrale Rolle und darf nicht in der IT-Abteilung angesiedelt sein.
Benutzerberechtigungsmanagement: Berechtigungen müssen nach dem Need-to-know- und Least-Privilege-Prinzip vergeben werden. Es muss regelmäßige Rezertifizierungen geben, und privilegierte Berechtigungen unterliegen besonderen Kontrollen.
IT-Projekte und Anwendungsentwicklung: Für IT-Projekte und die Entwicklung von Software gelten spezifische Anforderungen an Projektmanagement, Testing, Abnahme und Dokumentation. Besonders relevant: die Anforderungen an die individuelle Datenverarbeitung (IDV), also Excel-Makros und Access-Datenbanken, die in vielen Banken geschäftskritische Prozesse unterstützen.
IT-Betrieb: Der IT-Betrieb muss durch definierte Prozesse gesteuert werden, einschließlich Change-Management, Incident-Management, Problem-Management und Capacity-Management. Die Anforderungen orientieren sich stark an ITIL.
Auslagerungsmanagement: Besonders relevant für IT-Dienstleister: Wenn ein Institut IT-Leistungen auslagert, gelten strenge Anforderungen an die Auswahl, Steuerung und Überwachung der Dienstleister. Der Dienstleister muss bestimmte Anforderungen erfüllen und sich der Aufsicht der BaFin unterwerfen.
Warum die BAIT ein Ausschreibungstreiber sind
Die BAIT schaffen einen permanenten Bedarf an externen IT-Beratungsleistungen. Dafür gibt es mehrere Gründe:
Regulatorischer Druck: Die BaFin prüft die Einhaltung der BAIT im Rahmen von Sonderprüfungen nach § 44 KWG. Feststellungen aus diesen Prüfungen müssen innerhalb definierter Fristen behoben werden — oft mit externer Unterstützung, weil die internen Kapazitäten nicht ausreichen.
Steigende Komplexität: Mit jeder BAIT-Novelle kommen neue Anforderungen hinzu. Die Novelle 2022 hat beispielsweise die Anforderungen an das operative Informationssicherheitsmanagement, an die Identifizierung von kritischen IT-Systemen und an das IT-Notfallmanagement verschärft.
Fachkräftemangel: Viele Finanzinstitute — insbesondere kleinere Sparkassen und Volksbanken — haben nicht genügend IT-Spezialisten, um die BAIT-Anforderungen allein zu erfüllen. Sie sind auf externe Expertise angewiesen.
Prüfungsvorbereitungen: Vor einer angekündigten BaFin-Prüfung beauftragen Institute häufig externe Berater mit einer „BAIT-Readiness"-Analyse, um Schwachstellen zu identifizieren und vorab zu beheben.
In der Praxis entstehen daraus Ausschreibungen in erheblichem Umfang. Allein die deutschen Sparkassen und Landesbanken — als öffentlich-rechtliche Institute alle vergabepflichtig — geben jährlich hunderte Millionen Euro für IT-Beratung aus, ein signifikanter Teil davon BAIT-getrieben.
Zahlen & Fakten: Vor einer angekündigten BaFin-Prüfung nach § 44 KWG beauftragen Institute häufig externe Berater mit einer „BAIT-Readiness"-Analyse. Diese Prüfungsvorbereitungen allein generieren ein Ausschreibungsvolumen im zweistelligen Millionenbereich pro Jahr.
Bereiche mit dem höchsten Ausschreibungsvolumen
Aus unserer Beobachtung des Marktes kristallisieren sich vier BAIT-Bereiche heraus, die besonders viele Ausschreibungen generieren:
1. Informationssicherheit und ISMS
Die Implementierung und der Betrieb eines ISMS nach BAIT-Anforderungen ist ein Dauerbrenner. Ausschreibungen umfassen: ISMS-Aufbau oder -Weiterentwicklung (typischerweise auf Basis ISO 27001), Erstellung und Pflege von Sicherheitsrichtlinien, Durchführung von Risikoanalysen und Schutzbedarfsfeststellungen, Security Awareness Training für Mitarbeiter und technische Sicherheitsmaßnahmen (SIEM, SOC, Vulnerability Management).
Typisches Volumen: 200.000 bis 1 Million Euro pro Projekt, oft als Rahmenverträge über zwei bis vier Jahre.
