Daniel Zimmermann, Kriminalhauptkommissar, Kriminalinspektion 3 – Wirtschaftskriminalität, Polizeipräsidium Heilbronn

I. Einleitung

Das BCM (Business Continuity Management) / Notfallmanagement gewinnt bei den Instituten immer weiter an Bedeutung. Zahlreiche Feststellungen bei Sonderprüfungen sowie der einfache Blick auf die Kriminalstatistiken zeigen die Notwendigkeit von Maßnahmen und Überprüfung der gelebten Praxis bei Unternehmen der Finanzbranche.

1. Was versteht man unter BCM?

Unter der Überschrift „Business Continuity Management“ versteht man einen ganzheitlichen Managementprozess, der das Ziel hat, gravierende Risiken für ein Unternehmen frühzeitig zu erkennen und geeignete (Gegen-)Maßnahmen durch geplante und strukturierte Vorgehensweisen zu implementieren. Durch schnelles, zielgerichtetes Reagieren soll innerhalb eines eingetretenen Krisenfalls die Möglichkeit bestehen, zeitkritische Geschäftsprozesse schnell und nachhaltig trotz erschwerter Bedingungen wiederaufzunehmen. Neben dem Schutz von (materieller sowie IT-lastiger) Infrastruktur umfasst das Business Continuity Management auch das Bereithalten von zusätzlichen Dienstleistungen, Reservesystemen, insbesondere für Handel und Abwicklung, Notbüros und -handelsräumen. Diese separate Infrastruktur soll dafür sorgen, dass die Unternehmens- und Geschäftsabläufe auch im Katastrophenfall nur unwesentlich beeinträchtigt werden bzw. zeitnah wieder reaktiviert werden können.

Die Notwendigkeit dieses Managementprozesses ergibt sich aus der Betrachtung der letzten Jahre und der damit verbundenen Krisen, welche Deutschland und die Welt erleben und überstehen mussten. Neben globalen Krisen durch die Auswirkungen der Pandemie, der Zunahme an internationaler Finanzkriminalität und neuer Bedrohungen der IT-Infrastruktur kam es jedoch immer wieder auch zu regionalen Krisen wie der Flut im Ahrtal.

Das Szenario der einzelnen Krisen musste also, die jüngste Vergangenheit betrachtend, um den Bereich der Naturkatastrophen erweitert werden.

2. Wie integriert sich DORA in den Prozess ein?

Der Digital Operational Resilience Act (DORA) ist eine neue EU-Verordnung, die im Januar 2023 in Kraft getreten ist. Sie ist Teil des digitalen Finanzpakets der EU-Kommission mit dem Ziel, die digitale Widerstandsfähigkeit des europäischen Finanzmarkts zu erhöhen. Es soll sichergestellt werden, dass Finanzmarktteilnehmer auch bei größeren Vorfällen, die die Informations- und Kommunikationstechnologie (IKT) betreffen, sicher und zuverlässig weiterarbeiten.

Für von der Verordnung betroffene Unternehmen gilt für die vollständige Umsetzung der Verordnung eine Übergangsfrist bis Januar 2025.

Dass gerade der Bereich der Informations- und Kommunikationstechnologie (IKT) einer genaueren Überprüfung standhalten muss, möchte ich Ihnen im folgenden Beitrag aufzeigen.

  [...]
Beitragsnummer: 22449