Aktionen
Artikel
#Onepager
07.01.2021

Standpunkt Cybersicherheit

Verbünden Rechnung tragen und Resilienz stärken 
Kernforderungen
  • Vorteile der IT-Auslagerung von Banken im Verbund erhalten – Verbünde bei Mehranbieter-Strategie ausnehmen
  • Aufsicht über EU-weit tätige Cloud-Anbieter gezielt ausbauen statt pauschale Verschärfung für alle Finanzinstitute  
Worum geht es?
Was bedeutet Cyber-Resilienz? 

Cyber-Resilienz bezeichnet die Widerstandsfähigkeit der Informations- und Kommunikationstechnik (IKT) von Banken und Finanzunternehmen gegen Angriffe von Außen. Im Fokus der Angreifer stehen die Systeme der Unternehmen oder auch die Daten von Kunden. Um den Schutz zu erhöhen, haben Banken in den letzten Jahren verstärkt in die Cyber-Resilienz ihrer Systeme investiert. Dieser Einsatz wird honoriert. Das Vertrauen der Kunden in die Sicherheit ihrer Daten bei Banken ist sehr hoch. 

Die EU-Kommission hat eine Verordnung zur Stärkung der Cyber-Resilienz im Finanzwesen vorgelegt.

Der Digital Operational Resilience Act (DORA) vereinheitlicht die aufsichtlichen Anforderungen an die IT-Sicherheit von Finanzanbietern. Die Aufsicht wird auf IT-Dienstleister im Finanzsektor ausgeweitet. Das betrifft auch die Genossenschaftsbanken. Sie haben Großteile der IT an einen zentralen IT-Dienstleister, die Fiducia & GAD IT AG ausgelagert, um Synergien zu heben. Die Fiducia & GAD IT AG befindet sich im Besitz der Banken und wird durch diese gesteuert.

Den Verbundstrukturen der Genossenschaften trägt DORA nicht ausreichend Rechnung.

DORA verlangt von den Banken eine „Mehranbieter-Strategie“. Diese verpflichtet die Institute, Abhängigkeiten bei der IT-Auslagerung an eine oder wenige IT-Dienstleister offenzulegen und die Zusammenstellung von Dienstleistern zu erläutern. Eine solche Regelung stellt die etablierte Arbeitsteilung in der genossenschaftlichen Finanzgruppe über die Fiducia & GAD IT AG infrage. Für kleine und mittlere Banken wird es dadurch schwerer, Synergien in der IT-Entwicklung zu nutzen und ihre IT-Sicherheit zu stärken. Eine Mehranbieter-Strategie ist für den Verbund zudem nicht zielführend. Im Gegensatz zu anderweitigen IT-Dienstleistern sichern die Verbundstrukturen eine effektive Kontrolle der Fiducia & GAD IT AG durch die Banken.

Die Verordnung geht deutlich über eine Harmonisierung hinaus.

DORA verschärft die aufsichtlichen Anforderungen an Banken massiv. Das ist unverhältnismäßig. Denn Banken unterliegen schon strengen aufsichtlichen Anforderungen wie EBA-Leitlinien und BaFin-Standards, die sowohl die IT-Sicherheit als auch das Outsourcing regeln. Aufsicht und Abschlussprüfer nehmen die IT-Systeme der Banken regelmäßig unter die Lupe. Das gewährleistet eine hohe Widerstandsfähigkeit. Eine pauschale Verschärfung der Anforderungen an Banken ist nicht zielführend.

DORA muss sich auf eine Harmonisierung beschränken und nationale Besonderheiten berücksichtigen.

Banken, die ihre IT in Finanzverbünden ausgelagert haben, sollten von einer Mehranbieter-Strategie befreit werden. Statt pauschal die Anforderungen an Finanzinstitute zu verschärfen, sollte sich DORA darauf konzentrieren, z.B. europaweit tätige Anbieter von Cloud-Computing-Dienstleistungen im Finanzsektor zu regulieren. Diese Anbieter unterliegen bisher keinem aufsichtlichen Rahmen, obwohl sie kritische Funktionen für Finanzanbieter übernehmen.

Aktionen

SIE BENUTZEN EINEN VERALTETEN BROWSER

Um den vollen Funktionsumfang dieser Webseite zu erfahren, benutzen Sie einen neueren Browser (z. B. Google Chrome oder Mozilla Firefox).