MaRisk Penetrationstest: IT-Sicherheitsanforderungen nach AT 7.2 für Banken

Die Mindestanforderungen an das Risikomanagement (MaRisk) der BaFin, zuletzt überarbeitet mit dem 7. MaRisk-Novellierungsrundschreiben (Rundschreiben 05/2023 BA), setzen den Rahmen für das Risikomanagement von Kreditinstituten in Deutschland. AT 7.2 MaRisk ('Technisch-organisatorische Ausstattung') verpflichtet Banken zu 'angemessenen technischen und organisatorischen Maßnahmen' zum Schutz ihrer IT-Systeme — Penetrationstests sind das wichtigste Instrument, um die Wirksamkeit dieser Maßnahmen nachzuweisen und gegenüber BaFin-Prüfern zu belegen.

MaRisk-Pentest starten

Geschrieben von Malte Wagenbach

Gründer von Matproof Security. Spezialisiert auf KI-gestützte Penetrationstests und EU-Compliance (DORA, NIS2, BSI Grundschutz, ISO 27001).

Zuletzt überprüft: 17. Mai 2026

Was MaRisk AT 7.2 konkret von Banken verlangt

MaRisk AT 7.2 ist die Generalnorm für IT-Sicherheit in Kreditinstituten und wird durch BAIT technisch konkretisiert. Tz. 4 AT 7.2 verlangt explizit: 'Die für die Geschäftstätigkeit wesentlichen Systeme und zugehörige Daten sind gegen unbefugten Zugriff, Missbrauch oder Verlust zu schützen.' Die Formulierung 'wesentliche Systeme' umfasst alle Systeme, die kritische Bankfunktionen unterstützen — Core-Banking, Zahlungsverkehr, Handels- und Risikosysteme, Kundendaten-Repositories. Tz. 5 AT 7.2 ergänzt: 'Sicherheitsmaßnahmen sind auf ihre Wirksamkeit hin zu überprüfen' — was nach Prüfungspraxis der BaFin und Bundesbank regelmäßige Penetrationstests erfordert. Die 7. MaRisk-Novelle (2023) hat die IT-Risikomanagement-Anforderungen substanziell verschärft und den Bereich 'Auslagerungen und sonstige Fremdbezüge von IT-Dienstleistungen' (AT 9 MaRisk) deutlich ausgebaut, was auch Pentest-Anforderungen für ausgelagerte Kernbankensysteme einschließt.

MaRisk AT 7.2 Tz. 4: 'Wesentliche Systeme' müssen gegen unbefugten Zugriff geschützt sein — Penetrationstests sind der Nachweis, dass dieser Schutz tatsächlich wirksam ist.
MaRisk AT 7.2 Tz. 5: Explizite Verpflichtung zur Überprüfung der Wirksamkeit von Sicherheitsmaßnahmen — BaFin-Prüfer fordern Pentest-Berichte als zentralen Wirksamkeitsnachweis.
MaRisk AT 9 (7. Novelle 2023): Ausgelagerte IT-Systeme (Cloud, SaaS, Outsourcing) müssen denselben Sicherheitsstandards entsprechen wie In-House-Systeme — Pentest-Nachweise auch für kritische Drittanbieter erforderlich.
MaRisk BTO 1.3 (Trading): Handelssysteme und algorithmische Handelssysteme müssen gesonderten Sicherheitsprüfungen unterzogen werden — Manipulation von Orderbooks und Preisfindung als explizites Risiko.
MaRisk BTO 2.2.1 (Kreditgewährung): IT-Systeme zur Kreditentscheidung und -überwachung gelten als 'wesentlich' — Sicherheitsprüfung auf Manipulation von Kreditdaten und Bewertungsmodellen.
Interne Revision (MaRisk AT 4.4): Die interne Revision muss die Einhaltung von AT 7.2 prüfen und dokumentieren — fehlende oder veraltete Pentest-Berichte sind ein klassisches Revisionsthema.
Proportionalitätsprinzip (MaRisk Vorbemerkung Tz. 6): Kleinere Institute können eine risikobasiert skalierte Umsetzung wählen — aber auch für kleine Banken gilt, dass kritische Systeme einen dokumentierten Sicherheitstest benötigen.

