BaFin BAIT Penetrationstest: Anforderungen und Umsetzung für Banken

Die Bankaufsichtlichen Anforderungen an die IT (BAIT), zuletzt aktualisiert durch das BaFin-Rundschreiben 10/2021 (BA), verpflichten Kreditinstitute in Deutschland zu regelmäßigen Penetrationstests ihrer kritischen IT-Systeme. Abschnitt 6 BAIT (Anwendungsentwicklung) und Abschnitt 8 BAIT (Informationsrisikomanagement) definieren die Anforderungen an IT-Sicherheitsprüfungen. Banken, die BAIT nicht einhalten, riskieren BaFin-Prüfungen, Mängelbescheide und Reputationsschäden. Dieser Leitfaden erklärt, was BAIT konkret fordert und welcher Pentest-Ansatz die Anforderungen erfüllt.

BAIT-Pentest starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Was BAIT konkret von Banken fordert

BAIT ist das zentrale IT-Regelwerk der BaFin für Kreditinstitute und ergänzt die MaRisk als technische Konkretisierung der §§ 25a und 25b KWG. BAIT Abschnitt 8 (Informationsrisikomanagement, Tz. 8.1–8.4) verlangt, dass Kreditinstitute ein Informationsrisikomanagement etablieren, das 'regelmäßige und anlassbezogene Überprüfungen der Sicherheitsmaßnahmen' umfasst — explizit einschließlich Penetrationstests. Abschnitt 6 BAIT (Anwendungsentwicklung) verlangt in Tz. 6.5, dass 'im Rahmen des Test- und Freigabeverfahrens' sicherheitsbezogene Tests durchgeführt werden, die bei kritischen Anwendungen auch Penetrationstests umfassen sollen. Die BaFin-Prüfungspraxis zeigt: Prüfer der Bundesbank und BaFin fordern bei Vor-Ort-Prüfungen regelmäßig die Vorlage der letzten Pentest-Berichte (max. 12 Monate alt) für die kritischen Systeme. Fehlen diese Berichte oder ist die Qualität unzureichend (kein Proof-of-Exploit, kein regulatorisches Mapping), wird dies als wesentlicher Mangel eingestuft.

BAIT Tz. 8.3 (Informationsrisikomanagement): Regelmäßige Überprüfung der Wirksamkeit der Sicherheitsmaßnahmen durch Penetrationstests, mindestens jährlich für Systeme mit hohem Schutzbedarf.
BAIT Tz. 6.5 (Anwendungsentwicklung): Sicherheitstests inkl. Penetrationstests als Teil des Test- und Freigabeverfahrens für kritische Anwendungen — bei wesentlichen Änderungen anlassbezogen, mindestens jährlich.
BAIT Tz. 9.2 (IT-Betrieb): Regelmäßige Schwachstellenscans und Penetrationstests der Netzwerk-Infrastruktur, Prüfung der Netzwerksegmentierung, Firewall-Regeln.
MaRisk AT 7.2 Tz. 4 (Verknüpfung): BAIT ergänzt MaRisk — AT 7.2 verlangt 'angemessene Sicherheitsmaßnahmen für IKT-Systeme', BAIT konkretisiert dies mit Penetrationstests als Verifikationsinstrument.
Qualifikationsanforderungen (BaFin-Prüfungspraxis): Prüfer erwarten OSCP-/CREST-zertifizierte Tester oder gleichwertige Qualifikation, Berufshaftpflicht des Pentest-Anbieters ≥ €5 Mio., Datenspeicherung in Deutschland/EU.
BAIT Tz. 5.3 (IT-Projektmanagement): Penetrationstest vor Go-Live neuer kritischer Systeme — BaFin erwartet Nachweise, dass wesentliche neue IT-Systeme vor dem Produktivbetrieb einem Sicherheitstest unterzogen wurden.
Drittparteienrisiken (BAIT Tz. 7.1–7.4): Banken müssen sicherstellen, dass IT-Dienstleister, die kritische Bankfunktionen unterstützen, ebenfalls angemessene Sicherheitstests durchführen — Nachweispflicht über Vertragsklauseln.

