Viele Regularien müssen Banken und Sparkassen bereits berücksichtigen. Mit DORA kommt ab Januar 2025 eine weitere hinzu, die die Institute digital widerstandsfähriger macht, aber das Risikomanagement immens fordern.
Hacker bedrohen immer häufiger Finanzunternehmen: Diese müssen belastbare IKT-Systeme implementieren und mögliche Cyber-Risiken stetig überwachen, um frühzeitig Alarm zu geben. So sehen es die DORA-Regelungen vor, die ab 2025 greifen.
FOTOKITA / Getty Images / iStock
Cyber-Angriffe gehören mittlerweile zu den gefürchtetsten Risiken der Wirtschaft. Das gilt allen voran für Finanzdienstleister. So hat der Internationale Währungsfonds (IWF) in seinem jüngst vorgestellten Global Financial Stability Report festgestellt, dass sich die Zahl der Angriffe in diesem Sektor im Vergleich zur Vor-Corona-Zeit fast verdoppelt hat. Fast jeder fünfte Vorfall wird dem Bericht zufolge in der Finanzbranche registriert.
Finanzbranche steigenden Cyber-Risiken ausgesetzt
"In der Finanzwelt wachsen die operationellen Abhängigkeiten besonders rasant. Das Nervensystem der modernen Finanzwelt ist weit verästelt und hat in den vergangenen Jahren zahlreiche zusätzliche Synapsen gebildet", erläuterte Mark Branson, Präsident der Bundesanstalt für Finanzdienstleistungsaufsicht Bafin, im Januar 2024 vor Journalisten in Frankfurt. "Damit ist es auch empfindlicher geworden. Hausgemachte IT-Pannen oder eine Cyber-Attacke können gravierende Folgen haben, die weit über das unmittelbar betroffene Unternehmen hinausreichen."
Die Folgen der gefürchteten Hacker-Angriffe zeigt ein Besipiel, auf das die Bafin selbst verweist: So nutzten die Täter, die unter dem Gruppennamen Clop agierten, im Sommer 2023 Sicherheitslücken in der Datentransfersoftware Move IT, um weltweit an die Daten tausender Unternehmen und deren Kunden zu gelangen. "Darunter befanden sich auch zahlreiche deutsche Finanzinstitute und Versicherer, die mit Dienstleistern im Kundenservice zusammenarbeiten, die dieses Programm nutzen", berichtet Jens Obermöller von der Bafin-IT-Aufsicht in einem Fachbeitrag des Bafin-Journals vom Februar. "Das Beispiel zeigt, wie stark die Abhängigkeiten in der Finanzbranche gewachsen sind."
Outsourcing macht das Finanzsystem anfällig
Die Aufseher haben daher schon länger einen kritischen Blick auf Auslagerungen bei Banken und Sparkassen. "In Deutschland bedient in einigen Bereichen ein kleiner Kreis spezialisierter IT-Dienstleister einen Großteil der Kreditinstitute. Ähnlich ist es in der Versicherungsbranche", bringt es Bafin-Chef Branson auf den Punkt und beschreibt die Kettenreaktion, die auf einen möglichen Cyber-Vorfall folgt:
Kommt es bei einem dieser Mehrmandanten-Dienstleister zu Störungen, bricht sofort Nervosität im System aus. Mehrere Institute können plötzlich gleichzeitig nicht mehr auf ihre Dienstleistungen zugreifen. Besonders problematisch ist dies bei kritischen Prozessen, von denen Banken und Versicherer besonders abhängig sind. Ich denke zum Beispiel an die Zahlungsabwicklung."
Auslagerungsdatenbank der Bafin wächst
Die von der Behörde beaufsichtigten Unternehmen, zu denen auch Versicherer, Pensionskassen sowie Fondsgesellschaften zählen, müssen bereits seit Ende 2022 jedes neue Outsourcing-Projekt melden. In dieser seither stetig wachsende Auslagerungsdatenbank waren zu Jahresbeginn laut dem Bafin-Chef rund 1.900 Unternehmen aus dem Finanzsektor und rund 20.000 Outsourcing-Vorfälle erfasst.
"Im Durchschnitt sind das zehn Auslagerungen pro Unternehmen, wobei es große Unterschiede gibt: Einige Unternehmen haben über 100 Auslagerungen gemeldet." Einige "kritische Dienstleister" überwache die Aufsicht bereits "seit ein paar Jahren besonders eng", so der Bafin-Chef.
DORA soll Bank-IKT resilienter machen
Mit dem Digital Operational Resilience Act, kurz DORA, hat das Europäische Parlament der Finanzbranche einen rechtlich Rahmen vorgegeben, mit dem sich die Unternehmen gegen kriminelle Attacken im Bereich der Informations- und Kommunikationstechnologie, kurz IKT, besser schützen und von Angriffen erholen können. In Kraft traten die Vorgaben bereits im Januar 2023. Doch ab dem 17. Januar 2025 müssen sie von den Banken in die Praxis umgesetzt werden.
Tatsächlich schreibt DORA in Kapitel II Abschnitt II vor, dass Unternehmen einen angemessenen Rahmen für das Risikomanagement entwickeln müssen, um Sicherheitsrisiken schnell, effizient und umfassend anzugehen und ein hohes Maß an digitaler operativer Widerstandsfähigkeit zu gewährleisten", führen Alex Goller, Senior Systems Engineer bei Illumio, und Steffen Nagel, Leiter IT Infrastruktur & Security bei der Frankfurter Volksbank Rhein-Main, in der Zeitschrift "Bankmagazin" aus.