Was ein MaRisk-konformer Pentest umfasst

Core-Banking-Systeme: Temenos T24/Transact, Avaloq, SAP Banking, FI-Systeme (Finanz Informatik), agree21 — Authentifizierung, Autorisierung, Transaktionsintegrität.
Handels- und Risikosysteme: Bloomberg Terminal-Integrationen, FX-Trading-Plattformen, Risiko-Engine-APIs — Manipulations-Resistenz, Audit-Trail-Integrität.
Online-Banking-Portal und Mobile-App: OWASP Top 10 (2021), OWASP Mobile Security Testing Guide, PSD2 SCA-Konformität, Session-Management, IDOR (Kontodaten fremder Kunden).
Netzwerkinfrastruktur: Segmentierung zwischen Zonen (Produktion/Test/DMZ/Internet), Firewall-Bypass-Tests, VPN-Gateway-Sicherheit (CVE-2024-3400 Palo Alto, CVE-2023-46805 Ivanti).
Active Directory: Kerberoasting, Pass-the-Hash, DCSync, AdminSDHolder-Missbrauch, Privilegieneskalation von Standard-User auf Domain-Admin.
SWIFT-Schnittstellen: SWIFT CSP CSCF v2024 Mandatory Controls — Control 1.1 (SWIFT Environment Protection), 2.1 (Security Updates), 6.1 (Operator Session Confidentiality and Integrity).
API-Sicherheit: Open-Banking-APIs (PSD2, Berlin Group), interne Microservices-Kommunikation, API-Gateway-Konfiguration, Rate-Limiting, API-Key-Sicherheit.
Verschlüsselung: TLS 1.3 für alle externen Verbindungen, HSM-Integration für Transaktionssignierung, Datenverschlüsselung at rest, Schlüsselrotation.
Drittanbieter-Zugänge: Pentest von Zugangskanälen kritischer Outsourcing-Partner (BAIT Tz. 7, MaRisk AT 9) — VPN-Zugänge, Jump-Server, Drittanbieter-Konten im AD.
Backup und Notfallwiederherstellung: Isolation von Backup-Systemen gegen Ransomware, Test der Recovery-Point-Objective (RPO) und Recovery-Time-Objective (RTO) unter realen Bedingungen.

Beispiel-Befund

Hoch

SWIFT CSP Control 2.1-Verstoß: Kritisches Patch fehlt auf SWIFT-Message-Server

Der SWIFT Alliance Gateway-Server (Version 7.3.0) enthält die ungepatchte Schwachstelle CVE-2023-2868 (Barracuda Email Security Gateway Remote Code Execution, CVSS 9.4), da das Betriebssystem-Update-Management für SWIFT-Systeme vom regulären Patch-Prozess ausgenommen wurde ('Stabilitätsgründe'). Zusätzlich hat der SWIFT-Service-Account Domain-Admin-Rechte (Verstoß gegen SWIFT CSP CSCF Control 1.1: SWIFT Environment Protection), was bedeutet, dass ein Angreifer mit Zugriff auf den SWIFT-Server direkten Zugriff auf alle Domain-Ressourcen erlangt. Das SWIFT Customer Security Programme (CSP) Mandatory Control 2.1 verlangt aktuelle Betriebssystem-Patches innerhalb von 30 Tagen nach Veröffentlichung kritischer Updates.

Behebung: Sofortiger Patch-Prozess für SWIFT-Infrastruktur einrichten — SWIFT-Systeme dürfen nicht vom regulären Patch-Management ausgenommen werden. Service-Account-Privilegien auf das Minimum reduzieren (nur Rechte für SWIFT-Message-Transport, kein Domain-Admin). SWIFT-Systeme in dediziertes, isoliertes Netzwerksegment verschieben (SWIFT CSP Control 1.1). Quartalsweiser Review aller SWIFT-Systeme gegen SWIFT-CSP-Mandatory-Controls als Teil des MaRisk AT 7.2-Sicherheitsprogramms.

