Angriffssicher? Der Cyber-Stresstest der EZB

Der Cyber-Stresstest der EZB

Die Aufsicht testet die Banken auf Resilienz – zum ersten Mal in Sachen Cyberangriffe

Keyfacts:

  • Mit einem „Cyber Resilience Stress Test“ testet die Europäische Zentralbank Anfang 2024 die Widerstandsfähigkeit von mehr als 100 Kreditinstituten gegen Cyberangriffe.
  • Um den Test zu bestehen, ist die enge funktionsübergreifende Zusammenarbeit verschiedener Einheiten der ersten, zweiten und dritten Verteidigungslinie erforderlich – keine leichte Übung.
  • Banken sollten sich frühzeitig mit den genauen Anforderungen des Cyber-Stresstests vertraut machen und die To dos in den verschiedenen Phasen des Tests in den Blick nehmen.

Es ist ein Novum, das angesichts zunehmender Gefahren aber absehbar war: Die Europäische Zentralbank (EZB) stellt 2024 zum ersten Mal die Widerstandsfähigkeit der von ihr beaufsichtigten Institute in Europa auf den Prüfstand. Der erste Cyber-Stresstest (offiziell: „Cyber Resilience Stress Test 2024“) wird die operationale Widerstandsfähigkeit der Kernbankensysteme gegenüber schwerwiegenden, aber plausiblen Cyber-Sicherheitsereignissen bewerten. Der Stresstest beginnt am 11. Januar 2024 und betrifft insgesamt mehr als 100 europäische Banken.

Zweistufiger Test zu einem Cyber-Angriffsszenario

Die genaue Methodik des Stresstests gibt die EZB erst am 22. November 2023 bekannt. Und doch stehen schon viele Eckpunkte fest. So werden alle betroffenen Banken einen umfangreichen Fragebogen mit voraussichtlich fast 480 Fragen zu den potenziellen Auswirkungen eines Cyberangriffs-Szenarios sowie Abfragen zu den geplanten Reaktions- und Wiederherstellungsmaßnahmen in einem solchen Fall beantworten müssen.

Darüber hinaus werden Angaben zu den wirtschaftlichen Auswirkungen erforderlich sein, um nicht nur die IT, sondern auch die Auswirkungen auf den Geschäftsbetrieb zu beleuchten. Ihre Angaben müssen die Geldhäuser durch entsprechende Nachweise belegen.

Der Test ist zweistufig aufgebaut und unterscheidet einen vereinfachten („Lighter Assessment“) und einen vertieften Ansatz („In-Depth Exercise“): Im vereinfachten Ansatz müssen alle Institute innerhalb von zwei Monaten den Fragebogen ausfüllen, entsprechende Nachweise erbringen und Cyber-Vorfallsmeldungen an die EZB geben.

Dabei muss die erste Meldung – entsprechend den Anforderungen des „Single Supervisory Mechanism (SSM) Cyber-Incident Reporting Framework“ – innerhalb von zwei Stunden nach dem Entdecken des Vorfalls erfolgen.

Der vertiefte Ansatz – er betrifft 20 ausgewählte Kreditinstitute – sieht vor, dass die Banken auf das entworfene Szenario zugeschnittene Wiederherstellungstests tatsächlich durchführen und das durch detaillierte Protokolle ihrer Aktivitäten und Ergebnisse nachweisen. Die vorgelegten Nachweise werden anschließend von der Aufsicht vor Ort validiert.

Unser Schaubild zeigt die Timeline für die verschiedenen Phasen des Cyber-Stresstests: Er endet für den vereinfachten Ansatz am 29. Februar 2024 mit der Einreichung des Fragebogens und der Nachweise.

Im vertieften Ansatz müssen die Banken zusätzlich die Nachweise für den Wiederherstellungstest vorlegen. Danach beginnt die Vor-Ort-Validierung aller Nachweise durch die Aufsicht, deren Ende für den 30. April 2024 vorgesehen ist.

Enge funktionsübergreifende Zusammenarbeit der drei Verteidigungslinien

Bis zum 30. Juni 2024 werden die Ergebnisse des Stresstests in den Supervisory Review and Evaluation Process (SREP) 2024 einfließen, insbesondere in Form von Bewertungen des operationellen Risikos und der qualitativen Anforderungen. Sie werden in horizontalen Berichten und Erfahrungsberichten zusammengefasst.

