Marcus Michel, Vorstand FCH AG – Verantwortlicher DORA-Qualifizierung
Die digitale Transformation hat Banken nicht nur neue Möglichkeiten eröffnet, sondern auch ihre Abhängigkeit von Informations- und Kommunikationstechnologien (IKT) drastisch erhöht. Damit steigen auch die Risiken: Ein IT-Ausfall, ein Cyberangriff oder die Nichterfüllung regulatorischer Anforderungen können schwerwiegende finanzielle Folgen haben. Die Verordnung (EU) 2022/2554, bekannt als Digital Operational Resilience Act (DORA), nimmt genau diese Herausforderungen in den Fokus und fordert Banken dazu auf, finanzielle Risiken von Störfällen systematisch zu bewerten und zu steuern.
DORA und die Bewertung finanzieller Risiken
DORA definiert Störfälle als operationelle Risiken, die aufgrund von IKT-Problemen entstehen können. Ziel ist es, die Widerstandsfähigkeit von Finanzunternehmen gegenüber Cyberangriffen und anderen digitalen Risiken zu stärken. Konkret fordert die Verordnung die Etablierung eines robusten IKT-Risikomanagements, das die finanziellen Auswirkungen von Vorfällen klar identifiziert und bewertet. Dazu gehören:
- Finanzielle Schadensbegrenzung: Analyse und Bewertung potenzieller Kosten durch Systemausfälle oder Datenverluste.
- Risikoprofilanalyse: Ermittlung der Wahrscheinlichkeit und finanziellen Auswirkungen eines Störfalls.
- Notfallpläne und Tests: Durchführung regelmäßiger Penetrationstests (z. B. TLPT) zur Simulation von Worst-Case-Szenarien.
Wie Banken finanzielle Risiken bewerten können
Eine systematische Bewertung der finanziellen Risiken erfordert mehrere Schritte:
- Identifikation und Quantifizierung von Risiken
Banken sollten alle kritischen IKT-Prozesse und -Systeme identifizieren, deren Ausfall signifikante finanzielle Folgen haben könnte. Typische Beispiele sind Kernbankensysteme, die für den Zahlungsverkehr oder das Kreditmanagement genutzt werden. Eine Bewertung der Schadenshöhe kann dabei helfen, den Fokus auf die gravierendsten Risiken zu legen. - Verknüpfung von Störfällen mit finanziellen Auswirkungen
Störfälle können unterschiedliche Kosten verursachen, darunter direkte Schäden (z. B. Datenverluste, Vertragsstrafen) und indirekte Kosten (z. B. Reputationsverlust). Diese müssen durch Szenarioanalysen und historische Daten quantifiziert werden. - Integration in die Governance
Laut DORA müssen die finanziellen Risiken nicht nur bewertet, sondern auch in die strategische Steuerung integriert werden. Dies umfasst die Berichterstattung an das Management und die regelmäßige Überprüfung der Ergebnisse durch die interne Revision. - Einsatz von Standardframeworks
ISO 27001 bietet hier eine solide Grundlage, da es klare Leitlinien für die risikobasierte Herangehensweise liefert. DORA verlangt, dass bestehende Standards berücksichtigt werden, um eine Harmonisierung mit anderen regulatorischen Anforderungen zu gewährleisten.
Konkrete Praxisfälle
Die Umsetzung der DORA-Vorgaben ist eine anspruchsvolle Aufgabe, die jedoch essenziell für die Finanzstabilität ist. Im Folgenden einige Praxisbeispiele, die die Relevanz der finanziellen Risikobewertung verdeutlichen sollen:
Cyberangriff auf ein Kernbankensystem
Ein mittelgroßes Kreditinstitut wurde Ziel eines Ransomware-Angriffs, der zentrale Systeme lahmlegte. Der Ausfall führte zu Verzögerungen im Zahlungsverkehr und einem erheblichen Reputationsschaden. Dank regelmäßiger TLPT-Tests und klarer Notfallpläne konnte die Bank den Schaden auf etwa 1 Mio. € begrenzen – ein Bruchteil der möglichen Verluste.
Fehlkonfiguration eines Cloud-Dienstleisters
Ein Cloud-Anbieter, der für die Speicherung sensibler Kundendaten verantwortlich war, erlitt durch eine Fehlkonfiguration einen Datenverlust. Neben direkten Kosten in Höhe von 2,5 Mio. € musste die Bank aufgrund der Nichteinhaltung von Datenschutzvorgaben zusätzliche Strafen zahlen. Ein umfassendes IKT-Drittparteienrisikomanagement hätte dies vielleicht verhindern können.
Systemausfall nach einer IT-Migration
Während der Migration kam es zu einem mehrstündigen Ausfall des Online-Bankings. Kunden konnten weder Transaktionen durchführen noch Kontostände abfragen. Die Bank verzeichnete Verluste in Millionenhöhe durch Schadensersatzansprüche und den Abgang mehrerer Großkunden.
Regulatorische Sanktionen wegen Meldepflichtversäumnis
Eine Bank versäumte es, einen IKT-Störfall fristgerecht an die Aufsichtsbehörden zu melden. Neben einer hohen Geldstrafe musste die Bank zusätzliche Investitionen in die Optimierung ihres Meldewesenprozesses tätigen.
Fazit
Die finanzielle Bewertung von Störfällen ist nicht nur eine regulatorische Pflicht, sondern auch eine strategische Notwendigkeit. DORA gibt Banken klare Leitlinien an die Hand, wie sie diese Aufgabe effizient und nachhaltig umsetzen können. Der Schlüssel liegt in einem ganzheitlichen Ansatz, der präventive Maßnahmen, transparente Berichterstattung und regelmäßige Tests vereint. Nur so können Banken die Risiken minimieren und gleichzeitig das Vertrauen von Kunden und Aufsichtsbehörden stärken. Neue interessante Qualifizierungsangebote zu Schnittstellenthemen zwischen Risikomanagement und DORA finden Sie zeitnah auf unserer Homepage.
Beitragsnummer: 22868