- Von Andreas Harms
- 23.01.2024 um 17:19
Das darf man getrost als Warnung verstehen: Die Finanzaufsicht Bafin will künftig bei Risiken in der Informationstechnologie (IT) der Finanzinstitute genauer hinschauen. Cyberattacken oder IT-Pannen seien aus ihrer Sicht die derzeit größten Risiken für die Finanzbranche.
Dabei müssen die Probleme gar nicht mal bei Banken oder Versicherern selbst auftreten. Auch wenn es bei beauftragten Dienstleistern schwierig wird, kann das das ganze System beeinträchtigen. Das geht aus dem Bericht „Risiken im Fokus der Bafin 2024“ hervor.
Bafin warnt vor Niedrigzins und Cyber-Gefahren
Bafin kündigt strengere Kontrolle für Insurtechs an
Bafin-Chef macht Krawall, AfW klatscht Beifall
„Die Unternehmen des Finanzsektors müssen resilient sein – gegen finanzielle und operationelle Risiken“, sagt Bafin-Präsident Mark Branson dazu. Die Finanzbranche verdiene aktuell gut oder sehr gut, meint er weiter. „Von den Gewinnen sollten nicht nur Aktionäre profitieren. Die Risikovorsorge darf nicht zu kurz kommen. Die Unternehmen müssen auch mehr denn je in ihre operationelle Sicherheit und Stabilität investieren.“
Und in noch einer weiteren Hinsicht will die Aufsicht ihren Blickwinkel verändern. Denn in Deutschland ist es in einigen Bereichen offenbar so, dass wenige spezialisierte IT-Dienstleister einen Großteil der Kreditinstitute und Versicherer bedienen. Klumpenrisiken könnte man das nennen. Weshalb die Bafin in diesem Jahr genau solche Risiken aus Konzentrationen genauer betrachten will.
Insgesamt hat sie in ihrem Bericht sieben – zum Teil nicht ganz neue – Risiken ermittelt, die aus ihrer Sicht die Finanzstabilität und Integrität des deutschen Finanzsystems am meisten gefährden könnten. Darauf will sie im laufenden Jahr ihr Augenmerk besonders richten.
Folgende Hauptrisiken sind es:
- Deutliche Zinsanstiege
- Sinkende Preise („Korrekturen“) an den Immobilienmärkten
- Deutlich sinkende Kurse („Korrekturen“) an den internationalen Finanzmärkten
- Ausfall von Krediten an deutsche Unternehmen
- Cyberattacken mit gravierenden Auswirkungen
- Unzureichende Geldwäscheprävention
- Konzentrationen bei der Auslagerung von IT-Dienstleistungen (neues Risiko)
Wobei aus Sicht der Bafin nur Risiko Nummer 1, also das mit den Zinsen, abnimmt und Risiko Nummer 3 zumindest gleichbleibt. Alle anderen nehmen zu. Hinzu kommen drei wesentliche Zukunftstrends, die Risiken bergen und mit denen sich die Bafin und die von ihr beaufsichtigten Unternehmen intensiv befassen müssen:
- Nachhaltigkeit
- Digitalisierung der Finanzbranche
- geopolitische Umbrüche
In ihrem Bericht geht die Bafin auf jedes Risiko ein und erklärt, wie es in den Griff bekommen will. Weil wir das nicht für alle wiedergeben können (herunterladen können Sie ihn hier), beschränken wir uns auf das größte, also das Cyberrisiko. Einige Maßnahmen lauten:
- Die neue EU-Regulierung Dora setzt die Bafin planmäßig bis Mitte Januar 2025 um. In dem Rahmen überwacht sie dann kritische Drittdienstleister aus der Informations- und Kommunikationstechnologie (IKT) und das Meldewesen zu IKT-Vertragsbeziehungen.
- Die Bafin will sich als zentrale Meldestelle (Melde-Hub) für die Finanzbranche etablieren, wenn in der IKT etwas passiert. Damit wolle sie ein detaillierteres Bild der IT-Sicherheitslage erhalten, um schneller und kräftiger reagieren zu können.
- Sie will ein Cyberlagebild erstellen, das zeigt, welche Cyberbedrohungen es für die Finanzwirtschaft gibt, wie verwundbar die beaufsichtigten Unternehmen und deren IT-Dienstleister sind und welche (erfolgreichen) Cyberangriffe es gab.
- Demnächst Probealarme für die IT: Die Bafin will nationale Krisen- und Notfallübungen organisieren, bei denen sie auch die Industrie einbindet. Solche Übungen sollen sicherstellen, dass alle Beteiligten im Ernstfall schnell und koordiniert reagieren.
- Aber sie will nicht nur fordern, sondern auch liefern. So erarbeitet sie gemeinsam mit den G7-Partnern Orientierungshilfen für den Finanzsektor, um dessen Resilienz gegenüber potenziellen Angriffen weiter zu steigern – so etwa die „G7 Fundamental Elements of Ransomware Resilience for the Financial Sector“.
0 Kommentare
- anmelden
- registrieren
kommentieren