Das erfolgreiche Bestehen des Cyber-Stresstests erfordert eine funktionsübergreifende Zusammenarbeit verschiedener Einheiten der ersten, zweiten und dritten Verteidigungslinie und bezieht neben dem Business Continuity Management (BCM) und dem IT Service Continuity Management (IT-SCM) auch die Fachbereiche, das Risikomanagement und gegebenenfalls das Auslagerungsmanagement mit ein. Daneben müssen im Fall einer Auslagerung des betroffenen Kernbankensystems und darunter liegenden Datenbanken die (IT-)Dienstleister eingebunden werden.

Banken müssen einiges unter Beweis stellen – keine leichte Übung

Die Nachweise bestehen aus wichtigen Richtlinien und Prozessen zur Regelung relevanter Teile der Reaktions- und Wiederherstellungsprozesse und umfassen beispielsweise Pläne und Testergebnisse für den Notbetrieb und die Wiederherstellung des operativen Betriebs, aber auch die Dokumentation der internen Kontrollprozesse und -ergebnisse in Bezug auf IT- und Sicherheitsrisiken. Daneben müssen die wirtschaftlichen Auswirkungen mit Daten aus dem Finanzcontrolling und der Abwicklungs-/ Sanierungsplanung der Banken belegt werden.

Für uns ist deshalb klar: Auch wenn das genaue Szenario des Tests noch nicht bekannt ist, werden Banken die funktionsübergreifende Zusammenarbeit der Lines of Defense und insbesondere die technische Wiederherstellungsfähigkeit unter Beweis stellen müssen – bis hin zum Outsourcing. Das ist keine leichte Übung.

Fragebogen zeitig sichten, zügig in die Vorbereitung starten

Damit genügend Zeit und entsprechende Kapazitäten zur Verfügung stehen, sind die betroffenen Institute gut beraten, sich so früh wie möglich mit den Testanforderungen vertraut zu machen und in die Vorbereitungen zu starten. Folgende Schritte empfehlen wir:

Vorbereitungsphase:

  • Frühzeitiges Aufsetzen eines Projekts einschließlich Zeit- und Ressourcenplanung
  • Identifizierung zentraler Ansprechpartner und Fachexperten in den Bereichen BCM, IT-SCM, Management der Informationssicherheit (ISMS), Risikomanagement sowie den Fachbereichen sowie gegebenenfalls dem Auslagerungsmanagement, Aufsetzen von Sensibilisierungsmaßnahmen
  • Gründung einer Arbeitsgruppe zur Koordination einer Status-quo-Analyse der erforderlichen Nachweise, zur Erstellung eines Aktivitätenplans (Playbook) und zur Vorbereitung der Datenlieferung
  • Identifizierung des Kernbankensystems und Ableitung des Ansatzes zur Berechnung der wirtschaftlichen Auswirkungen („Economic Impact“)
  • Thematische Strukturierung des Fragebogens und Verprobung der Antworten auf Basis eines wahrscheinlichen Cyber-Szenarios im Rahmen einer Gap-Analyse
  • Abstimmung der Ergebnisse mit dem Senior Management und mit relevanten Stakeholdern
  • Im Falle einer Auslagerung sollte eine frühzeitige Kontaktaufnahme und Koordination mit internen und externen (IT-)Dienstleistern erfolgen.
  • Durchführung von Testläufen, zum Beispiel von Cyber-Tabletop-Tests und Tests des Cyber-Meldeverfahrens
  • Vor dem Start des Stresstests ist außerdem das Project Management Office (PMO) zu definieren und zu gestalten. Hierzu gehört das Festlegen von Verantwortlichkeiten, das Bestimmen von Hauptansprechpersonen, das Aufsetzen der Struktur und die Etablierung des PMO als Kontakt zu den Aufsichtsbehörden während des Stresstests.

Durchführung/Testphase:

Mit diesen Vorbereitungen sollten Banken für den Start des Stresstests im Januar 2024 gut gerüstet sein – und stellen sich gleichzeitig passend für die Vor-Ort-Validierung und die Nachbereitung auf. Dann stehen Vor-Ort-Validierungsgespräche mit der Aufsicht und das Abstimmen von Ergebnissen mit dieser im Mittelpunkt.

Eine gründliche Vorbereitung ist der Schlüssel, um die Erwartungen der EZB zu erfüllen und um Überraschungen zu vermeiden. Mit dem Ziel, den Status-quo der Widerstandsfähigkeit eines Instituts gegen die immer häufigeren Cyberangriffe zu ermitteln und optimale Ergebnisse zu erreichen.