Ein tiefer Seufzer durchfährt die Bankenbranche, sobald die Gesetzgeber eine neue Verordnung ankündigen. Die Behauptung, „Regulatorik ist das Lieblingsthema von Banken“, trieft vor Sarkasmus. Jetzt gibt es jedoch eine neue EU-Verordnung, auf die Banken mit stiller Akzeptanz reagieren: der Digital Operational Resilience Act, bekannt als DORA. Das Regelwerk tritt ab Januar 2025 für europäische Finanzunternehmen in Kraft und zielt darauf ab, die Risiken des digitalen Wandels für Marktteilnehmer zu minimieren. Dazu gehören sichere Informations- und Kommunikationstechnologie (IKT)-Systeme, um die Betriebsstabilität bei Cyberangriffen oder digitalen Störungen zu gewährleisten. Im Kern dreht sich das neue Regelwerk also um die IT. Ein wunder Punkt für Banken – obwohl IT und Banken gewissermaßen miteinander verheiratet sind, gefährden neben Cyberrisiken auch veraltete Technik und Outsourcing die Informationssicherheit.
Problematischer Trend Outsourcing
Im Zuge der digitalen Transformation verstärkt sich der Trend, IT-Funktionen an Drittanbieter auszulagern. Insbesondere Cloud-Dienste werden von Banken zunehmend in Anspruch genommen. Dies kann problematisch sein, da hier das Risikomanagement einiger Banken noch erhebliche Schwachstellen aufweist. Die Auslagerungsvereinbarungen werden daher im Rahmen von DORA durch die Aufsicht schärfer kontrolliert. Eine weitere Aufsichtspriorität stellen effektive Strategien für die digitale Transformation dar. Allerdings droht hier ein Zielkonflikt: mit wachsender Digitalisierung und Innovation steigt auch die Gefahr von Cyberangriffen.
Der „State of the Internet“-Bericht von Akamai untersuchte den Zuwachs an Cyberangriffen auf die Finanzdienstleistungsbranche zwischen dem zweiten Quartal 2022 und dem zweiten Quartal 2023. Er kam zu dem Ergebnis, dass Webanwendungs- und API-Angriffe in dieser Zeitspanne um 65 Prozent gestiegen sind. Richard Meeus, Director of Security Technology and Strategy, EMEA, bei Akamai fasst es wie folgt zusammen: „Cyberkriminelle folgen nach wie vor dem Geld; so bleibt die Finanzdienstleistungsbranche ein äußerst attraktives Ziel. Gleichzeitig handelt es sich um einen der am stärksten regulierten Sektoren. Deswegen ist es für Unternehmen unerlässlich, ihre Sicherheitsstrategie an neuen Gesetzen und Vorschriften auszurichten.“
Um den Erwartungen des Regulators begegnen zu können, muss eine weitere Herausforderung für Banken im Bereich IT beseitigt werden: das fehlende Expertentum. Der Mangel an IT-Fachpersonal ist keine Neuigkeit. Laut einer aktuellen Studie der Unternehmensberatung McKinsey & Company fehlen bis 2030 rund 140.000 IT-Fachkräfte in Deutschland. Dem solle man dringlichst mit der Ausweitung von Weiterbildungsangeboten, flexibleren Arbeitsmodellen und einer Beschleunigung von Einstellungsverfahren begegnen, aber auch politische Förderprogramme seien gefragt, so das Fazit der Studie.
Fokus auf Betriebsstabilität
Im Unterschied zu anderen Verordnungen, wie etwa Network and Information Security 2 (NIS2), setzt DORA den Fokus auf die Betriebsstabilität. Diese soll im ersten Halbjahr 2024 in Form eines an DORA angelehnten Cyber-Resilience-Stress-Tests auf den Prüfstand gestellt werden. Eben solche Überprüfungen werden um einen erheblichen Aspekt erweitert, welcher in bisherigen Penetrations- oder TIBER-Tests weniger Beachtung fand: das adäquate Handeln der Verantwortlichen. Denn auch intern gilt es, sich den Spiegel vorzuhalten. Unwissenheit der Belegschaft – besonders auf Vorstandsebene – können sich Banken in diesem Themenbereich künftig nicht mehr leisten – und das wissen sie auch. Die Zahlen im Wettkampf gegen Cyberkriminalität sprechen für sich und keine Bank wird dies auf sich sitzen lassen können, wenn sie das Vertrauen ihrer Kunden auch künftig wahren möchte.