Diese Website verwendet Cookies. Wenn Sie unsere Seiten nutzen, erklären Sie sich hiermit einverstanden. Weitere Informationen

Das Wichtigste in Kürze

  • Die EU-Kommission will mit einer „Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors“ (Digital operational resilience act, DORA) die Cybersicherheit von Banken und ihren IT-Dienstleistern stärken.
  • DORA nimmt auch Drittanbieter in den Blick, die selbst keine Finanzinstitute sind, aber IT-Leistungen für den Sektor anbieten, wie beispielsweise Cloud-Dienstleister.
  • Die Vorgaben zum Risikomanagement bei Nutzung von IT-Dienstleistern führen zu zusätzlichem administrativen Aufwand. Hier fehlen Erleichterungen für IT-Auslagerungen auf Verbundebene, wie sie in den MaRisk vorgesehen sind. Dieser Ansatz läuft der Zentralisierung von IT-Dienstleistungen in Verbundstrukturen zuwider.
  • Die neue Regelung sollte die bereits bestehenden Auflagen zur Informationssicherheit im Finanzsektor berücksichtigen und bestehende Lücken füllen, anstatt eine Doppelregulierung zu schaffen.

Brechstange, Dynamit oder kraftvolle Bohrmaschinen: Brauchten Bankräuber früher noch brachiale Gewalt, um Geld oder Gold aus dem Banksafe zu plündern, drohen Angriffe heutzutage meist aus der digitalen Welt. Dagegen rüsten sich Banken beständig und verbessern ihre Sicherheitsinfrastruktur. Nun plant die EU, die Cybersicherheit des europäischen Finanzsektors zu harmonisieren. So sollen die virtuellen Tresore ebenso sicher werden wie jene aus Stahl und Beton.

EU nimmt IT-Infrastruktur in den Fokus

Die deutschen und europäischen Bankenaufseher haben die Regulierung von IT-Risiken schon länger auf der Agenda: Unter anderem hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) angekündigt, einen ihrer Prüfungsschwerpunkte wie in den vergangenen Jahren auch 2021 wieder auf IT-Risiken zu legen. Mit DORA will die EU nun einen einheitlichen Aufsichtsrahmen für die IT-Infrastruktur des gesamten europäischen Finanzsektors schaffen, nicht nur der Banken.

Hinter dem Kürzel DORA („Digital Operational Resilience Act“) verbirgt sich unter anderem eine geplante EU-Verordnung „über die Betriebsstabilität digitaler Systeme des Finanzsektors“, mit der die IT-Infrastruktur im Finanzsektor besser gegen Angriffe aus dem Cyberspace geschützt werden soll. Die Regeln reichen von der Ernennung von sogenannten Informationssicherheitsbeauftragten bis zu Leitlinien, wie und unter welchen Voraussetzungen Banken ihre Daten in eine Cloud auslagern dürfen.

Mit DORA sollen auch Drittanbieter reguliert werden, die selbst keine Finanzinstitute sind, aber IT-Leistungen für den Sektor anbieten, beispielsweise Cloud-Dienstleistungen. Im Hinterkopf dürften die DORA-Architekten dabei Unternehmen wie Google, Microsoft oder Amazon gehabt haben, die mit ihren enormen Serverkapazitäten immer häufiger Bankhäuser zu ihren Kunden zählen. Eine solche Regulierung von Drittanbietern ist grundsätzlich positiv zu sehen, wie auch der Bundesverband der Deutschen Volksbanken und Raiffeisenbanken (BVR) in einem Positionspapier betont: „Der BVR begrüßt die Harmonisierung der bestehenden Regeln im Bereich Cybersicherheit ausdrücklich, denn sie ist mit Blick auf die Fraktionierung der aktuellen Vorschriften überaus wünschenswert.“ Der BVR kritisiert jedoch zu Recht, der aktuelle DORA-Vorschlag gehe über die Absicht der Harmonisierung weit hinaus.

Höchste Sicherheitsstandards im Verbund

Der genossenschaftliche Sektor geht bei der Cyberresilienz einen Weg, der im Entwurf von DORA zu wenig Berücksichtigung findet: Mit dem genossenschaftlichen Finanzdienstleister Fiducia & GAD haben Genossenschaftsbanken einen eigenen Anbieter im Verbund, der IT-Dienstleistungen für alle angeschlossenen Banken gebündelt übernimmt. Diese Zentralisierung bringt viele Vorteile mit sich: Die Bündelung und Auslagerung hebt Synergien und stellt sicher, dass nicht jede Bank eine eigene, aufwändig zu wartende IT-Infrastruktur betreiben muss. Damit ist es auch kleinen Regionalbanken möglich, ein attraktives und zeitgemäßes digitales Angebot bereitzustellen, das höchste Sicherheitsstandards erfüllt. Zur Zentralisierung innerhalb des Verbunds gehören außerdem stabile und engmaschige Governance-Strukturen: Die Fiducia & GAD ist Teil der genossenschaftlichen FinanzGruppe und wird von dieser überwacht.

