EDITORIAL
Liebe Leserinnen und Leser,
wir erleben es jeden Tag: Unsere Welt wird schneller, digitaler, vernetzter. Und damit leider auch anfälliger für Störungen.
Das gilt insbesondere auch für die Finanzwelt – traditionell schon stark vernetzt wachsen die operationellen Abhängigkeiten besonders rasant. Das Nervensystem der modernen Finanzwelt ist weit verästelt und hat in den vergangenen Jahren zahlreiche zusätzliche Synapsen gebildet.
Damit ist es auch empfindlicher geworden. Hausgemachte IT-Pannen oder eine Cyber-Attacke können gravierende Folgen haben, die weit über das unmittelbar von ihnen betroffene Unternehmen hinausreichen. Diese Störungen müssen nicht einmal bei Banken oder Versicherern selbst auftreten. Nein, auch plötzlich auftretende Probleme bei von ihnen beauftragten Dienstleistern können das ganze System beeinträchtigen. Für ihre Dienstleister sollten die Banken eigentlich einen Plan B haben, um ihre Prozesse aufrecht zu erhalten, wenn ihr Dienstleister ausfällt. Sie müssen sich fragen: Wäre es im Fall der Fälle möglich, kurzfristig die ausgelagerten Prozesse selbst wieder zu übernehmen? Wäre es möglich, diese Prozesse kurzfristig an einen anderen Dienstleister zu übergeben? Die ehrliche Antwort wird bei nicht wenigen Banken vermutlich lauten: Nein.
Die Finanzaufsicht beobachtet das zunehmend intensiv, denn insbesondere von Cyber-Attacken geht eine ständig wachsende Gefahr aus. Seit Jahren häufen sich die Vorfälle und in Deutschland ist die Bedrohung laut Bundesamt für Sicherheit in der Informationstechnik so hoch wie nie.
Auch der europäische Gesetzgeber hat das erkannt und mit DORA, dem Digital Operational Resilience Act ein umfassendes und harmonisiertes regulatorisches Rahmenwerk für den Finanzsektor geschaffen. Dieses bietet jede Menge Chancen für einen künftig widerstandsfähigeren Finanzsektor – aber stellt die Institute natürlich auch vor Herausforderungen, wenn es um die fristgerechte Umsetzung der Anforderungen bis Januar 2025 geht.
Der Beitrag von Herrn Jan Kiefer in dieser Ausgabe des BankPraktiker widmet sich den veränderten Anforderungen im Bereich des IKT-Risikomanagements im Vergleich zu den heute geltenden Bankaufsichtlichen Anforderungen an die IT (BAIT) und gibt Hinweise für die Zielgerade der Umsetzungsarbeiten.
Mit den Besten Grüßen aus Bonn
Jens Obermöller
Leiter Gruppe IT-Aufsicht/Cybersicherheit der BaFin