Daten, DORA, Dry Run: Fragen und Antworten zum Cyber-Stresstest der EZB
FAQ zum Cyber-Stresstest der EZB
Viele Details sind noch offen – hier kommen die Einschätzungen unserer Expert:innen.
Keyfacts:
- Die Europäische Zentralbank (EZB) stellt 2024 zum ersten Mal die Widerstandsfähigkeit der von ihr beaufsichtigten Institute in Europa auf den Prüfstand – mit einem „Cyber Resilience Stress Test“.
- Der umfangreiche Fragebogen und weitere Bestandteile des Tests lassen Fragen offen – und die genaue Methodik inklusive des konkreten Angriffsszenarios teilt die EZB erst zu einem späteren Zeitpunkt mit.
- Deshalb beantworten wir hier die drängendsten Fragen.
Mit Start im Januar werden die mehr als 100 von der Europäischen Zentralbank (EZB) regulierten Geldhäuser einem Cyber-Stresstest unterzogen. Das Ziel: Die Widerstandsfähigkeit des Bankensystems im Angesicht eines Cyberangriffs zu testen. Die Grundlagen des Tests haben wir bereits in einem ersten Artikel zum Stresstest beschrieben. Ein umfangreicher Fragebogen ist auszufüllen. Außerdem werden die Institute zahlreiche Nachweise liefern müssen, und 20 Häuser werden zusätzlich vor Ort validiert.
Auch für Banken unter Aufsicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ist schon bald eine vergleichbare Übung zu erwarten. Das legt die zweitägige Cyber-Krisenübung der deutschen Finanzwirtschaft von Mitte September nahe, bei der BaFin, Bundesbank, Bundesfinanzministerium und das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeinsam mit elf Finanzunternehmen und IT-Dienstleistern eine Bedrohungslage simuliert haben. Damit wäre der Cyber-Stresstest der EZB auch für national regulierte Institute eine Blaupause und seine Ergebnisse für sie hoch relevant.
Elvira Niedermeier, Peter Hertlein und Tim Breitenstein aus dem Bereich Financial Services von KPMG beraten bereits mehrere Kunden zu den Vorbereitungen und der Durchführung des Cyber-Stresstests. Im Interview beantworten sie die Fragen, die ihnen aktuell am häufigsten gestellt werden.
Frage: In welchem Verhältnis zueinander stehen der Cyber-Stresstest und der Digital Operational Resilience Act (DORA)?
Elvira: DORA wird das Rahmenwerk der Zukunft für Cyber-Resilienz werden. Im deutschen Finanzsektor wird es für mehr als 3.500 Unternehmen im Januar 2025 verbindlich werden. DORA fordert ein Risikomanagement für Informations- und Kommunikationstechnik (IKT), das mehrere Aspekte umfasst: Schutz- und Präventionsmaßnahmen, aber auch Reaktions- und Wiederherstellungsmaßnahmen für Cyber- und sonstige IKT-Risiken.
Der Cyber-Stresstest ist eine gute Methodik, um ein konkretes, relevantes Szenario durchzuspielen. Die Ergebnisse zeigen dann nicht nur der Aufsicht, sondern im ersten Schritt den Instituten selbst, wie sie in Sachen Cyber-Resilienz aufgestellt sind – insbesondere weil der Stresstest simuliert, dass alle präventiven Schutzmaßnahmen gescheitert sind.
Also: Beide, DORA und Cyber-Stresstest, ergänzen einander ziemlich gut. Es ist absehbar, dass der Stresstest ein wiederkehrendes Mittel sein wird, ein umfassendes Lagebild bei den Instituten zu erstellen. Dabei kann zielgerichteter überprüft werden, inwieweit Finanzinstitute auf neue und sich ändernde Cyberbedrohungen reagieren können. Auf Basis von DORA allein ist das nicht möglich. Daher dürfte der Test zur Regelübung werden.
Frage: Welche Erkenntnisse erhofft sich die Aufsicht, welche erhoffen sich die Institute?
Peter: Die EZB möchte natürlich europaweit Erkenntnisse darüber sammeln, wie widerstandsfähig die einzelnen Institute aufgestellt sind. Vor allem die Wiederherstellungskapazitäten stehen dabei im Mittelpunkt des Interesses: Wie ist es im Ernstfall um sie bestellt, wie sähen die Auswirkungen auf den Finanzmarkt aus und welche Konzentrationsrisiken liegen gegebenenfalls bei Auslagerungen an Dienstleister vor?
Abzuwarten bleibt, welche weiteren Erkenntnisse aus dem Test mittelfristig in die laufende Aufsichtstätigkeit eingehen. Es ist absehbar, dass die Aufsicht allgemeine Prüfungsschwerpunkte für die Branche setzen wird, um eine Verbesserung bei möglichen Defiziten herbeizuführen.
