Keyfacts:

• Die BaFin schätzt das Cyberbedrohungspotenzial für die von ihr beaufsichtigten Finanzunternehmen als hoch ein – davon zeugen die jüngsten Notfall- und Krisenübungen.
• Wertvolle Erkenntnisse für die Branche liefert der Ablauf des internationalen Cyber-Stresstest der Europäischen Zentralbank (EZB) – an seinen Anforderungen wird sich die deutsche Aufsicht als Blaupause orientieren.
• Bereichsübergreifende Reaktionen auf Simulationsübungen verlangen den Unternehmen neue Prozesse ab.

Die EZB hat am 11. Januar 2024 den „Cyber Resilience Stress Test“ gestartet. Der erstmals durchgeführte Test soll die Wiederherstellungsfähigkeit der Banken und die Wirksamkeit ihrer fachbereichsübergreifenden Reaktionsmaßnahmen auf einen (simulierten) schweren Cyber-Angriff bewerten. Die Rahmenbedingungen des Tests sowie typische Fragen und Antworten zu seiner Vorbereitung und Durchführung hatten wir bereits hier auf unserem Blog dargestellt.

Von Anfang an war klar, dass der erste Cyber-Stresstest der EZB sehr anspruchsvoll und die Übung komplex sein würde. Denn es gab keine Blaupause, keine Erfahrung mit ähnlichen Tests. Zudem ist der Zeitplan eng gesteckt.

Response-Wege und ‚Economic Impact‘ im Fokus

Wenngleich die Herausforderungen von Institut zu Institut sehr unterschiedlich waren, ist doch klar: Die Response-Wege und der ‚Economic Impact‘ waren der Aufsicht besonders wichtig. In unserem FAQ geben wir eine Übersicht in den Kategorien der Schätzung operativer Schäden, der Auswirkungen auf die jeweiligen Kernfunktionen (Key Economic Functions) und Abschätzung der indirekten Verluste.

Ein weiterer Schwerpunkt ist das Zusammenwirken mehrerer Abteilungen und Einheiten in der Bank, das die beteiligten Three Lines of Defense und das Identifizieren der zentralen Ansprechpartner und Fachexperten involviert.

Zum anderen lag die Herausforderung in der quantitativen und einheitlichen Bewertung im Zusammenspiel zwischen den Fachbereichen, der IT und dem Risiko-Management.

In den anderen Themenbereichen – also „Impact Analysis“, „Recovery“ und „Evidence“ – bestand die häufigste Herausforderung darin, dass Dokumente und Prozesse nicht immer aufeinander abgestimmt waren. Zusätzliche Herausforderungen treten auf, wenn Dienstleister involviert sind. Darüber hinaus gab es Lücken bei der Koordination der Datenwiederherstellung.

Cyber-Krisenübungen zu erwarten: Ausblick für BaFin-regulierte Finanzunternehmen

Diese Erkenntnisse sind nicht nur für die vom Cyber-Stresstest der EZB betroffenen Institute relevant. Sie sind auch für weitere Finanzunternehmen in Deutschland interessant, die von der BaFin beaufsichtigt werden. Denn die BaFin hat erkennen lassen, dass sie IT-Risiken verstärkt in den Fokus nehmen wird, da sie Cyber-Angriffe und IT-Ausfälle als eines der größten Risiken für den Finanzsektor ansieht. Untrennbar verbunden sind solche Simulationen auch mit der Umsetzung des Digital Operational Resilience Act (DORA), den in Deutschland rund 2000 Finanzunternehmen umsetzen müssen.

Im Zentrum von DORA steht das Sicherstellen der Widerstandsfähigkeit (Resilienz), und das beste Mittel dafür sind sicherlich praktische Tests. Die BaFin war bereits im September 2023 Federführer einer zweitätige Cyber-Krisenübung in der deutschen Finanzindustrie.

Blaupause für nationale Tests – viele Fragen, wenig Zeit

Die BaFin folgt mit der Priorisierung von Cyberrisiken auch einer Empfehlung des European Systemic Risk Board (ESRB), der den nationalen Finanzaufsichtsbehörden die Durchführung von Cyber-Stresstests nahelegt, und internationalen Vorbildern wie Dänemark. In Deutschlands nördlichem Nachbarland hat die Bankenaufsicht bereits einen Cyber-Stresstest vorgenommen.

Daher raten wir auch BaFin-beaufsichtigten Finanzunternehmen, sich mit den Details des ersten EZB-Cyber-Stresstests vertraut zu machen und ihn als Blaupause zu begreifen. So kann die Empfehlung nur lauten, sich frühzeitig auf solche Krisenübungen vorzubereiten. Der umfangreiche Fragebogen, die insgesamt anforderungsreiche Simulation und der enge Zeitplan sollten Branchenteilnehmern als Richtschnur dienen.