Globale IT-Ausfälle: Ein aktueller Weckruf für Finanzunternehmen
IT-Ausfall: Weckruf für Banken & Co.
Was die weltweite Update-Panne für das Notfallmanagement in der Branche bedeutet
Keyfacts:
- Finanzunternehmen sollten den jüngsten massiven IT-Ausfall zum Anlass nehmen, die Leistungsfähigkeit ihres Business Continuity Managements zu überprüfen.
- Signatur- und Content-Updates sind als Risiko noch besser in den Notfallplänen zu berücksichtigen.
- Regelmäßige Tests der IT-Systeme erhöhen den Schutz.
Börsen, Banken, Versicherungen, Kreditkartenunternehmen, Zahlungsdienste, ganze Finanz-Infrastrukturen auch sie alle waren betroffen: Ein massiver globaler IT-Ausfall hat im Juli 2024 zu erheblichen Störungen geführt, ob am Geldautomaten, im Aktienhandel oder beim Online-Banking.
Der Vorfall hat der Finanzbranche noch einmal vor Augen geführt, wie verwundbar ihre globale digitale Infrastruktur ist – nicht nur durch Cyber-Angriffe, sondern auch durch fehlerhafte Programmierung, mangelhafte Qualitätssicherung oder durch alltägliche Updates. Und da die Komplexität der IT-Systeme, die Abhängigkeit von bestimmten Providern und die weltweite Vernetzung weiter zunehmen, ist davon auszugehen, dass solche Vorfälle in Zukunft häufiger auftreten.
IT-Ausfall: Krisen- und Risikomanagement überprüfen und anpassen
Die stetig steigende Bedrohungslage und die jüngsten Ausfälle sind daher ein Weckruf für Banken und Finanzdienstleister, ihre Notfallpläne stetig weiterzuentwickeln, zu pflegen und Abläufe zu trainieren. Zwar lassen sich Update-Pannen und Cyberangriffe nicht vergleichen, aber sie bedrohen gleichermaßen die Betriebssicherheit von Finanzunternehmen.
Verantwortliche sollten daher ihre bestehenden Krisenmanagement-Rahmenwerke (Crisis Management Framework, CMF) und ihr Risikomanagement daraufhin überprüfen, ob IT-Ausfälle darin ausreichend berücksichtigt sind.
Der Teufel liegt, wie so oft, im Detail. Cyber-Angriffe und Software-Updates werden im Business Continuity Management (BCM) von Banken und anderen Finanzdienstleistern mittlerweile umfassend behandelt und als hohes Risiko erkannt. Anders ist der Fall gelagert bei Signatur- und Content-Updates, die auf Aktualisierungen von Datenbanken, Regeln oder Muster abzielen, die von Softwares verwendet werden.
Sie verfolgen ja gerade das Ziel, schneller auf neue Bedrohungslagen oder Vorgehensweisen von Angreifern zu reagieren. Die jüngsten IT-Ausfälle, die von einem solchen Update ausgelöst wurden, zeigen aber, dass sie sowohl in präventiven als auch reaktiven Plänen noch zu geringe Beachtung finden. Hier sind die Unternehmen gefordert, Lösungen zu finden.
Daher empfiehlt es sich, die weltweite IT-Panne als Weckruf zu verstehen, um die typischen Bestandteile des BCM mit Blick auf die Auswirkungen eines IT-Ausfalls zu überprüfen:
- 1. Business-Impact-Analyse: Analyse der Auswirkungen von Ausfällen auf die Geschäftsprozesse, Identifikation kritischer Prozesse und deren Priorisierung hinsichtlich der Wiederherstellung
- 2. Strategieentwicklung: Entwicklung von Strategien zur Minimierung der Auswirkungen möglicher Ausfälle und zur schnellen Wiederherstellung des Geschäftsbetriebs
- 3. Notfall- und Wiederherstellungspläne: Erstellung und Implementierung detaillierter Pläne zur Aufrechterhaltung und Wiederherstellung des Geschäftsbetriebs
- 4. Schulung und Sensibilisierung: Festlegen der Inhalte und Durchführung von Schulungen und anderen Maßnahmen zur Sensibilisierung der Mitarbeitenden für das Verhalten im Notfall
- 5. Tests und Übungen: Berücksichtigung von IT-Ausfallszenarien in Testumgebungen und Übungen
Cyber-Resilienz: So werden Unternehmen widerstandsfähiger
Experteninterview zu neuen Sicherheitstrends und KI-Strategien
Jetzt lesenMaßnahmen für verschiedene Szenarien im Notfallplan hinterlegen
Darüber hinaus kann es sinnvoll sein, auf einzelne Szenarien abgestimmte Maßnahmen im Notfallhandbuch zu ergänzen. Denn je nach Geschäftsmodell können zum Beispiel bei einem IT-Ausfall Maßnahmen erforderlich sein, die sich von anderen Notfällen (wie Hackerangriffen, Ransomware-Attacken oder Energie-Blackouts) deutlich unterscheiden können.
Diese Empfehlung betrifft insbesondere auch Kommunikationsmaßnahmen. Denn ein IT-Ausfall, der durch automatische und in der Praxis oft nicht geprüfte Content-Updates hervorgerufen wird, kündigt sich nicht an, und seine Ursachen sind schwer zu ermitteln.
Abstimmungsprobleme und lange Wege: Ein Notfall offenbart schnell Defizite
In unserer Beratungspraxis zeigt sich zudem, dass bei einem Notfall schnell Defizite offenbart werden, wenn kein ganzheitlicher Ansatz verfolgt wird. Denn die Prozesse im Business Continuity Management sind häufig nicht mit denen des Security Incident Management und dem allgemeinen Problem Management harmonisiert. Daher sind die Entscheidungswege in manchen Fällen zu lang.
Häufig liegt hier auch ein wesentlicher Grund dafür, dass die Krisenkommunikation nicht die Qualität erreicht, die sie haben sollte. Kommunikative Maßnahmen werden oft erst dann ergriffen, wenn man sich sehr sicher ist, um welche Krisensituation es sich handelt.
Entsprechend viele Personen werden daher eingebunden und Recherchen vorgenommen. Wichtiger wäre in vielen Fällen jedoch, möglichst umgehend Kunden und Geschäftspartner über IT-Ausfälle zu informieren, um Orientierung zu geben und Verärgerung zu vermeiden.
MaRisk und DORA definieren Mindestanforderungen – besser ist es, mehr zu leisten
Die Vorgaben der Mindestanforderungen an das Risikomanagement (MaRisk) verpflichten Banken und Finanzdienstleister, Risiken für das operative Kerngeschäft zu erfassen und Notfallpläne im Rahmen des BCM vorzuhalten. Mit dem Digital Operational Resilience Act (DORA) hat die Europäische Union außerdem für den Finanzsektor eine Regulierung für die Themen Cybersicherheit, IKT-Risiken und digitale operationale Resilienz geschaffen. Gesetzgeber und Aufsichtsbehörden drängen also längst auf Verbesserungen.
Unsere Beobachtungen zeigen, dass sich viele Institute lediglich an den gesetzlichen Mindestanforderungen orientieren. Ratsam ist das nicht. Denn die Anforderungen abstrahieren vom Geschäftsmodell und den Besonderheiten der Institute.
Einmal jährlich Systeme und Prozesse testen – das reicht nicht aus
So verpflichtet DORA Banken und andere Finanzdienstleister beispielsweise dazu, die Notfall- und Wiederherstellungspläne ihres BCM mindestens einmal jährlich sowie bei wesentlichen Änderungen der IKT-Systeme zu testen. Und zum ersten Mal hat die EZB Anfang des Jahres die von ihr beaufsichtigten Institute mit einem Cyber-Stresstest auf erforderliche Maßnahmen geprüft.
Einmal jährlich – das sollte von den meisten Banken und Finanzdienstleistern als absolute Mindestanforderung interpretiert werden. Denn der Ausfall der IT in zentralen Wertschöpfungsbereichen eines Finanzinstituts führt nicht nur zu finanziellen Einbußen, sondern auch zu Vertrauens- und Reputationsverlusten bei Kunden. Auch das haben einige vom IT-Ausfall im Juli 2024 betroffene Unternehmen zu spüren bekommen.
Studie: Von Cyber Security zu Cyber Resilience
Wie widerstandsfähig sind Unternehmen gegen Cyberangriffe? Wir haben Security-Verantwortliche aus 150 Unternehmen aus Deutschland, Österreich und der Schweiz befragt.
Studie herunterladen