Ganzheitlicher Rahmen zur Cyber-Gefahren-Abwehr
Die Regelungen für das IKT-Risikomanagement sollen das Fundament für die digitale Resilienz der betroffenen Dienstleister sein, schreibt Christian Schablitzki, Associate Partner beim IT-Beratungshaus Infosys Consulting, in der digitalen April-Ausgabe von "Bankmagazin".
Finanzunternehmen müssen belastbare IKT-Systeme implementieren und alle Quellen für potenzielle IKT-Risiken fortlaufend überwachen, um Anomalien frühzeitig zu erkennen. Teil des Rahmenwerks sind zudem Business-Continuity-Pläne sowie Wiederherstellungspläne, die nach Systemausfällen greifen", konkretisiert der Experte die Aufgaben, die die Branche erfüllen muss.
Solides IKT-Risikomanagement als zentraler Baustein
Laut Bafin ist ein "solides, umfassendes und gut dokumentiertes IKT-Risikomanagement das A und O". Die konkreten Anforderungen orientieren sich an internationalen, nationalen und branchenspezifischen bewährten Praxisverfahren und Standards. Dabei ist DORA "insgesamt standard- und technikneutral", betont die Behörde. Die Unternehmen des Finanzsektors sollen die Anforderungen risikoorientiert und proportional umsetzen können. Wie das in der Praxis ausehen soll, zeigt nachstehende Grafik:
DORA stellt hohe Anforderungen an das Risikomanagement von Banken und anderen Finandzdienstleistern.
Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin)
"Im ersten Schritt sollten Geldhäuser ihren aktuellen Reifegrad in puncto Cyber-Sicherheit bestimmen und erforderliche Maßnahmen definieren", führt Schablitzki aus. Dies erfolge anhand einer umfassenden Gap-Analyse, die eine präzise Identifikation und Priorisierung von Lücken zwischen dem aktuellen Sicherheitsniveau und den erforderlichen Standards ermöglicht. "Die Ergebnisse der Analyse bilden die Grundlage für einen Aktionsplan. Dieser berücksichtigt nicht nur technologische Aspekte, sondern auch organisatorische und personelle Maßnahmen."
Umfassende Dokumentation und Berichtspflichten
Diese sind nötig, um vor allem die künftigen Berichtspflichten zu erfüllen. Der Finanzsektor muss IKT-Vorfälle laut Bafin nicht nur sorgfältig überwachen, sondern auch protokollieren und melden. Hierzu gehört auch eine Klassifizierung nach bestimmten Kriterien (Artikel 18). "Ähnliche Berichts- und Meldepflichten gibt es aktuell für Zahlungsdienstleister durch die Zweite Zahlungsdiensterichtlinie (PSD2-Richtlinie). Auch die NIS2-Richtlinie für Finanzunternehmen macht für kritische Infrastrukturen im Sinne des Gesetzes über das
solche Vorgaben", so die Behörde.Die Meldungen, die an die Aufsicht gehen, werden von dieser "unverzüglich an das BSI, an die jeweilige Europäische Aufsichtsbehörde (EBA, ESMA oder EIOPA) und gegebenenfalls an weitere Akteure weitergeleitet". Zu letzteren gehört zum Beispiel auch die Europäische Zentralbank. Neben dem Meldewesen für IKT-Vorfälle führt DORA aber auch ein freiwilliges Meldewesen für erhebliche Cyber-Bedrohungen ein.
Effektive Meldekette braucht geschulte Mitarbeiter
"Die Mitarbeitenden sind der wichtigste Baustein für eine effektive Meldekette", betont Schablitzki. Ihre Rolle müsse durch regelmäßige Schulungen gestärkt werden. In Simulationen von IKT-Vorfällen sollten zudem immer wieder Schwachstellen identifiziert und die Reaktionsfähigkeit trainiert werden.
"Eine der zentralen Anforderungen im Rahmen von DORA ist die systematische Prüfung der digitalen Betriebsstabilität. Umfang und Komplexität der Tests hängen vom Risikoprofil und der Größe des Unternehmens ab", so der Experte. Möglich seien End-to-End-Tests zur ganzheitlichen Prüfung der Ausfallsicherheit, Open-Source-Analysen und Bewertungen der Netzwerksicherheit.
Überwachung von IKT-Drittunternehmen
Da viele Finanzdienstleister schon aus Ressource- und Kostengründen immer häufiger IKT-Drittunternehmen mit ins Boot holen müssen, rückt DORA auch die durch Auslagerungen entstehenden Risiken stärker in den Mittelpunkt. Die Institute sind verpflichtet, die Gefahren, die aus diesen Partnerschaften erwachsen können, zu überwachen. Und das gilt laut Bafin-IT-Experte Obermöller während des "gesamten Lebenszyklus".
Schon vor Vertragsabschluss muss es eine Risikoanalyse geben und Finanzunternehmen müssen eine Due-Diligence-Prüfung durchführen, um die Eignung des Dienstleisters zu bewerten. Hierbei ist die abhängig vom jeweiligen Drittanbieter und das aus der Vertragsbeziehung entstehende Risiko zu berücksichtigen. Im Vertrag muss sich der Dienstleister verpflichten, bei IKT-Vorfällen, die seine Dienstleistung betreffen, Unterstützung zu leisten, so die Bafin. Für kritische oder wichtige ausgelagerte Funktionen benötigen Finanzunternehmen zudem eine Ausstiegsstrategie.
Finanzhäuser brauchen praktikable Exit-Strategie
Für das Risikomanagement von Cloud-Dienstleistern ist eine praktikable Exit-Strategie besonders wichtig, damit Finanzinstitute unterbrechungsfrei zu einem anderen Anbieter wechseln können, falls es zu einer Störung kommt. Die Exit-Szenarien sollten regelmäßig im Test durchgespielt werden, was für viele Unternehmen eine große technische Herausforderung darstellt", erläutert Schablitzki.