Was ein BAIT-konformer Penetrationstest prüft

Kernbanken-Systeme und Zahlungsverkehr: Core-Banking-Anwendungen, SWIFT-Anbindungen (SWIFT CSP CSCF v2024), Zahlungsverkehrs-APIs (SEPA, TARGET2), Konto- und Depot-Verwaltungssysteme.
Online-Banking und Mobile-Banking-Apps: OWASP Top 10 (Web, 2021), OWASP Mobile Security Testing Guide (MSTG), Authentifizierungs-Flows (PSD2 SCA-Konformität), Session-Management.
Active Directory / Identity Management: AD-Sicherheit (Kerberoasting, Golden Ticket, Pass-the-Hash), PAM-Systeme (Privileged Access Management), MFA-Abdeckung für privilegierte Accounts.
Netzwerksegmentierung und Firewall: Trennung der Bankbereiche (Produktion/Test/DMZ), laterale Bewegung zwischen Segmenten, Firewall-Regelwerk-Analyse.
Internet-facing Services: VPN-Gateways, Remote-Desktop-Umgebungen, exponierte API-Endpunkte, Web-Application-Firewalls (Bypass-Tests).
Verschlüsselung und Schlüsselmanagement: TLS-Konfiguration aller externen Systeme, HSM-Integration für Transaktionssignierung, KMS-Sicherheit in Cloud-Umgebungen.
API-Sicherheit (Open Banking / PSD2): PSD2 XS2A APIs, Account Information Service (AIS) und Payment Initiation Service (PIS) — OWASP API Top 10 (2023), Berlin-Group-NextGenPSD2-Implementierungen.
Software-Lieferkette (BAIT Tz. 6.6): SCA für alle eingesetzten Open-Source-Komponenten, Analyse von Abhängigkeiten auf bekannte CVEs (NVD/GHSA), Bewertung von SBOM (Software Bill of Materials).
Backup und Notfallwiederherstellung: Ransomware-Isolation von Backup-Systemen, Offline-Backup-Kopien, Recovery-Zeit-Verifikation (BAIT Tz. 10.2: Business Continuity Management).
Logging und Monitoring (BAIT Tz. 9.3): Verifikation dass Angriffs-Aktivitäten in SIEM detektiert werden, Log-Integrität, Audit-Trail-Manipulations-Resistenz.

Beispiel-Befund

Hoch

PSD2 SCA-Bypass via Session-Fixation im Online-Banking-Portal

Das Online-Banking-Portal implementiert PSD2 Strong Customer Authentication (SCA) via TOTP (Time-based One-Time Password). Nach erfolgreicher SCA-Authentifizierung wird eine Session-ID zurückgegeben. Die Session-ID hat jedoch eine Laufzeit von 8 Stunden ohne Re-Authentifizierung bei sensiblen Aktionen (Überweisungen > €30). Zusätzlich ist die Session-ID nicht an den Browser (User-Agent/IP) gebunden, was Session-Hijacking durch Cookie-Diebstahl ermöglicht. Ein Angreifer mit gestohlener Session-ID (z.B. via Man-in-the-Middle auf einem ungesicherten WLAN) kann beliebige Überweisungen ohne erneute SCA-Eingabe durchführen. Dieses Verhalten verstößt gegen PSD2 Art. 97 Abs. 2 und EBA SCA RTS Art. 4 (Transaktions-Authentifizierung für jeden Zahlungsvorgang).

Behebung: Re-Authentifizierung (SCA) bei jeder Transaktion > €30 (oder konfiguriertem Limit) erzwingen — auch innerhalb einer aktiven Session. Session-Token an Client-Fingerprint (User-Agent + IP-Adresse, optional Device-Certificate) binden. Session-Laufzeit auf max. 15 Minuten Inaktivität reduzieren. Sensitive Actions (Überweisung, Limit-Änderung, Kontodaten-Export) immer mit frischem SCA-Nachweis schützen. Implementierung von Transaction Risk Analysis (TRA) als optionale Ausnahme für Niedrigrisiko-Transaktionen (PSD2 SCA RTS Art. 16–18).

Referenz: CWE-613 Insufficient Session Expiration · CWE-384 Session Fixation · PSD2 Art. 97 Abs. 2 · EBA SCA RTS (EU) 2018/389 Art. 4 · BAIT Tz. 6.5 Sicherheitstests · OWASP A07:2021 Authentication Failures

BAIT-Pentest: Optionen im Vergleich

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

BAIT-konforme Pentest-Pakete

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zum BaFin BAIT Penetrationstest

Welche Banken müssen BAIT einhalten?

BAIT gilt für alle Kreditinstitute nach § 1 KWG mit Sitz in Deutschland — das umfasst Universalbanken, Sparkassen, Volksbanken, Privatbanken, Direktbanken, N26, Trade Republic und ähnliche. Nicht direkt unter BAIT fallen Zahlungsinstitute (unterliegen ZAG-IT-Aufsicht), die aber vergleichbare Anforderungen haben. Für die Konkretisierung gilt BAIT als 'Auslegungs- und Anwendungshilfe' für §§ 25a/25b KWG.

Wie oft muss ein BAIT-Penetrationstest durchgeführt werden?