Referenz: CVE-2023-2868 (Barracuda ESG RCE, CVSS 9.4) · SWIFT CSP CSCF v2024 Control 2.1 (Security Updates) · Control 1.1 (SWIFT Environment Protection) · MaRisk AT 7.2 Tz. 4 · BAIT Tz. 9.2

MaRisk-Pentest: Optionen im Vergleich

—	Kostenloser Scan	Matproof Sentinel	Klassische Beratung
Automatisierte Scan-Engine	✓ (3-min Vorschau)	✓ Vollständiger Scan	✗ Nur manuell
OWASP Top 10 Abdeckung	Partiell	✓ Vollständig	✓ Vollständig
Proof-of-Exploit-Evidenz	✗	✓ Pro Befund	✓ Pro Befund
Regulatorisches Mapping (DORA/NIS2/ISO 27001)	✗	✓ Automatisiert	✓ Manuell
Audit-tauglicher PDF-Bericht	✗	✓ Sofort	✓ 2–4 Wochen Lieferzeit
Kontinuierliche / wiederkehrende Scans	✗	✓ Pro Deploy	✗ Jährliches Engagement
Zeit bis zum ersten Ergebnis	~3 Min.	~30 Min. Vollscan	2–4 Wochen
Preis	€0	Ab €149	€8.000–€25.000
Quellcode-Review (SAST)	✗	✓ Im Growth-Plan	✓ Im Scope
API-Testing (REST/GraphQL)	✗	✓ Automatisiert	✓ Manuell

MaRisk-konforme Pentest-Pakete

Einzel-Scan

€149 einmalig

1 vollständiger Pentest-Scan
KI-priorisierte Befunde mit CVSS 3.1
Proof-of-Exploit für jedes Finding
PDF-Bericht (audit-tauglich)
Regulatorisches Mapping (DORA, NIS2, BSI)

Einzel-Scan kaufen →

Häufige Fragen zum MaRisk Penetrationstest

Was ist der Unterschied zwischen MaRisk AT 7.2 und BAIT für Penetrationstests?

MaRisk AT 7.2 ist die Generalnorm ('angemessene technische Maßnahmen zum Schutz wesentlicher Systeme') und BAIT ist deren technische Konkretisierung: BAIT Tz. 8.3 und 6.5 definieren explizit Penetrationstests als Mittel zur Wirksamkeitsprüfung. Ein BAIT-konformer Penetrationstest erfüllt automatisch auch MaRisk AT 7.2. Bei BaFin-Prüfungen wird i.d.R. nach BAIT-Anforderungen gefragt, MaRisk AT 7.2 ist die rechtliche Grundlage dahinter.

Was versteht MaRisk unter 'wesentlichen Systemen'?

'Wesentliche Systeme' (MaRisk AT 7.2 Tz. 4) sind alle IT-Systeme, die für die Aufrechterhaltung der wesentlichen Geschäftsprozesse erforderlich sind. Für eine Bank sind das typischerweise: Core-Banking-System, Zahlungsverkehrs-Systeme, Handelssysteme, Kreditvergabe-Systeme, Kundendaten-Repositories, Online-Banking, regulatorisches Reporting-System. Die Einstufung als 'wesentlich' muss im Rahmen des IT-Risikomanagements (MaRisk AT 7.2 Tz. 1) dokumentiert sein.

Wie verhält sich MaRisk zu DORA bei Banken?

DORA hat als EU-Verordnung Vorrang vor MaRisk als nationalem BaFin-Rundschreiben. Ab 17. Januar 2025 deckt DORA Art. 24 die Pentest-Anforderungen von MaRisk AT 7.2 ab — und geht in vielen Bereichen darüber hinaus. Die BaFin hat angekündigt, MaRisk und BAIT sukzessive an DORA anzupassen. Für Banken gilt: DORA-Compliance ist ausreichend; wer DORA erfüllt, erfüllt in der Regel auch MaRisk und BAIT.

