Cyber-Risk – Herausforderungen für Kreditinstitute

Florian Winterer, Wirtschaftsprüfer/IT-Spezialist, Genossenschaftsverband Bayern e.V.

Thomas Goldbrunner, Geschäftsführer, GCS – Geno Corporate Services GmbH  

I. Cyber-Risk als Aufsichtspriorität

1. EZB

Die Risiken aus Cyber-Attacken stellen bereits seit längerer Zeit eine der Aufsichtsprioritäten der EZB-Bankenaufsicht dar. Auch für die Jahre 2024 bis 2026 wurden die Risiken aus Cyber-Attacken wieder als Aufsichtspriorität des Single Supervisory Mechanism (SSM) identifiziert. Als strategisches Zielbild wurde ausgegeben, dass Institute über solide Regelungen für ihre Auslagerungsrisiken sowie für ihre IT-Sicherheit und Cyber-Resilienz verfügen sollen. Hierdurch soll ungeminderten Risiken, die zu einer wesentlichen Störung kritischer Tätigkeiten/Dienstleistungen führen könnten, proaktiv entgegengewirkt und gleichzeitig sicherzustellt werden, dass die einschlägigen aufsichtsrechtlichen Anforderungen und Erwartungen erfüllt werden.[1]

2. BaFin und Bundesbank

Die Aufsichtsprioritäten der EZB finden ihren Niederschlag im Nationalen Aufsichtsprogramm 2024–2026. In diesem legen BaFin und Bundesbank jährlich gemeinsam die Schwerpunkte für die Aufsicht über die national beaufsichtigten Institute in Deutschland fest. Unter dem Schwerpunkt „IT-Sicherheit“ wurden folgende aufsichtliche Maßnahmen festgelegt:

• Es findet anlassbezogen eine Intensivierung des aufsichtlichen Dialogs mit Instituten mit hohem Cyber-/IT-Risiko statt.
• Zusätzlich stehen u. a. Auslagerungen und Migrationsprojekte im Fokus, wozu Prüfungsschwerpunkte nach § 30 KWG angeordnet und bankgeschäftliche Prüfungen durchgeführt werden.[2]

Die Auswirkungen der Bedeutung des Themas Cyber-Risiken sind bereits in der Praxis spürbar. Nicht nur legen die Abschlussprüfer mittlerweile einen verstärkten Fokus auf den Bereich IT-Security, auch nehmen Sonderprüfungen durch die Aufsicht in diesem Bereich zu. Diese Prüfungen gehen dabei oftmals deutlich über das aus der Jahresabschlussprüfung bekannte Maß hinaus und untersuchen dezidiert die institutseigenen Sicherheitsmaßnahmen.

3. DORA

Bislang bildeten insbesondere die „Guidelines on ICT and security risk management“ der EBA sowie die von der BaFin herausgegebenen „Bankaufsichtlichen Anforderungen an die IT (BAIT)“ den aufsichtlichen Regelungsrahmen, wenn es um das Thema Cyber-Attacken auf Kreditinstitute geht. Mit dem Digital Operational Resilience Act (DORA) erhält das Aufsichtsregime eine grundlegende Neuordnung.

Ziel der Verordnung über die digitale Resilienz im Finanzsektor ist eine europäische Antwort auf den Wandel im Bereich der Finanzdienstleistungen und auf die zunehmende Gefahr von Cyberbedrohungen im Finanzsektor. Der Fokus von DORA liegt in einem angemessenen Umgang mit der zunehmenden Abhängigkeit des Finanzsektors und der Aufrechterhaltung der Betriebsstabilität des Finanzsystems der Europäischen Union im Falle einer schwerwiegenden Störung.

Im Kern umfasst DORA einen harmonisierten IT-Risikomanagementrahmen, die Ausweitung und Vereinheitlichung der Meldepflichten von schwerwiegenden IT-Vorfällen sowie die Schaffung eines europäischen Überwachungsrahmens für kritische IT-Drittdienstleister. 

Die Vorgaben des DORA lassen sich in vier große Bereiche aufteilen:

• IKT-Risikomanagement (Art. 5 bis 16)
• IKT-Vorfallmeldewesen (Art. 17 bis 23)
• Tests der digitalen operationalen Resilienz (Art. 24 bis 27)
• IKT-Drittparteirisikomanagement (Art. 28 bis 44)

Die Vorgaben werden durch mehrere Level-2-Rechtsakte (RTS/IST) sowie Berichte spezifiziert.

Durch DORA werden neben einigen Neuerungen, wie der Einführung einer ICT risik management control function, insbesondere auch bekannte Regelungen und Best Practices verschärft bzw. verpflichtend vorgeschrieben. Hierzu gehören u. a. strengere Anforderungen an Verschlüsselungen, ein stärkerer Fokus auf Schwachstellen (verpflichtende Schwachstellenscans, höhere Anforderungen an das Patchmanagement, Betrachtung des Lieferkettenrisikos), detaillierte Sicherheitsanforderungen sowie Vorgaben zur Stärkung der Netzwerksicherheit.

4. Zwischenfazit [...]
Beitragsnummer: 22612