2. IT-Auslagerungsmanagement
Finanzinstitute lagern zunehmend IT-Leistungen aus — an Rechenzentren der Sparkassen-Finanzgruppe (z. B. Finanz Informatik) oder an externe Dienstleister. Die BAIT stellen strenge Anforderungen an das Management dieser Auslagerungen. Ausschreibungen umfassen: Aufbau eines Auslagerungsregisters, Durchführung von Risikoanalysen für Auslagerungen, Erstellung von Auslagerungsverträgen mit BAIT-konformen Klauseln und regelmäßige Überprüfung der Dienstleister.
3. IT-Notfallmanagement
Die BAIT-Novelle 2022 hat die Anforderungen an das IT-Notfallmanagement deutlich verschärft. Institute müssen Notfallpläne für ihre kritischen IT-Systeme haben und diese regelmäßig testen. Ausschreibungen in diesem Bereich umfassen: Business-Impact-Analysen, Erstellung von IT-Notfallplänen, Durchführung und Auswertung von Notfalltests sowie Aufbau eines Krisenmanagements.
4. IDV-Management (Individuelle Datenverarbeitung)
Praxis-Tipp: IDV-Management wird von vielen Beratern unterschätzt, bietet aber enormes Potenzial. Viele Institute haben tausende unkontrollierter Excel-Makros und Access-Datenbanken in geschäftskritischen Prozessen. Wer hier Expertise aufbaut, bedient eine Nische mit wenig Wettbewerb.
Ein häufig unterschätztes Thema: Die BAIT fordern, dass Institute ihre IDV-Anwendungen (Excel-Makros, Access-Datenbanken, eigenentwickelte Tools) inventarisieren, klassifizieren und risikoadäquat managen. Da viele Institute tausende solcher Anwendungen im Einsatz haben, ist das ein enormes Projektvolumen. Ausschreibungen umfassen: IDV-Inventarisierung, Risikoklassifizierung, Erstellung eines IDV-Regelwerks und Migration kritischer IDV-Anwendungen in professionelle Lösungen.
Die Schnittstellen: BAIT, MaRisk und DORA
Die BAIT existieren nicht isoliert, sondern sind eingebettet in ein Geflecht regulatorischer Anforderungen:
MaRisk (Mindestanforderungen an das Risikomanagement): Die MaRisk sind die übergeordneten Anforderungen der BaFin an das Risikomanagement von Finanzinstituten. Die BAIT konkretisieren die MaRisk im Bereich IT. Wer BAIT-Beratung anbietet, muss auch die MaRisk kennen — insbesondere AT 7.2 (Technisch-organisatorische Ausstattung) und AT 9 (Auslagerung).
DORA (Digital Operational Resilience Act): Der europäische Digital Operational Resilience Act ist seit Januar 2025 anwendbar und stellt neue Anforderungen an die digitale Betriebsresilienz von Finanzinstituten. DORA und BAIT überlappen sich in vielen Bereichen, aber DORA geht in einigen Punkten weiter — etwa bei den Anforderungen an das ICT-Drittparteienrisikomanagement und beim Threat-Led Penetration Testing (TLPT). Die BaFin hat angekündigt, die BAIT im Lichte von DORA zu überarbeiten. Für IT-Berater bedeutet das: Sie sollten beide Frameworks beherrschen.
EBA-Guidelines: Die European Banking Authority veröffentlicht regelmäßig Leitlinien, die die BAIT-Anforderungen ergänzen. Besonders relevant sind die EBA Guidelines on ICT and Security Risk Management und die EBA Guidelines on Outsourcing.
Für IT-Beratungsunternehmen bietet diese regulatorische Komplexität eine Chance: Institute brauchen Berater, die nicht nur einzelne Anforderungen kennen, sondern das Gesamtbild verstehen und integrierte Lösungen anbieten können.
Häufiger Fehler: Sich nur auf BAIT zu fokussieren und DORA zu ignorieren. Seit Januar 2025 ist DORA anwendbar und geht in einigen Bereichen weiter als die BAIT — etwa beim ICT-Drittparteienrisikomanagement und beim Threat-Led Penetration Testing. Bieten Sie immer integrierte BAIT/DORA-Beratung an.