Und natürlich erhoffen sich auch die Institute selbst Erkenntnisse in Vorbereitung auf einen Ernstfall. Sie sehen das als Chance, sich zu testen. Das stellen wir in Gesprächen mit Kunden derzeit immer wieder fest: Die Banken wollen umfassend für den Ernstfall vorbereitet sein und wissen, wo sie im Vergleich zum Wettbewerb stehen.
Frage: Welche Daten werden als Grundlage benötigt für die Angaben zu den wirtschaftlichen Auswirkungen („Economic Impact“) und wird es etwa eine direkte Anforderung quantitativer Daten geben, zum Beispiel von Säule-II-Werten?
Tim: Der Test sieht vor, dass Banken abschätzen, welche wirtschaftlichen Auswirkungen das von der EZB gewählte Cyber-Szenario im Ernstfall haben würde. Aus dem Fragebogen selbst ist keine direkte Verbindung zu quantitativen Daten oder Ergebnissen der Säule-II-Modelle herauszulesen. Nichtdestotrotz sollten große Abweichungen zwischen bestehenden Cyber-Operational-Risk-Szenarien als Datenpunkte für das Operational-Risk-Säule-II-Modell und dem Cyber-Resilience-Stresstest-Szenario analysiert werden.
Nach unseren Erfahrungen können unter anderem folgende Daten und Informationen in die Bewertung des „Economic Impact“ einbezogen werden:
- Schätzung der operativen Schäden: interne und externe Schadensfälle, Operational-Risk-Szenarien mit Bezug zum Cyberangriff, IT-Ausfall, IT-Dienstleisterausfall, Informationen über abgeschlossene Versicherungen (zum Beispiel Cyber-Versicherung)
- Schätzung der Auswirkungen auf die jeweiligen Kernfunktionen (Key Economic Functions): aktuelle FINREP-Daten beziehungsweise Critical-Functions-Report-Daten, die für die institutsspezifische Kernfunktion relevant sind
- Schätzung der indirekten Verluste: aktuelle Reputationsrisiko-Szenarien
Frage: Welches Cyber-Szenario ist zu erwarten?
Peter: Die genaue Methodik des Stresstests gibt die EZB erst am 22. November 2023 bekannt. Klar ist aber: Das Stresstest-Szenario wird so gestaltet sein, dass ein ernsthaftes (die Aufsicht formuliert: relevantes) Cyber-Angriffsszenario auf die Banken zukommt.
Unsere Einschätzung lautet, dass es um eines der drei Angriffsthemen gehen wird:
- Integritätsfehler in Datenbanken, die dem Kernbankensystem zugrunde liegen: Dadurch werden Falschzahlungen ausgelöst und das Institut möglicherweise dazu gezwungen, das Kernbankensystem abzuschalten und eine strukturierte Fehleridentifikation vorzunehmen, Lösungen herbeizuführen und im Anschluss den Recovery-Prozess zu starten.
- Angriff auf einen IT-Dienstleister, der Teile des oder das gesamte Kernbankensystem bereitstellt: In diesem Fall müssen die Banken sehr eng mit diesem Dienstleister zusammenarbeiten.
- Ransomware: Die Daten innerhalb der Systeme werden verschlüsselt und in der Folge fällt das Kernbankensystem aus.
Frage: Wie hoch werden die Aufwände für die Vorbereitung sein?
Peter: Die Aufwände für die Vorbereitung und Durchführung des Stresstests können insbesondere bei der Gruppe, die einer erweiterten Prüfung unterzogen wird, erheblich sein. Das hat auch damit zu tun, dass sich die Mitarbeitenden, die involviert sind, bei vielen Banken über zahlreiche Funktionen im Haus verteilen und ihre Tätigkeiten oft noch nicht ausreichend miteinander verzahnt sind.
Wir empfehlen, jetzt im Zusammenwirken mehrerer Abteilungen und Einheiten in der Bank ein Drehbuch für den Ablauf des Tests zu entwickeln und die Rollen und Aufgaben klar zuzuweisen. Dazu gehört das Aufsetzen eines Projekts mit den beteiligten Three Lines of Defense und das Identifizieren der zentralen Ansprechpartner und Fachexperten.
Im Fall einer Auslagerung sollte eine frühzeitige Kontaktaufnahme und Koordination mit internen und externen (IT-)Dienstleistern erfolgen. Hilfreich sind außerdem das vorausschauende Identifizieren plausibler und schwerwiegender Testszenarien für kritische Kernbankensysteme und Dry Runs, die den Ernstfall proben.