Die Finanzbranche wird digitaler. Dabei darf sie die Risiken nicht aus dem Blick verlieren. IT-Störungen können alle Finanzunternehmen treffen. Sie müssen sich dagegen schützen. Ein Kurzkommentar von BaFin-Präsident Mark Branson.
Die Digitalisierung ist der Schrittmacher der Finanzbranche. Die deutschen Finanzunternehmen müssen mithalten, um wettbewerbsfähig zu bleiben. Das geht aber nur, wenn sie auch ihre operationellen Risiken im Griff haben. Dabei sollten sie nicht unterschätzen, wie abhängig sie geworden sind, insbesondere von bestimmten Dienstleistern.
Schon seit Jahren zersplittern Finanzunternehmen ihre Wertschöpfungsketten und lagern aus. Manche Versicherer haben beispielsweise ihre gesamte Schadenabwicklung oder Kapitalanlageverwaltung an externe Dienstleister übergeben. Auch die Banken haben viele Aufgaben ausgelagert, sei es bei der Kontoeröffnung oder im Kreditgeschäft. Gleichzeitig steigen die Konzentrationsrisiken: Manche Auslagerungsunternehmen sind für mehr als 150 unterschiedliche regulierte Finanzinstitute in Deutschland tätig. Bedeutende Störungen bei diesen Dienstleistern können den Finanzsektor stark beeinträchtigen.
Die BaFin überwacht einige kritische Dienstleister besonders eng
Schon jetzt sorgen Störungen bei Dienstleistern für Probleme. So wurde dieses Jahr beispielsweise bekannt, dass bei deutschen Kreditinstituten Daten von Bankkundinnen und -kunden entwendet wurden. Möglich war dies wegen eines Datenlecks bei einem Dienstleister für den Kontowechsel. Die BaFin überwacht einige kritische Dienstleister daher schon seit ein paar Jahren besonders eng. Hinzu kommt: Die Marktmacht großer internationaler Cloud-Anbieter ist groß. Sollten diese Dienstleister nicht mehr erreichbar sein, wären die Folgen gravierend. Die Unternehmen müssen sich davor schützen. Sie müssen sich fragen: Ist es möglich, kurzfristig Systeme von einem zum anderen Anbieter zu transferieren?
Geht es um Cloud-Lösungen wie „Software as a Service“, ist es kompliziert. Sie sind sehr individuell und schwer ersetzbar. Die BaFin hat daher die Resilienz der großen Cloud-Dienstleister schon seit einer Weile im Blick. Eine große Chance bietet zudem DORA, der Digital Operational Resilience Act. Mit ihm wird es uns künftig leichter fallen, stärkeren Einfluss auf sie auszuüben.
Aufsichtsbehörden in Europa können durch DORA zukünftig Verflechtungen und Marktkonzentrationen bei Dienstleistern viel besser erkennen. Und sie können kritische Dienstleister gemeinsam überwachen. Das alles erhöht die operative Resilienz unseres Finanzsystems, die wichtigste Voraussetzung für eine erfolgreiche Digitalisierung.
Porträtaufnahme von Mark Branson, Präsident der BaFin.© BaFin/Matthias Sandmann.