Müssen ausgelagerte Systeme (Cloud/SaaS) auch einem MaRisk-Pentest unterzogen werden?

Ja — MaRisk AT 9 (Outsourcing) verlangt, dass ausgelagerte IT-Systeme denselben Sicherheitsstandards entsprechen wie In-House-Systeme. Bei wesentlichen Auslagerungen muss die Bank sicherstellen (über Vertragsklauseln und regelmäßige Prüfungen), dass der Dienstleister Penetrationstests durchführt und die Ergebnisse vorlegt. Der 7. MaRisk-Novellierung (2023) hat diese Anforderungen für Cloud-Auslagerungen deutlich verschärft.

Wie oft muss ein MaRisk-Pentest für die interne Revision dokumentiert werden?

MaRisk schreibt keine feste Frequenz vor, aber die interne Revision (MaRisk AT 4.4) muss jährlich prüfen, ob die IT-Sicherheitsmaßnahmen nach AT 7.2 eingehalten werden. In der Praxis erwarten Revisoren für wesentliche Systeme aktuelle Pentest-Berichte (max. 12–18 Monate alt) sowie Nachweise, dass kritische Befunde behoben wurden. Für hochkritische Systeme (SWIFT, Core Banking) ist eine jährliche Prüfung Mindeststandard.

Was sind die häufigsten MaRisk-Pentest-Findings bei Banken?

Die häufigsten kritischen Findings bei Banken aus unserer Pentest-Praxis: (1) SWIFT-Service-Accounts mit überhöhten Privilegien, (2) Online-Banking Session-Management-Schwächen (SCA-Bypass), (3) Active Directory-Kerberoasting durch schwache Service-Account-Passwörter, (4) Ungepatchte VPN-Gateways (CVE-2024-21887 Ivanti, CVE-2024-3400 Palo Alto), (5) IDOR in Kontozugriff-APIs. Alle diese Findings wurden in realen Bank-Pentests im Jahr 2024/2025 gefunden.

Kann Matproof Sentinel einen vollständigen MaRisk-Pentest für unsere Bank durchführen?

Matproof Sentinel eignet sich ideal für den DORA Art. 24 / MaRisk-Pentest von Web-basierten Systemen (Online-Banking, API-Gateways, Admin-Interfaces) und liefert einen audit-bereiten PDF-Bericht mit MaRisk AT 7.2-Mapping. Für tiefere Netzwerk-Pentests, Active-Directory-Tests oder SWIFT-Infrastruktur-Tests empfehlen wir den Growth-Plan oder eine individuelle Beratung. Für DORA Art. 26 TLPT-Pflichten vermitteln wir akkreditierte Partner.

Was ist die 7. MaRisk-Novelle (2023) und was ändert sie für Penetrationstests?

Das BaFin-Rundschreiben 05/2023 (BA) zur 7. MaRisk-Novelle hat vor allem die Anforderungen zu Auslagerungen (AT 9) und IT-Risikomanagement verschärft: Cloud-Auslagerungen erfordern nun explizite Exit-Strategien und regelmäßige Prüfungen. Für Penetrationstests bedeutet dies: Auch für wesentliche Cloud-Dienste (IaaS, PaaS, SaaS) müssen Pentest-Nachweise vorliegen oder vertraglich gesichert sein. Die Novelle hat außerdem die Anforderungen an das IT-Risikoinventar (BAIT Tz. 2) und die IT-Notfallplanung verschärft.

Vertiefen — verwandte Artikel aus unserem Blog

MaRisk-konformen Pentest für Ihre Bank starten

Erfüllen Sie die MaRisk AT 7.2- und BAIT-Anforderungen mit einem audit-bereiten Penetrationstest-Bericht. Explizites Mapping auf MaRisk AT 7.2, BAIT Tz. 8.3 und DORA Art. 24 im PDF-Bericht inklusive. Starten Sie in 3 Minuten.