Qualifikationen für BAIT-bezogene Ausschreibungen
Tipp: Tendit kostenlos testen
Tendit findet automatisch passende IT-Ausschreibungen für Ihr Unternehmen — KI-gestützt und in Sekunden statt Stunden. Jetzt kostenlos testen →
Um bei BAIT-bezogenen Ausschreibungen erfolgreich zu sein, sollten Sie folgende Qualifikationen vorweisen können:
Fachliche Zertifizierungen: ISO 27001 Lead Auditor/Implementer, CISM (Certified Information Security Manager), CRISC (Certified in Risk and Information Systems Control) und ITIL-Zertifizierungen werden häufig gefordert.
Branchenerfahrung: Referenzen aus dem Finanzsektor sind fast immer ein Muss-Kriterium. Ohne nachgewiesene Erfahrung bei Banken, Sparkassen oder Versicherungen werden Sie bei BAIT-Ausschreibungen kaum zum Zuge kommen.
Regulatorisches Know-how: Sie müssen nachweisen können, dass Ihre Berater die BAIT, MaRisk, DORA und relevante EBA-Guidelines nicht nur kennen, sondern in der Praxis anwenden können.
Prüfungserfahrung: Erfahrung mit BaFin-Prüfungen (§ 44 KWG) und IT-Prüfungen nach IDW PS 330 oder IDW PS 860 ist ein starker Differenzierungsfaktor.
Sicherheitsüberprüfung: Für Projekte bei Instituten mit besonderer Sicherheitsrelevanz kann eine Sicherheitsüberprüfung der eingesetzten Berater gefordert werden.
BAIT-Ausschreibungen finden
BAIT-bezogene Ausschreibungen finden Sie vor allem bei:
Sparkassen und Landesbanken: Als öffentlich-rechtliche Institute sind sie vergabepflichtig. Die Sparkassen-Finanzgruppe ist mit über 350 Sparkassen und mehreren Landesbanken einer der größten IT-Auftraggeber im Finanzsektor.
Öffentliche Förderbanken: KfW, Landesförderbanken (z. B. NRW.BANK, L-Bank, IB.SH) schreiben regelmäßig IT-Beratungsleistungen aus. Diese Ausschreibungen sind oft besonders anspruchsvoll, da die Institute als KRITIS-Betreiber zusätzliche Anforderungen erfüllen müssen -- mehr dazu in unserem Artikel zu KRITIS und IT-Sicherheitsausschreibungen.
Finanzaufsicht selbst: Auch die BaFin und die Bundesbank schreiben IT-Leistungen aus — eine interessante Nische für spezialisierte Berater.
Die Herausforderung: BAIT-bezogene Ausschreibungen verwenden häufig keine einheitliche Terminologie. Manchmal ist explizit von „BAIT" die Rede, manchmal von „regulatorischen IT-Anforderungen", manchmal nur von „IT-Sicherheit im Finanzsektor". Eine systematische, KI-gestützte Suche über alle relevanten Vergabeplattformen hinweg kann hier den entscheidenden Vorteil bringen.
Fazit: Ein regulatorisch getriebener Wachstumsmarkt
Der BAIT-Markt ist stabil, wachsend und regulatorisch abgesichert. Solange die BaFin die IT-Anforderungen an Finanzinstitute weiter verschärft — und mit DORA ist genau das der Fall —, wird der Bedarf an externer IT-Beratung im Finanzsektor nicht nachlassen. Für IT-Beratungsunternehmen mit der richtigen Kombination aus technischer Kompetenz und regulatorischem Know-how ist das ein hochattraktives Marktsegment.
Der erste Schritt: Stellen Sie sicher, dass Sie keine relevante Ausschreibung verpassen. Bei über 350 Sparkassen, Dutzenden von Landesbanken und Förderbanken ist das ohne systematische Unterstützung kaum zu leisten.
Zusammenfassung
- Die BAIT schaffen permanenten Bedarf an externer IT-Beratung im Finanzsektor
- Vier Bereiche dominieren: ISMS, Auslagerungsmanagement, IT-Notfallmanagement und IDV-Management
- DORA ergänzt und verschärft die BAIT-Anforderungen seit Januar 2025
- Branchenerfahrung und Zertifizierungen (ISO 27001, CISM, CRISC) sind Muss-Kriterien
- Über 350 Sparkassen und Dutzende Förderbanken machen systematisches Monitoring unverzichtbar
Testen Sie Tendit 8 Wochen kostenlos — und verpassen Sie keine relevante Ausschreibung mehr. usetendit.com