BAIT schreibt keine feste Frequenz vor, aber die BaFin-Prüfungspraxis erwartet für Systeme mit hohem Schutzbedarf mindestens jährliche Penetrationstests sowie anlassbezogene Tests nach wesentlichen Änderungen (neue Systeme, Major-Releases, Infrastrukturänderungen). Für kritische Kernsysteme (Core Banking, Zahlungsverkehr) empfehlen Prüfer kontinuierliche Schwachstellenscans ergänzt durch jährliche vollständige Penetrationstests.

Was dokumentiert BAIT als Mindestinhalt eines Pentest-Berichts?

BAIT definiert keinen formalen Berichtsstandard, aber die BaFin-Prüfungspraxis erwartet: Scope-Dokumentation (welche Systeme wurden getestet), verwendete Methodik und Tools, gefundene Schwachstellen mit CVSS-Scores, Proof-of-Exploit für kritische/hohe Befunde, Behebungsempfehlungen mit Priorität, Tester-Qualifikation (OSCP oder gleichwertig), Bestätigung der Unabhängigkeit des Testers. Matproof Sentinel liefert all das im PDF-Format.

Muss der Pentest-Anbieter BaFin-spezifisch zugelassen sein?

Nein, es gibt keine BaFin-spezifische 'Zulassung' für Pentest-Anbieter. BAIT verlangt 'angemessene Qualifikation' — in der Praxis bedeutet das: OSCP/OSWE-zertifizierte oder gleichwertig qualifizierte Tester, nachgewiesene Erfahrung im Banken-Umfeld, Berufshaftpflicht/Cyber-Liability ≥ €5 Mio., Datenspeicherung in Deutschland/EU, AVV (Art. 28 DSGVO). Für TIBER-EU/TLPT-Tests nach DORA Art. 26 ist zusätzlich EZB-Akkreditierung erforderlich.

Wie verhält sich BAIT zu DORA für Banken?

Mit DORA-Geltungsbeginn (17. Januar 2025) hat DORA als EU-Verordnung Vorrang vor BAIT als nationalem Rundschreiben. Die BaFin hat in ihrem DORA-Merkblatt angekündigt, BAIT sukzessive an DORA anzupassen. Für Banken gilt: DORA Art. 24 deckt die Pentest-Anforderungen ab, die BAIT verlangt — und geht in manchen Bereichen (TLPT, Drittparteienmanagement) darüber hinaus. Ein DORA-konformer Pentest erfüllt in der Regel auch BAIT-Anforderungen.

Was passiert, wenn die BaFin bei einer Prüfung keinen Pentest-Nachweis findet?

Die BaFin stuft fehlende oder unzureichende Penetrationstest-Nachweise typischerweise als 'wesentlichen Mangel' ein. Folgen: schriftliche Nachbesserungsanordnung mit Frist (typisch: 3–6 Monate), bei Nichtbehebung: formelles Verwaltungsverfahren, Bußgeld nach § 56 KWG (bis €10 Mio. oder 10 % des Jahresumsatzes für schwerwiegende Verstöße), in Extremfällen: Abberufungsverfügung gegen Geschäftsleiter.

Müssen Sparkassen und Volksbanken BAIT einhalten?

Ja — BAIT gilt für alle Kreditinstitute nach § 1 KWG, einschließlich Sparkassen, Genossenschaftsbanken und Volksbanken. Für Sparkassen sind zusätzlich die Vorgaben der jeweiligen Sparkassenverbände und des DSGV (Deutscher Sparkassen- und Giroverband) relevant. Viele Sparkassen nutzen die IT-Infrastruktur der Finanz Informatik (FI) — auch dann muss die einzelne Sparkasse sicherstellen, dass die FI-Systeme den BAIT-Anforderungen entsprechen (BAIT Tz. 7: IT-Dienstleistersteuerung).

Wie schnell kann ich einen BAIT-konformen Pentest starten?

Mit Matproof Sentinel: sofort. Vorschau-Scan in 3 Minuten, vollständiger Pentest in 30–60 Minuten für eine typische Banking-Webanwendung, PDF-Bericht mit BAIT-Mapping automatisch generiert. Für komplexere Banken-Infrastrukturen (Core Banking, AD-Sicherheit, Netzwerk-Pentest) empfehlen wir den Growth-Plan oder eine individuelle Anfrage — wir können Banking-spezifische Test-Konfigurationen bereitstellen.

Vertiefen — verwandte Artikel aus unserem Blog

BAIT-konformen Pentest für Ihre Bank starten

Erfüllen Sie die BaFin BAIT-Anforderungen mit einem audit-bereiten Penetrationstest-Bericht in Stunden statt Wochen. Explizites Mapping auf BAIT Tz. 8.3, MaRisk AT 7.2 und DORA Art. 24 im PDF-Bericht inklusive.