BaFin - Navigation & Service

Springe direkt zu:

Covermotiv Risiken im Fokus 2024 AdobeStock GINGER Tsukahara 534089558

7. Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen ⇧

Viele Unternehmen des Finanzsektors lagern IT-Dienstleistungen auf externe Dienstleister aus. Dies bietet Vorteile: Die auslagernden Unternehmen profitieren häufig von niedrigeren Kosten; zudem haben sie dank der IT-Auslagerungen mehr Kapazitäten, um sich auf ihr Kerngeschäft zu konzentrieren. Hinzu kommt: IT-Dienstleister bieten aufgrund ihrer Spezialisierung viele Services effizienter und zum Teil auch sicherer an, als es den auslagernden Unternehmen möglich wäre.

Aber die zunehmende Verflechtung und vor allem Konzentrationen bei den IT-Dienstleistern können den Finanzsektor verwundbarer machen. In Deutschland bedienen in einigen Bereichen wenige spezialisierte IT-Dienstleister einen Großteil der Kreditinstitute. Ein ähnliches Bild zeigt sich in der Versicherungsbranche. Von solchen IT-Mehrmandanten-Dienstleistern gehen Konzentrationsrisiken aus.

Störungen bei IT-Mehrmandanten-Dienstleistern können Finanzsektor gefährden

Sollten bei IT-Mehrmandanten-Dienstleistern Störungen auftreten, könnten plötzlich mehrere beaufsichtigte Unternehmen gleichzeitig nicht mehr auf ihre Dienstleistungen zugreifen. Besonders problematisch ist dies bei kritischen Prozessen, von denen die Funktionsfähigkeit der Unternehmen des Finanzsektors abhängt. Im Extremfall können also Probleme bei IT-Mehrmandanten-Dienstleistern den Finanzsektor stark beeinträchtigen.

Zusätzliche Risiken können durch Weiterverlagerungen von IT-Dienstleistungen auf Subdienstleister entstehen. Störungen bei einem Subdienstleister können sich auf die gesamte Wertschöpfungskette auswirken. Die aus solchen Weiterverlagerungen resultierenden Abhängigkeiten und Risiken können die auslagernden Unternehmen des Finanzsektors oft nur schwer einschätzen und steuern.

Mehrmandanten-Dienstleister nicht kurzfristig ersetzbar

Gibt es bei einem IT-Mehrmandanten-Dienstleister Störungen, kommt aufgrund der Konzentration verschärfend hinzu: Viele Unternehmen des Finanzsektors können die ausgelagerten IT-Dienstleistungen nur schwer an die wenigen anderen Dienstleister übertragen, wenn sie sie nicht selbst wieder übernehmen können. Dies geht aus Marktauswertungen hervor. Das ist zum Beispiel oft beim Cloud-Computing und bei ausgelagerten Teilprozessen im Zahlungsverkehr der Fall. Bei manchen der gemeldeten IT-Auslagerungsbeziehungen sind die Unternehmen faktisch stark an den Dienstleister gebunden. Denn gerade beim von wenigen internationalen Anbietern beherrschten Cloud-Computing, aber auch bei anderen IT-Dienstleistungen, besteht folgendes Problem: Wettbewerber haben meist keine ausreichenden Kapazitäten, um kurzfristig die Kunden von anderen Cloud-Anbietern zu übernehmen. Und selbst wenn es aufnahmewillige und vor allem aufnahmefähige andere Anbieter am Markt gäbe, würde ein Dienstleisterwechsel oft sehr lange dauern.

