Johannes Hugo, Bereichsleiter, IT-Security, ADWEKO Consulting GmbH
Während der 17.01.2025 als Anwendungsbeginn des Digital Operational Resilience Act (DORA) immer näher rückt, laufen die Implementierungsprojekte zunehmend auf Hochtouren. Das bedeutet auf Grundlage der inhaltlichen Schwerpunkte der DORA insb. Anpassungen im Vertragswesen mit Dienstleistern sowie im ganzheitlichen Informationsrisikomanagement auf Grundlage eines etablierten Informationsverbunds – also der Dokumentation aller Assets (bspw. Anwendungen, Dienstleister, Informationen) und deren Abhängigkeiten und Schnittstellen. Nun beginnt und endet Risikomanagement insb. in Banken bei angemessenen Eigenkapitalquoten, welche über die Schnittstelle des operationellen Risikos (OP-Risk) mit den Umsetzungsgebieten von DORA, MaRisk und BAIT verbunden sind – und da liegt, wie man so schön, sagt „der Hund begraben“.
Warum die OP-Risk Schnittstelle so wichtig ist
Während die Schärfung von Prozessen und die Ganzheitlichkeit der Risikobewertung im Informationsverbund nicht zuletzt mit DORA eine enorme Aufwertung erfährt, ist im Sinne der Ganzheitlichkeit stets der Gesamtprozess zu bewerten. Von externen Vorgaben über ihre interne Übertragung (2nd Line of Defense) als Grundlage für GAP-Analysen im Informationsverbund und darauf aufbauende Einträge im Risikoinventar des Informationsrisikomanagements – schlussendlich kommt es darauf an, wie die Risiken des Inventars in statistische Schadenshöhen und Eintrittswahrscheinlichkeiten übersetzt werden, um die qualitativ bewerteten Risiken zu quantifizieren und wie bei Adressausfallrisiken eine eigenkapitalwirksame Risikovorsorge zu bewirken.
Wie Einzelrisiken & OP-Risk-Szenarien mit der Eigenkapitalvorsorge zusammenhängen
Damit eine adäquate Steuerung verschiedener Risiken, insb. Informationssicherheitsrisiken, unter dem Schirm des OP-Risk stattfinden kann, bedient man sich zumeist sogenannter OP-Risk Szenarien. In diesen müssen bspw. Szenarien zur Informationssicherheit erstellt und angewendet werden. Hierbei stellen insb. die Verfügbarkeit von Schadensstatistiken ein immanentes Problem dar, die gebraucht werden, um je Szenario ein angemessenes Risikomodell etabliert zu können. Im Ergebnis bieten die Szenarien eine Steuerungsmöglichkeit: Zum einen ermöglichen sie, fortlaufende GAP-Analysen zur Informationssicherheit resultierenden Risiken in Szenarien zuordnen. Zum anderen muss auch die Risikovorsorge nicht täglich angepasst werden, sondern nur, wenn die Belastung eines OP-Risk-Szenarios durch die Anzahl und Schwere zugeordneter Einzelrisiken von Dienstleistern, Applikationen etc. eine monetäre Ausweitung erforderlich machen. Dies ist darauf zurückzuführen, dass die Eintrittswahrscheinlichkeit und/oder die Eintrittshöhe von Schäden signifikant die jeweilige Eigenkapitalvorsorge überschreiten.
Wo liegen zumeist die Fehler im Prozess?
Beginnen wir mit der Flexibilität der OP-Risk-Szenarien. In der Praxis werden Schadenswerte und Eintrittswahrscheinlichkeiten nicht aufgrund von Makro- und Mikrobedrohungslagen oder substanziellen Schadensstatistiken kalkuliert und abgeschätzt, sondern Maximalwerte schlicht qua Managemententscheidung festgelegt. Problematisch sind in der Folge zwei Punkte: Erstens haben externe Faktoren keinerlei Einfluss mehr, wodurch bspw. der Ukraine-Konflikt oftmals keinen Einfluss auf die Risikovorsorge via operationelles Risiko hat. Zweitens werden die OP-Risk-Szenarien nicht angepasst, wenn die Menge und Schwere an identifizierten Gaps die Maximalgrenzen der OP-Risk-Szenarien überschreitet. In der Praxis zeigt sich, dass selbst in aufsichtlichen Sonderprüfungen diese Punkte teilweise nur unzulänglich geprüft werden, wenngleich damit der gesamte Risikoprozess in seinem Fundament Unzulänglichkeiten offenbart. Dass die gesamte Prozesskette von der Bedrohungs- über die Schutzbedarfs- und GAP-Analyse basierte Identifikation von Abweichungen gegen die Soll-Vorgaben in den Szenarien des OP-Risk und damit in der Eigenkapitalunterlegung endet, wird allerdings zunehmend relevant für die aufsichtlichen Sonderprüfungen.
Weiterführend ist oftmals auch das Thema der Vollständigkeit und der standardisierten Risikoidentifikation in der Schutzbedürftigkeit von Assets ein Grundsatzproblem. Dies können Software-as-a-Service Applikationen sein, welche nur zu leicht im Asset-Management vergessen werden; ein Zustand, der durch mangelhafte Verknüpfung von Einkaufs- und Asset-Managementprozessen begünstigt wird. Es können aber auch unterschiedliche Risikoprozesse bzw. Bewertungsmetriken für IDV, Anwendungen etc. oder übergreifende Prozessschwächen sein. Im Ergebnis liegen dann Risiken im Risikoinventar zur Informationssicherheit und zum Business Continuity Management, die nicht objektiv vergleichbar sind. Die DORA-Anforderungen nach Identifikation sogenannter Konzentrationsrisiken wirkt mit diesem Hintergrund wie ein Anspruchsniveau, welches qualitativ von den wenigsten Finanzmarktteilnehmern feststellungsfrei zum 17.01.2025 umgesetzt sein sollte.
PRAXISTIPPS
- Verlieren Sie das große Ganze nicht aus dem Blick. Risikomanagement mit DORA muss auf eine adäquate Übersetzung von Risiken zu Risikovorsorge treffen – die OP-Risk-Schnittstelle ist der wichtigste Prozessschritt.
- Weniger ist mehr. Entscheidend sind passende OP-Risk Szenarien und ein angemessener Umgang mit ihnen. Dabei zählt ausschließlich Qualität – um nicht mit DORA viele Prozesse zu schaffen, die schlussendlich keinen Einfluss auf das Risikomanagement haben. Hier nehmen wir gerne die Audit-Würdigung direkt vorweg: „Setzen 6“
- Suchen Sie sich kompetente Unterstützung. Ob interne oder externe Expertinnen/Experten, wichtig ist das übergreifende Verständnis, dass IT-Regulatorik letztendlich einen Rahmen zum angemessenen OP-Risk Management bedeutet. Wir zeigen Ihnen gerne, wie Sie das Thema feststellungsfrei umsetzen und dabei Ihr OP-Risk optimieren.
Beitragsnummer: 22665