Nicht zuletzt durch die geopolitische Unsicherheit nehmen operationelle Risiken zu und gefährden die IT-Sicherheit des Finanzsektors. Auch veraltete IT-Systeme und -Sicherheitsstandards bedrohen Institute. Deshalb nehmen Regulierung und Aufsicht IT-Risiken verstärkt in den Fokus mit dem Ziel, die operationelle Widerstandsfähigkeit zu stärken.
Zunehmende operationelle Risiken durch Cyberangriffe und steigende Auslagerungen
Seit der Invasion Russlands in der Ukraine ist die Wahrscheinlichkeit von Angriffen auf kritische Infrastrukturen und damit auch das deutsche Finanzsystem deutlich erhöht. Die gemeldeten Angriffe im Finanzsektor konnten bislang weitestgehend abgewehrt werden, allerdings gab es im vergangenen Jahr auch einzelne Vorfälle, bei denen Institute schmerzhafte Verluste verkraften mussten. Hinzu kommen unzählige Angriffe, die erfolgreich abgewehrt, aber nicht gemeldet wurden. Die Qualität der Angriffe steigt permanent. Insbesondere Phishing-Attacken werden durch den Einsatz von Künstlicher Intelligenz (KI) immer besser, da Nachrichten deutlich authentischer wirken. In die Zukunft gedacht könnten Cyberangriffe mit dem Einsatz von KI weiter an Dynamik gewinnen.
Im Zuge der Digitalisierung steigen operationelle Risiken auch durch stärkere Abhängigkeiten von IT-Drittanbietern. Institute lagern zunehmend Aktivitäten und Prozesse aus, zum Beispiel in die Cloud oder an externe Sicherheitsunternehmen. Damit entstehen Konzentrationsrisiken insbesondere gegenüber sehr großen, nicht mit der Finanzwirtschaft vergleichbar regulierten IT-Unternehmen. Im Juli 2024 beeinträchtigte beispielsweise ein Softwareupdate des IT-Sicherheitsanbieters CrowdStrike weltweit über acht Millionen Geräte. Das ging auch am Finanzsektor nicht spurlos vorüber.
IT-Sicherheit im Fokus der Aufsicht
Die Aufsicht legt schon lange ein Augenmerk auf operationelle Risiken. Seit mehr als einem Jahrzehnt prüft die Bundesbank regelmäßig das Informationssicherheitsmanagement der Institute und ihr Auslagerungsmanagement. Im Zuge der gestiegenen Bedrohungslage untersucht die Aufsicht die IT-Sicherheit der Institute in diesem Jahr noch intensiver. Entsprechend der SSM-Prioritäten hat die EZB dieses Jahr erstmals einen Cyberresilienz-Stresstest unter signifikanten Instituten durchgeführt. Hierbei wurde Handlungsbedarf deutlich: Institute müssen sich noch besser für Cyberangriffe rüsten.
Dieses Ergebnis wird von der Aufsicht auf nationaler Ebene durch IT-Prüfungen der Bundesbank bestätigt. Aus unseren Prüfungen mit IT-Fokus ergaben sich 2023 überdurchschnittlich schwerwiegende Feststellungen. Erhebliche Mängel sehen wir insbesondere im Management von Informationsrisiken und -sicherheit: Von den 48 Feststellungen im letzten Jahr wurden 54 Prozent mindestens als gewichtig (F3/F4) bewertet, wohingegen die mindestens als gewichtig bewerteten Feststellungen über alle Prüfungen hinweg im Durchschnitt unter 25 Prozent lagen.
Geschärfte Anforderungen an die operationelle Widerstandsfähigkeit
Der ab Januar 2025 anzuwendende Digital Operational Resilience Act (DORA) wird die operationelle Widerstandsfähigkeit des europäischen Finanzsektors stärken. DORA schafft einheitliche und konsistente Regeln, um Risiken aus Cyberattacken entgegenzuwirken, und legt den Grundstein für einen angemessenen Umgang mit der zunehmenden Abhängigkeit von IT-Drittanbietern. Insbesondere werden mit DORA direkte Vor-Ort-Prüfungen auf bedeutsame IT-Drittanbieter ausgeweitet.
DORA gibt den Instituten auf, sich auf den Ernstfall vorzubereiten: Konkrete Maßnahmen reichen von detaillierten Notfallplänen über klare Zuständigkeiten bis hin zu robusten Backups. DORA verlangt aber auch eine kontinuierliche Überprüfung des Risikomanagementrahmenwerks und fordert, dass Schwachstellen zeitnah beseitigt werden. Zudem schafft DORA die Grundlage für einen aktiven und kontinuierlichen Austausch über Schwachstellen und Cyberbedrohungen.
Die europäische und die deutsche Bankenaufsicht werden weiterhin genau beobachten, wie sich Cyberrisiken und die Bedrohungslage entwickeln und wie die Kreditinstitute damit umgehen. Die Bundesbank wird den Dialog mit den Instituten intensivieren, die ein besonders hohes Cyber- oder IT-Risiko haben, sowie natürlich weiter Prüfungen zum Thema Drittparteienrisikomanagement durchführen. Insgesamt müssen Institute – insbesondere angesichts der voranschreitenden Digitalisierung des Bankgeschäfts – in die Sicherheit und Aktualität ihrer IT-Infrastruktur investieren und ihr IT-Sicherheitsmanagement den gestiegenen Risiken anpassen.
Karlheinz Walch
Karlheinz Walch ist seit Januar 2021 Leiter des Zentralbereichs Banken und Finanzaufsicht der Deutschen Bundesbank.
Tipp: Sie sind an weiteren Beiträgen aus der BANKINGNEWS 301 interessiert? Lesen Sie hier einen Artikel zur Diversität in der Bankbranche oder einen Beitrag von Dr. Karsten Junius, Chief Economist bei der Bank J. Safra Sarasin, über die Bedeutung von Unabhängigkeit im Kontext einer Zentralbank und warum diese schützenswert ist.