Unternehmen des Finanzsektors sind sich den mit Auslagerungen einhergehenden Risiken, nicht nur beim Cloud-Computing, durchaus bewusst. Einige holen – soweit möglich – gewisse ausgelagerte Aktivitäten und Prozesse wieder ins eigene Unternehmen zurück, andere ziehen eine Multi-Vendor-Strategie in Betracht. Insgesamt nehmen jedoch die Auslagerungen – insbesondere auf IT-Mehrmandanten-Dienstleister – weiter zu. Die Risiken, die aus dieser Konzentration resultieren, steigen. Deshalb ist ein gezieltes Risikomanagement sowohl bei den auslagernden Unternehmen und den Dienstleistern, als auch auf systemischer Ebene der Aufsicht wichtig.

Wie die BaFin vorgeht

  • Bereits jetzt analysiert die BaFin, welche Aktivitäten und Prozesse die Unternehmen des Finanzsektors auf welche Dienstleister ausgelagert haben. Basis sind die sektorweiten Anzeigen von (wesentlichen) Auslagerungen, die seit Ende November 2022 über die elektronische Meldeplattform der BaFin eingehen. Allerdings gilt diese Anzeigepflicht nur für neue Auslagerungen und Änderungen an bestehenden Auslagerungen, nicht für Bestandsfälle. Die daraus resultierenden Informationslücken verringert die BaFin durch Stichproben bei beaufsichtigten Unternehmen. Zugleich sensibilisiert sie die Industrie, alle bestehenden (wesentlichen) Auslagerungen freiwillig anzuzeigen. Außerdem wirkt die BaFin auf eine hohe Datenqualität hin.
  • Die BaFin wertet die Auslagerungsdatenbank aus, um einen Überblick über Auslagerungsbeziehungen zu erhalten und Verflechtungen und Konzentrationsrisiken am Finanzmarkt zu identifizieren. Die Aufsicht kann dadurch das Konzentrationsrisiko erfassen und es durch Maßnahmen, wie die Überwachung von Dienstleistern, verringern.
  • Die BaFin überwacht schon seit einigen Jahren große, für Kreditinstitute tätige IT-Mehrmandantendienstleister und lässt bei diesen auch Prüfungen durch die Deutsche Bundesbank durchführen. Die BaFin bereitet sich außerdem darauf vor, künftig noch mehr Prüfungen bei Dienstleistern durchzuführen.
  • Die BaFin nutzt die Auslagerungsdatenbank als Frühwarnsystem: Kommt es zu schwerwiegenden Vorfällen bei (Mehrmandanten-) Dienstleistern, warnt die BaFin die Unternehmen des Finanzsektors, die laut der Auslagerungsdatenbank diesen Dienstleister nutzen.
  • Auf europäischer Ebene wirkt die BaFin maßgeblich an der Entwicklung eines Überwachungsrahmenwerks für IKT-Drittdienstleister mit, das durch DORA implementiert wird, und bringt sich stark in dessen Umsetzung ein. Zugleich stellt sie sicher, dass der national bereits etablierte Rahmen zur Überwachung von IT-Mehrmandanten-Dienstleistern ausreichend und konsistent umgesetzt wird. Dieser Rahmen gilt seit Januar 2022 durch das Gesetz zur Stärkung der Finanzmarktintegrität.
  • Die BaFin setzt sich in verschiedenen Arbeitsgruppen auch auf globaler Ebene für ein wirksames Überwachungsregime über Dienstleister für den Finanzmarkt ein.

Weitere Artikel aus den Risiken im Fokus

Startseite Risiken im Fokus 2024
Vorwort des Präsidenten

Weitere Hauptrisiken im Fokus der BaFin

1. Risiken aus signifikanten Zinsanstiegen
2. Risiken aus Korrekturen an den Immobilienmärkten
3. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten
4. Risiken aus dem Ausfall von Krediten an deutsche Unternehmen
5. Risiken aus Cyber-Attacken mit gravierenden Auswirkungen
6. Risiken aus unzureichender Geldwäscheprävention

Bedeutende Trends

1. Digitalisierung
2. Nachhaltigkeit
3. Geopolitische Umbrüche

Download

Gesamtausgabe: Risiken im Fokus 2024

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback