Cybersicherheit und betriebliche Widerstandsfähigkeit: Herausforderungen für den Finanzsektor

Dr. Anastasia Kotovskaia, LL.M. leitet den Fachbereich Finanzmärkte & Informationstechnologie am Centrum für Europäische Politik in Berlin. Als Rechtsexpertin im europapolitischen Think Tank liefert sie umfassendes Hintergrundwissen zu politischen Vorschlägen der EU, bewertet diese und entwirft umsetzbare politische Optionen für Europa. Sie ist Autorin mehrerer Veröffentlichungen in den Bereichen Recht, Finanzen und Informationstechnologie. Wir haben sie nach ihrer Meinung zur IT-Sicherheit im Finanzsektor gefragt

Die digitale Revolution hat zur Entwicklung von digitalen Technologien im Finanzsektor beigetragen. Banken bieten ihren Geschäftspartnern und Kunden mobile Anwendungen und Online-Banking-Systeme, über die alle grundlegenden Bankgeschäfte aus der Ferne zum gewünschten Zeitpunkt abgewickelt werden können. Beliebte Services wie Online-Banking und Banking-Apps erweitern die Angriffsfläche für Cyberkriminelle. Sicherheitsschwachstellen können gravierende Folgen für den gesamten Sektor hervorrufen. Allein im Jahr 2021 betrugen die jährlichen Verluste durch Cyberkriminalität 5,5 Billionen Euro weltweit. Die Betrugsmaschen werden dabei immer raffinierter. Cyberangriffe zielen in der Regel darauf ab, sich Zugang zu sensiblen Daten zu verschaffen, diese zu verändern oder betrügerisch zu verwenden, Geld von NutzerInnen zu stehlen oder Geschäftsabläufe zu stören. Die Umsetzung wirksamer Maßnahmen zum Schutz von Betriebssystemen, Programmen und Netzwerken vor Cyberangriffen ist für das Funktionieren eines Finanzunternehmens unerlässlich.

Um Transaktionen abzuwickeln und Finanzdienstleistungen anbieten zu können, benötigen Finanzunternehmen den Zugang zu sensiblen Daten ihrer KundInnen. Sie werden auf dem internen Speicher des Finanzunternehmens gelagert. Solche Daten umfassen Zahlungskarteninformationen, Kreditauskünfte sowie persönliche Daten und sind ein attraktives Ziel für Cyberkriminelle. Sollte eine Sicherheitslücke entstehen, können Hacker direkten Zugriff auf die sensiblen Daten der KundInnen erhalten und diese zu ihrem Vorteil nutzen. Daher ist es von entscheidender Bedeutung, dass die Speicherlösungen der Finanzunternehmen fortdauernd sicher sind und jede auftretende Anfälligkeit umgehend entdeckt und behoben wird. Finanzunternehmen stehen unter hohem Wettbewerbsdruck. Sie führen zunehmend neue digitale Produkte und Dienstleistungen ein, damit sie in der Lage sind, den Wünschen ihrer KundInnen gerecht zu werden. Der Einsatz modernster, aber weniger bewährter Technologien kann zu neuen Cyberrisiken im Finanzsektor führen. Banken und FinTech-Unternehmen verwenden häufig Software von Drittanbietern, was einen Engpass in Bezug auf die Sicherheit darstellen kann. Hacker können Systemschwächen ausnutzen, um auf sensible Informationen zuzugreifen und sie für Finanzbetrug und Datendiebstahl zu verwenden. Da immer mehr Softwaresysteme und Daten in der Cloud gespeichert werden, nehmen auch cloudbasierte Angriffe zu. Finanzunternehmen müssen sicherstellen, dass die technische Infrastruktur sicher konfiguriert ist, um sich vor schädlichen Angriffen zu schützen.

Unternehmen stehen heute zunehmend unter dem Druck, gesetzliche Anforderungen zu erfüllen sowie ein hohes Maß an betrieblicher Widerstandsfähigkeit und Cybersicherheit aufrechtzuerhalten. In der letzten Zeit wurde eine Reihe von wegweisenden Verordnungen auf EU-Ebene verabschiedet. Im Mittelpunkt stehen vor allem die Richtlinie über Netz- und Informationssicherheit 2 (NIS2), die einen horizontalen Rahmen für die Cybersicherheit festlegt, und der Digital Operational Resilience Act (DORA), der die Regeln für die Gewährleistung betrieblicher Widerstandsfähigkeit speziell für Finanzdienstleister etabliert. Beide Verordnungen wurden am 28. November 2022 verabschiedet. Sowohl DORA als auch die NIS2-Richtlinie erfordern weitere technische Regulierungs- und Umsetzungsstandards, die von der EBA, der ESMA und der EIOPA voraussichtlich Ende 2023 oder Anfang 2024 angenommen werden, um die Einzelheiten der Anwendung der neuen regulatorischen Anforderungen zu konkretisieren. Den europäischen Rechtsrahmen zur Stärkung des gesamten Cybersicherheitsniveaus rundet der Cyber Resilience Act (CRA) ab, der sich noch im Legislativverfahren befindet.

Die Richtlinie über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union (bekannt als Richtlinie zur Netz- und Informationssicherheit 2, NIS2) enthält die Cybersicherheitsanforderungen für Unternehmen, die für das Funktionieren der Gesellschaft essentiell sind. Darunter fallen unter anderem Banken, zentrale Gegenparteien und Betreiber von Handelsplätzen. Alle Einrichtungen, die in den Anwendungsbereich der NIS2 fallen, sind verpflichtet, die notwendigen technischen, betrieblichen und organisatorischen Maßnahmen zu ergreifen, um die Sicherheitsrisiken von Netz- und Informationssystemen zu adressieren und die negativen Folgen eines Cybervorfalls zu vermeiden. Die Richtlinie sieht umfassende Anforderungen an das Risikomanagement, das System für eine unverzügliche Meldung von Sicherheitsvorfällen an die Aufsichtsbehörden sowie an umfangreiche Notfallpläne, die im Falle einer Sicherheitsbedrohung oder eines Cyberangriffs anzuwenden sind, vor. Die NIS2-Richtlinie bestimmt eindeutig, dass die Maßnahmen zum Risikomanagement im Zuständigkeitsbereich der Leitungsorgane des Unternehmens liegen. Dies bedeutet, dass die Leitungsorgane im Falle der Nichteinhaltung der Vorschriften der NIS2 haftbar werden. Die Maßnahmen zum Risikomanagement müssen insbesondere die folgenden Elemente umfassen:

• Risikoanalyse,
• Sicherheitskonzepte für Informationssysteme,
• Mechanismen zur Bewältigung und Vorbeugung von Cybervorfällen,
• Back-up- und Krisenmanagement,
• Maßnahmen zur Gewährleistung der Sicherheit von Lieferketten,
• Schulungen des Personals zur Cybersicherheit,
• Einsatz von Multi-Faktor-Authentifizierung und Verschlüsselungstechniken.

Die NIS2 etabliert die einheitlichen Regelungen zum Umgang mit den Cybersicherheitsrisiken für alle Einrichtungen in ihrem Anwendungsbereich. Für Finanzinstitute gelten allerdings zusätzliche, sektorspezifische Vorgaben, die als „lex specialis“ anzuwenden sind. Dies bedeutet, dass für Banken und andere Finanzunternehmen die Vorschriften der Verordnung zur Betriebsstabilität digitaler Systeme des Finanzsektors (DORA) Vorrang vor den Regelungen der NIS2 haben. Davon sind vor allem die Vorschriften zum Management von Cyberrisiken und zur Meldung von Cyberbedrohungen und -vorfällen betroffen. Die NIS2 muss zum 17. Oktober 2024 in nationales Recht umgesetzt werden. Dann werden ihre Vorschriften in allen EU-Mitgliedstaaten anwendbar.

Im Finanzsektor gab es bereits vor der Verabschiedung von DORA verschiedene Anforderungen, die die zentralen Kategorien des Finanzrisikos wie Kredit-, Markt-, Gegenparteiausfall-, Liquiditäts- und Marktverhaltensrisiko umfassen. Diese Verordnungen sind den Umgang mit dem operationellen Risiko bei der Zuweisung von Kapital angegangen, allerdings wurden nicht alle Komponenten der betrieblichen Widerstandsfähigkeit umfassend abgedeckt. In der Tat können Sicherheitsvorfälle nebst dem Mangel an betrieblicher Widerstandsfähigkeit die Resilienz des gesamten Finanzsystems gefährden. Um die digitale Resilienz im Finanzwesen zu stärken, legt DORA einheitliche Anforderungen für die Sicherheit von Netz- und Informationssystemen fest, die die Geschäftsprozesse von Finanzunternehmen unterstützen. In den Anwendungsbereich von DORA fallen nicht nur Banken. Die Verordnung gilt für ein breites Spektrum von Finanzinstituten, darunter Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Kryptoasset-Dienstleister, Zentralverwahrer, Verwalter alternativer Investmentfonds, OGAW-Verwaltungsgesellschaften, Administratoren kritischer Benchmarks und Crowdfunding-Dienstleister. Durch DORA werden nicht nur die digitale betriebliche Widerstandsfähigkeit und die Cybersicherheit gestärkt, sondern auch die Risiken der Informations- und Kommunikationstechnologie (IKT) EU-weit adressiert. Finanzunternehmen werden immer häufiger an IKT-Produkte und -Dienstleistungen, die von Dritten angeboten werden, angebunden. Der europäische Gesetzgeber hat damit erkannt, dass insbesondere bei Cloud-Anbietern zunehmend Risiken entstehen können. Laut Statistik finden ca. 45 % aller Datenschutzverletzungen weltweit in der Cloud statt. DORA legt die folgenden Anforderungen an Finanzunternehmen fest:

• zum Management von IKT-Risiken: DORA erfordert von den Finanzinstituten ein umfassendes IKT-Risikomanagement. Dies bedeutet, dass Finanzinstitute über verschiedene IKT-Strategien, -Verfahren und -Werkzeuge verfügen müssen, die es ihnen ermöglichen, Risiken frühzeitig zu erkennen, IKT-Systeme zu schützen und das Risiko von Cybersicherheitsvorfällen zu mindern. Darüber hinaus müssen sie Back-up- und andere Wiederherstellungsmethoden ausarbeiten und in der Lage sein, sich von Cybersicherheitsvorfällen so schnell wie möglich zu erholen. Außerdem müssen die Unternehmen die Risiken im Zusammenhang mit Dienstleistungen Dritter bewerten und über Strategien verfügen, die sicherstellen, dass nur geeignete Dienstleistungen Dritter in Anspruch genommen werden.
• zum Testen ihrer betrieblichen Widerstandsfähigkeit: Die Verordnung verlangt von den Finanzinstituten, dass sie ihre operationelle Widerstandsfähigkeit regelmäßig testen. Die Tests sollten einen risikobasierten Ansatz verfolgen und über eine Einheitslösung hinausgehen. Damit soll sichergestellt werden, dass die Cyber-Risikokontrollen der Unternehmen auf ihr jeweiliges Geschäft zugeschnitten sind.
• zur Meldung schwerwiegender IKT-bezogener Vorfälle an Finanzaufsichtsbehörden: Tritt ein Cyberangriff oder ein Sicherheitsvorfall ein, müssen die Unternehmen das Ereignis aufzeichnen und der zuständigen Aufsichtsbehörde melden. Das Verfahren wird ähnlich wie die Meldung der Datenverstöße an die zuständige Datenschutzbehörde nach der Datenschutz-Grundverordnung sein. Die Fristen für die Meldung von Vorfällen werden in den kommenden technischen Regulierungsstandards festgelegt.

Darüber hinaus bestimmt DORA die Anforderungen an Verträge zwischen Finanzunternehmen und IKT-Drittanbietern und etabliert einen Aufsichtsrahmen für IKT-Drittanbieter, die Dienste für Finanzunternehmen erbringen. Die Verordnung verpflichtet Finanzinstitute, spezielle Bestimmungen in ihre Verträge mit dritten IKT-Anbietern aufzunehmen. Hier gibt es einige Überschneidungen mit den Vorschriften der EBA-Leitlinien zu Auslagerungen, aber die Vorschriften sind nicht völlig kohärent und DORA führt einige neuen Anforderungen ein. Aufgrund dieser Divergenz sollten Unternehmen ihre aktuellen Verträge und Vertragsvorlagen mit den Anforderungen von DORA vergleichen und Maßnahmen ergreifen, um sicherzustellen, dass alle festgestellten Lücken vor Ablauf des Umsetzungszeitraums geschlossen werden. Aufgrund der Bedeutung der Cybersicherheit und des IT-Risikomanagements für das Finanzsystem werden die Anforderungen nun auf ein neues Niveau gehoben. Somit wird DORA Auswirkungen auf die gesamte Branche haben, von Banken über den Versicherungsvermittler bis hin zu den IT-Dienstleistern. Die Verantwortung für die Einhaltung der rechtlichen Vorschriften liegt bei der Unternehmensleitung, die für die Überprüfung, Genehmigung, Umsetzung und Aktualisierung des Risikomanagement-Rahmens verantwortlich ist. Dies setzt voraus, dass die Geschäftsleitung sich mit der IKT-Nutzung und dem Risikoprofil des Finanzinstituts intensiv auseinandersetzt. DORA wird ab dem 17. Januar 2025 in allen EU-Mitgliedstaaten gelten. Der gesamte Finanzsektor muss allerdings unverzüglich mit der Vorbereitung beginnen, um die Einhaltung von Regeln zum Zeitpunkt der Geltung zu gewährleisten. Daher ist es ratsam, eine Lückenbewertung oder Gap-Analyse durchzuführen und einen Fahrplan für die Compliance mit den Vorschriften festzulegen. Mit einer Analyse des Unternehmensprofils und schon bestehender IT-Risikomanagementstrategien und -normen können die Unternehmen den aktuellen Reifegrad ihrer Sicherheitsmaßnahmen ermitteln und böse Überraschungen in der Zukunft vermeiden, denn DORA sieht verwaltungsrechtliche Sanktionen für Verstöße gegen diese Verordnung vor. Darüber hinaus dürfen die Finanzaufsichtsbehörden Finanzunternehmen dazu zwingen, ihre Verträge mit IKT-Drittanbietern auszusetzen, wenn sie den rechtlichen Anforderungen nicht entsprechen.

Am 15. September 2022 legte die Europäische Kommission den Entwurf für einen Cyber Resilience Act (CRA) vor. Dieser enthält die Rechtsvorschriften zur Cybersicherheit für Hard- und Softwareprodukte sowie für Datenfernverarbeitungslösungen. Es werden weitgehende Verpflichtungen für Hersteller, Händler und Importeure von Produkten mit digitalen Elementen gelten. Der Rechtsakt sieht keine Vorschriften für Finanzunternehmen vor, sofern sie keine Hard- und Softwareprodukte sowie Datenfernverarbeitungslösungen herstellen. Allerdings wird der CRA einen unmittelbaren, aber bedeutsamen Einfluss auf den Finanzmarkt haben. Die im CRA festgelegten Anforderungen werden die Sicherheitslücken in Produkten mit digitalen Elementen schließen, die Finanzunternehmen für die Bereitstellung ihrer Dienstleistungen verwenden.

Die Stärkung betrieblicher Widerstandsfähigkeit und Cybersicherheit sind nicht nur Wunsch des Gesetzgebers. Der Einsatz zuverlässiger und reibungsloser Mechanismen für die Gewährleistung der Sicherheit und der betrieblichen Widerstandsfähigkeit liegen im Eigeninteresse der Finanzunternehmen. Dafür gibt es mehrere Gründe: Erstens bedeuten Sicherheitsschwachstellen ein Reputationsrisiko für Finanzunternehmen. Für Kunden ist es von entscheidender Bedeutung, dass das Finanzinstitut zuverlässig handelt und ihr Geld jederzeit geschützt ist. Zweitens führen die erfolgreichen Cyberangriffe nicht nur für Kunden zu großen finanziellen Verlusten, sondern auch für Finanzunternehmen. Branchenuntersuchungen beweisen, dass die jährlichen Kosten der betrieblichen Sicherheitsvorfälle im Finanzsektor zwischen 2 und 27 Milliarden Euro allein in der EU betragen. Drittens stellen die Sicherheitsvorfälle eine Gefährdung für die Finanzstabilität dar. Da auf dem modernen Finanzmarkt alle Unternehmen miteinander vernetzt sind, können sich Cybersicherheitsschwachstellen und Sicherheitsvorfälle innerhalb eines Unternehmens blitzschnell im ganzen Finanzsektor verbreiten und erheblichen wirtschaftlichen Schaden verursachen. Viertens hilft die Einführung effektiver und zuverlässiger Instrumente zur Bekämpfung der Sicherheitsrisiken dabei, die Kosten für die Finanzunternehmen langfristig zu senken.

Im Finanzsektor steht viel auf dem Spiel, deswegen wäre es nachlässig, Sicherheitsrisiken nicht ernst zu nehmen. Für Finanzinstitute ist es ausschlaggebend, Cybersicherheit und die Betriebsstabilität ihrer digitalen Systeme kontinuierlich zu stärken. Und das gilt unabhängig davon, ob der Gesetzgeber es verlangt oder wie streng die rechtlichen Anforderungen sind. Schwachstellenbewertungen müssen regelmäßig durchgeführt werden, um Sicherheitslücken in den von den Finanzinstituten genutzten Systemen, Prozessen, Strategien, Richtlinien, IKT-Protokollen sowie IKT-Werkzeugen unverzüglich ermitteln und bewerten zu können. Um sich auf dem Weg durch den Regulierungsdschungel nicht verwirren zu lassen, müssen die Finanzunternehmen Folgendes wissen: Cybersicherheit, operationelle Betriebsstabilität digitaler Systeme und Betrugsprävention sind eng miteinander verbunden. Deshalb ist es von entscheidender Bedeutung, dass Finanzinstitute ein Maßnahmenbündel erarbeiten, um die Anforderungen der verschiedenen Verordnungen zu erfüllen. Bei der Entwicklung effektiver Mechanismen zur Prävention und Schadensbekämpfung von Cyberbedrohungen befindet sich der gesamte Sektor im Kampf gegen einen gemeinsamen Feind. Deshalb sollten Finanzunternehmen proaktiv handeln und mit Mitteln, die über die regulatorischen Vorschriften hinausgehen, für mehr Sicherheit in ihrem Sektor einstehen. Regelmäßiger Wissensaustausch der besten Praktiken und aus eigener Erfahrung gewonnenen Erkenntnissen sowie eine stärkere freiwillige Offenlegung von Betrugsbekämpfungsmaßnahmen und Vorfällen innerhalb der Industrie sind hier wünschenswert. Darüber hinaus sollen sich Finanzunternehmen um die gewissenhafte Ausbildung ihrer Mitarbeiter bemühen, damit ein verantwortungsbewusstes Verhalten des Personals zum Standard wird. Letztlich muss Aufklärungsarbeit im Zusammenhang mit einer effektiven Kundenkommunikation betrieben werden, damit der Kunde weiß, wie er sich am besten vor Cyberkriminalität schützen kann. N26 stimmt den oben genannten Punkten ausdrücklich zu und verwendet die modernsten Sicherheitsmechanismen wie biometrische Authentifizierung und 3D Secure für sichere Online-Transaktionen. Um den hohen Sicherheitsstandard ihrer Produkte und Services kontinuierlich weiterzuentwickeln, hat N26 spezielle Sicherheitsteams im Einsatz, die potenzielle Bedrohungen analysieren und technische Produktsicherheit testen. Der N26-Blog informiert Kunden regelmäßig über die neuen Arten des Überweisungs-, Karten-, Telefonbetrugs und Online-Scams und deren Vorbeugung.

Der Finanzsektor erleidet jede Woche durchschnittlich 1.130 Cyberattacken. Diese Anzahl hat sich im Vergleich zum Vorjahr verdoppelt. Ohne Zweifel werden Finanzinstitute auch in der Zukunft von allen Arten von Cyberangriffen weiterhin betroffen sein. Gleichzeitig werden die Methoden der Cyberkriminellen von Jahr zu Jahr einfallsreicher. Finanzinstitute müssen deshalb den Finger am Puls der Zeit haben und regelmäßig neue Ansätze entwickeln, um die fortschrittlichen Bedrohungen wirksam zu bekämpfen.