Ausblick auf BaFin-Krisenübungen: Lehren aus dem Cyber-Stresstest der EZB
Auch national beaufsichtigte Institute sollten sich auf Angriffs-Simulationen vorbereiten.
Keyfacts:
- Die BaFin schätzt das Cyberbedrohungspotenzial für die von ihr beaufsichtigten Finanzunternehmen als hoch ein – davon zeugen die jüngsten Notfall- und Krisenübungen.
- Wertvolle Erkenntnisse für die Branche liefert der Ablauf des internationalen Cyber-Stresstest der Europäischen Zentralbank (EZB) – an seinen Anforderungen wird sich die deutsche Aufsicht als Blaupause orientieren.
- Als größte Herausforderungen bei der Simulation von Angriffen haben sich hier die tiefgreifenden organisatorischen und technischen Fragestellungen herauskristallisiert – bereichsübergreifende Reaktionen auf die Simulation verlangen den Unternehmen neue Prozesse ab.
Die EZB hat am 11. Januar 2024 den „Cyber Resilience Stress Test“ gestartet. Der erstmals durchgeführte Test soll die Wiederherstellungsfähigkeit der Banken und die Wirksamkeit ihrer fachbereichsübergreifenden Reaktionsmaßnahmen auf einen (simulierten) schweren Cyber-Angriff bewerten. Die Rahmenbedingungen des Tests sowie typische Fragen und Antworten zu seiner Vorbereitung und Durchführung hatten wir bereits hier auf unserem Blog dargestellt.
Von Anfang an war klar, dass der erste Cyber-Stresstest der EZB sehr anspruchsvoll und die Übung komplex sein würde. Denn es gab keine Blaupause, keine Erfahrung mit ähnlichen Tests. Zudem ist der Zeitplan eng gesteckt.
Unsere Erfahrungen: Response-Wege sind im Ernstfall nicht belastbar
Wenngleich die Herausforderungen von Institut zu Institut sehr unterschiedlich waren, sind doch einige Beobachtungen aus unseren Projekten in mehreren EU-Ländern allgemein aufschlussreich. Das gilt etwa für das Thema „Response“: Es sind zwar grundsätzlich Erfahrungswerte aus zurückliegenden Tests vorhanden, aber eben nicht für ein Worst-Case-Szenario und nicht in der Tiefe, in der die Aufsicht das erwartet.
Viele Institute verfügen zum Beispiel nicht über ausreichende Beschreibungen, welche Maßnahmen zu ergreifen sind, wenn ein Cyber-Angriff stattgefunden hat. So ist beispielsweise häufig nicht eindeutig geregelt, welche Kommunikationswege einzuhalten sind und welche Workarounds zum Einsatz kommen. Auch die Art der Datensicherung und der Integritätsschutz reichen nicht aus. Und der Zeitraum für das Wiedereinspielen nach Datenverlusten ist zu groß, so unsere Erfahrung.
Economic Impact: Unsicherheiten und teils unkoordinierte Prozesse
Noch größere Herausforderungen ergaben sich für die meisten Institute im Themenblock „Economic Impact“. Zum einen waren sich viele Institute in der Vorbereitung unsicher, welche internen und externen Informationen herangezogen werden können und wie diese in einer Berechnungsmethodik kombiniert werden können. In unserem FAQ geben wir eine Übersicht in den Kategorien der Schätzung operativer Schäden, der Auswirkungen auf die jeweiligen Kernfunktionen (Key Economic Functions) und Abschätzung der indirekten Verluste.
Zum anderen lag die Herausforderung in der quantitativen und einheitlichen Bewertung im Zusammenspiel zwischen den Fachbereichen, der IT und dem Risiko-Management.
In den anderen Themenbereichen – also „Impact Analysis“, „Recovery“ und „Evidence“ – bestand die häufigste Herausforderung darin, dass Dokumente und Prozesse nicht immer aufeinander abgestimmt waren. Zusätzliche Herausforderungen treten auf, wenn Dienstleister involviert sind. Darüber hinaus gab es Lücken bei der Koordination der Datenwiederherstellung.
Cyber-Krisenübungen zu erwarten: Ausblick für BaFin-regulierte Finanzunternehmen
Diese Erkenntnisse sind nicht nur für die vom Cyber-Stresstest der EZB betroffenen Institute relevant. Sie sind auch für weitere Finanzunternehmen in Deutschland interessant, die von der BaFin beaufsichtigt werden. Denn die BaFin hat erkennen lassen, dass sie IT-Risiken verstärkt in den Fokus nehmen wird, da sie Cyber-Angriffe und IT-Ausfälle als eines der größten Risiken für den Finanzsektor ansieht. Untrennbar verbunden sind solche Simulationen auch mit der Umsetzung des Digital Operational Resilience Act (DORA), den in Deutschland rund 2000 Finanzunternehmen umsetzen müssen.
Im Zentrum von DORA steht das Sicherstellen der Widerstandsfähigkeit (Resilienz), und das beste Mittel dafür sind sicherlich praktische Tests. Die BaFin war bereits im September 2023 Federführer einer zweitätige Cyber-Krisenübung in der deutschen Finanzindustrie.
Blaupause für nationale Tests – viele Fragen, wenig Zeit
Die BaFin folgt mit der Priorisierung von Cyberrisiken auch einer Empfehlung des European Systemic Risk Board (ESRB), der den nationalen Finanzaufsichtsbehörden die Durchführung von Cyber-Stresstests nahelegt, und internationalen Vorbildern wie Dänemark. In Deutschlands nördlichem Nachbarland hat die Bankenaufsicht bereits einen Cyber-Stresstest vorgenommen.
Daher raten wir auch BaFin-beaufsichtigten Finanzunternehmen, sich mit den Erkenntnissen der EZB-beaufsichtigten Institute vertraut zu machen und den Cyber-Stresstest auf europäischer Ebene als Blaupause zu begreifen. So kann die Empfehlung nur lauten, sich frühzeitig auf solche Krisenübungen vorzubereiten. Der umfangreiche Fragebogen, die insgesamt anforderungsreiche Simulation und der enge Zeitplan sollten Branchenteilnehmern als Richtschnur dienen.