Diese Besonderheit der zentralisierten IT-Infrastruktur im Verbund findet bei DORA keine Berücksichtigung. Der Regelungsentwurf verpflichtet Finanzunternehmen, im Risikomanagement darzulegen, wie sie die Informationssicherheit gewährleisten, wenn sie externe IT-Leistungen in Anspruch nehmen. Auch sollen sie darlegen, wie sie mit den Gefahren von Abhängigkeiten umgehen, die bei Auslagerungen auftreten können. Probleme könnten insbesondere dann entstehen, wenn Banken große Teile ihrer IT an Drittanbieter wie Amazon auslagern, die auch eigene Geschäftsinteressen verfolgen.

Dokumentationspflichten für Verbundstrukturen ungeeignet

Der Entwurf zu DORA sieht, wie der Staatssekretär im Bundesministerium für Finanzen Jörg Kukies in einem Schreiben gegenüber GVB-Präsident Jürgen Gros betonte, „nicht vor, dass mehrere IT-Dienstleister zu nutzen oder IT-Dienstleister gar regelmäßig zu wechseln sind.“ Allerdings müssten die Finanzunternehmen im Rahmen ihres Risikomanagements Konzentrationsrisiken und Abhängigkeiten betrachten. Diese Dokumentationspflichten ergeben jedoch bei zentralisierten, verbundinternen IT-Architekturen keinen Sinn. Im Gegensatz zu Microsoft & Co. befindet sich die Fiducia & GAD im Besitz der genossenschaftlichen FinanzGruppe und wird von dieser kontrolliert. Die Gefahr von konkurrierenden Interessen zwischen Bank und IT-Dienstleister ist damit ausgeschlossen. Die Vorgaben belasten die Banken mit zusätzlichen administrativen Aufgaben über vermeintliche IT-Risiken und berücksichtigen dabei nicht, dass die zentralisierte IT-Infrastruktur im Falle der Kreditgenossenschaften gerade dafür da ist, hohe Cyber-Sicherheitsstandards im gesamten Verbund zu gewährleisten.

Banken werden schon heute eng kontrolliert

Eine engmaschige und effektive Kontrolle der digitalen Architektur im Finanzsektor ist sinnvoll und heute notwendiger denn je. Allerdings berücksichtigt DORA nicht, dass hierzulande bereits umfangreiche Auflagen gelten, die eng kontrolliert werden. Auf Basis diverser Leitlinien der Europäischen Bankenaufsichtsbehörde EBA und daraus abgeleiteten nationalen Vorgaben durch die BaFin müssen deutsche Banken und deren IT-Dienstleister bereits hohe Cybersicherheit-Standards erfüllen. Mit den sogenannten Bankaufsichtlichen Anforderungen an die IT (BAIT) besitzen deutsche Banken bereits ein umfangreiches Regelwerk zum Umgang mit IT-Risiken. Auch werden die genossenschaftlichen IT-Dienstleister bereits als „kritische Infrastruktur“ durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) eingestuft. Damit unterliegen sie hohen Anforderungen und Meldebestimmungen. Durch diese Vorgaben sind beispielsweise bereits die Berufung von sogenannten Informationssicherheitsbeauftragen oder die Anforderungen an das IT-Risiko- und Notfallmanagement definiert. Hier droht DORA bei Finanzinstituten eine unnötige Doppelregulierung zu schaffen, die zusätzliche Bürokratie verursacht und wenig Mehrwert stiftet.

Darüber hinaus fehlen in DORA Erleichterungen für die IT-Auslagerung auf Verbundebene, die bisher in den MaRisk auf Basis der EBA-Leitlinien formuliert sind. Dazu gehört beispielsweise der Verzicht auf die Erstellung von Ausstiegsprozessen und Handlungsoptionen, die in der Verbundstruktur unnötig ist. Hier sind dringend Nachbesserungen notwendig.

Passgenaue Regeln statt pauschaler Verschärfung

In der Summe verpasst es DORA, Unterschiede in der IT-Architektur im Bankensektor zu berücksichtigen. So belasten die Regeln durch Anpassungskosten viele Banken, ohne ihnen einen Mehrwert bei der Sicherheit zu bieten. Statt sich auf eine generelle Verschärfung der Vorschriften zu konzentrieren, sollte die EU ihr Augenmerk auf Felder richten, die von den bisher bestehenden Regelungen noch nicht abgedeckt sind und auf denen unmittelbare IT-Risiken drohen könnten. Die Platzhirsche am Markt für Cloud-Leistungen wie IBM oder Microsoft erbringen ihre Dienste in unterschiedlichsten Ländern mit teilweise stark variierenden Rechtsvorgaben. Ein Bankkunde muss sich immer sicher sein können, dass seine Daten und Gelder gut geschützt sind, egal wo und unabhängig davon, ob die Bank ihre IT-Leistungen ausgelagert hat. Daher bedarf es einer passgenauen Regulierung, die auch Firmen außerhalb des Bankensektors streng überwacht, sobald diese IT-Dienstleistungen im Finanzbereich erbringen.
 

Felix Ehrenfried ist Referent für Verbandspolitik beim Genossenschaftsverband Bayern.

Artikel lesen
Topthema