BANKINGNEWS: Mit der MaRisk und BAIT wurden bereits regulatorische Anforderungen an die IT-Sicherheit von Banken veröffentlicht. Warum braucht es zusätzlich noch DORA?
Dr. Rainer Knippschild: Grundsätzlich muss man verstehen, dass DORA im Gegensatz zu den oben genannten Regularien auf EU-Ebene passiert. Wir in Deutschland haben den Vorteil, dass wir mit der MaRisk und BAIT diese Gesetzgebung schon vor DORA hatten. Damit sind schon viele Themen aus DORA abgedeckt. Auf dem europäischen Finanzmarkt haben wir einerseits sehr stark regulierte Länder, wie zum Beispiel die Bundesrepublik oder Ungarn. Wir haben aber auch Länder wie Polen oder Rumänien, die in diesem Bereich fast gar nicht reguliert sind. Polen etwa ist in Sachen IT äußerst innovativ, aber die Regulatorik, die hier einen Grundschutz fordert, ist ausgeblieben. Mit DORA kommt es jetzt endlich zu einem europäischen Gesetz, mit dem alle Länder innerhalb der Europäischen Union vereinheitlicht auf einen guten Mindeststandard kommen. Das ist wichtig, denn wir haben in der Vergangenheit oft erlebt, dass Auslagerungen über die Landesgrenzen hinaus gingen. Der Gesetzgeber möchte hier sicherstellen, dass – wenn wir uns im europäischen Umfeld bewegen – ein gleiches Sicherheitsniveau herrscht. Und normalerweise bleiben wir im europäischen Umfeld, allein aufgrund des Datenschutzes, der besagt, dass die Daten die Europäische Union nicht oder nur mit Ankündigung und Sondergenehmigung verlassen dürfen. Das heißt, dass ich bei der Wahl eines polnischen oder portugiesischen Dienstleisters eine vergleichbare Sicherheit im Rahmen der Regulatorik erhalte. Zusätzlich wird DORA auch bestimmte Sachverhalte verschärfen, die wir in Deutschland schon durch Regulierungen wie BAIT oder der MaRisk und MaGo kennen. Jetzt wird nochmal ein Brikett hinzugelegt und man geht noch stärker in die Tiefe.
„Mit DORA geht es in die Tiefe und der Scope wird deutlich größer.“
Welche wesentlichen Herausforderungen sehen Sie bei der Umsetzung von DORA in Banken und Finanzinstituten?
Es sind im Endeffekt drei Themen, auf die man nun speziell den Fokus legen muss. Zum einen ist es das Risikomanagement, das deutlich verschärft wird. In diesem Kontext liegt der Schwerpunkt jetzt sehr stark auf IT-Dienstleistern, die man vorher gar so nicht im Blickfeld hatte. Das bedeutet auch, dass man zum Beispiel Verträge nachprüfen oder verändern muss und Neuverträge deutlich aufwendiger werden. Bestimmte Institute müssen regelmäßig verschärfte Pen-Tests durchführen, um nachzuweisen, dass die Maßnahmen auch wirklich greifen. Das wird eine Menge Mehrarbeit bedeuten. In Deutschland haben wir bereits eine gute Basis, weil man sich vorher an die entsprechenden Gesetzgebungen gehalten hat. Dadurch ist schon viel erledigt, aber die Themen werden verschärft, es geht in die Tiefe und der Scope wird deutlich größer. Das kann durchaus die eine oder andere Bank vor enorme Herausforderungen stellen, zumal hier natürlich Erfahrung und Fachwissen vonnöten sind. Der Arbeitsmarkt in Deutschland ist aktuell leergefegt, was Personal mit Erfahrung in den entsprechenden Themen angeht. Jedes Institut im Finanzsektor sucht gerade händeringend nach Fachpersonal, die das begleiten können. Das ist eine weitere aktuelle Herausforderung für Banken.
Wie gut sind deutsche Banken Ihrer Einschätzung nach auf die Umsetzung von DORA vorbereitet? Wie schneiden sie im Vergleich zu anderen EU-Ländern ab?
In Deutschland haben wir ein paar wenige Banken, die aus meiner Sicht tatsächlich mit Bestnote abschneiden. Dann gibt es noch viele Institute, die bereits gut aufgestellt sind, also die wesentlichsten Risiken identifiziert haben und diese auch im Sinne des Gesetzgebers bearbeiten. Aber bei einigen Banken gibt es auch an vielen Stellen noch Nachholbedarf. Wenn man jetzt den Vergleich mit anderen europäischen Ländern zieht, stellt man fest, dass die deutsche Institutslandschaft schon sehr weit fortgeschritten ist. Natürlich muss man auch bestimmte kulturelle Aspekte berücksichtigen. Wenn man zum Beispiel nach Italien geht, gibt es dort die Mafia-Gesetzgebung. Diese gibt es in Deutschland so nicht. In Sachen Regulatorik kann man sich sicherlich hier und da das ein oder andere abgucken, aber man darf nie vergessen, dass es auch immer diesen lokalen Touch gibt.
„Ich kenne ehrlich gesagt keinen Prüfer, der Umsetzungen der Umsetzung willen fordert.“
Welche internen Veränderungen müssen Banken vornehmen, um die Anforderungen von DORA vollständig zu erfüllen, und wie realistisch schätzen Sie dies ein?
Im Laufe der Zeit hat sich die Technik, die Banken einsetzen, stark verändert, ebenso wie sich der Markt und das Kundenverhalten verändert haben. Heute wollen Kunden alle Services auf dem Smartphone verfügbar haben, alle Konten verwalten und auch Kredite innerhalb kürzester Zeit abschließen können. Leider hat man sich dem Thema Sicherheit dann erst nachträglich gewidmet. Vorher schon eine Risikobetrachtung zu machen, wäre jedoch sinnvoll gewesen. Viele Institute sind dann rein nach Gesetzestext vorgegangen, obwohl es gewisse Themen gibt, die für das eigene Institut unter Umständen gar nicht relevant sind. Ich kenne ehrlich gesagt keinen Prüfer, der Umsetzungen der Umsetzung willen fordert. Die Basis ist immer das Risiko und wenn ich in einem Bereich kein Risiko habe, warum soll ich die Anforderungen in diesem Bereich für teures Geld umsetzen und Ressourcen einsetzen, die ich woanders viel besser einsetzen könnte? Regulatorik muss angemessen sein, das sagt auch der Gesetzgeber. Er kennt ja nicht die Kultur oder die Arbeitsprozesse jedes einzelnen Institutes und baut dazu ein Gesetz. Das muss man als Verantwortlicher einer Bank mitberücksichtigen, und da braucht man eben Erfahrung und Fingerspitzengefühl.
Gibt es vielleicht auch Vorteile, die Banken aus der Umsetzung von DORA ziehen können?
Ja, die gibt es. Wenn man dieses Thema sinnhaft aufgreift und zielgerichtet auf dem Risiko basierend betreibt, dann hat man durchaus gute Möglichkeiten, im Rahmen der Prozesse Redundanzen festzustellen oder Bereiche zu identifizieren, die automatisiert werden können. Das kann sogar bei neuen Produkten die Time-to-Market deutlich nach unten bringen. Dadurch kann man weiteres Geschäft entwickeln, weil man jetzt mit dem Konstrukt des Datenhandlings anders umgehen kann. Man muss es nur richtig machen. Ich kann auch eine Bank zu Tode kontrollieren. Das ist aber gar nicht gewünscht. Es muss in einem sinnhaften Rahmen sein.
Welche Rolle spielen hier neue Technologien wie Künstliche Intelligenz?
Ich wehre mich hier erstmal grundsätzlich gegen den Begriff Intelligenz. Intelligenz ist für mich etwas Fühlendes, und das ist hier nicht gegeben. Was wir unter KI verstehen, ist tatsächlich eine sehr komplexe Big-Data-Auswertung, die zielgerichtet bestimmte komplexe Themen abarbeitet. Eine KI kann in bestimmen Bereichen durchaus helfen, wenn es etwa darum geht, große Mengen an Daten zu filtern und zu optimieren. Ich muss die Technik aber in den richtigen Kontext setzen, und dieser Kontext ist immer noch getrieben vom Menschlichen.
Dr. Rainer Knippschild
Dr. Rainer Knippschild ist Product Owner Regulatory Factory bei der Sopra Financial Technology GmbH.
Einfach mal nachgefragt bei Dr. Rainer Knippschild von Sopra Financial Technology: Was ist DORA und warum ist es so wichtig für die Finanzbranche? Welche konkreten Auswirkungen hat DORA auf die täglichen Geschäftsabläufe von Finanzdienstleistern? Diese und weitere Antworten werden hier für Sie beantwortet:
