BaFin - Navigation & Service

Das Bild zeigt die Universität Innsbruck. ©_Machno_CC BY-SA 4.0

Erscheinung:26.07.2022 Wertschöpfungsketten im Finanzsektor: Empfehlungen zur IT-Aufsichtspraxis

(BaFinJournal) Was bedeuten die zunehmend fragmentierten Wertschöpfungsketten im Finanzsektor für die IT-Sicherheit – und für die Aufsicht? Diese Frage untersuchte ein Forschungsprojekt der Universität Innsbruck im Auftrag der BaFin. Erste Erkenntnisse aus dem Projekt hat die BaFin bereits umgesetzt.

Ein Forschungsteam der Universität Innsbruck hat im Auftrag der BaFin eingeschätzt, wie sich die Wertschöpfungsketten im Finanzsektor entwickeln – und daraus Empfehlungen für die IT-Aufsichtspraxis abgeleitet. Dabei interessierte die BaFin vor allem, wie sie aus Sicht des Forschungsteams diese Entwicklungen aktiver begleiten, Risiken früher erkennen und gegebenenfalls ihre Aufsichtspraxis weiterentwicklen kann.

Wie ging das Forschungsteam um Prof. Dr. Rainer Böhme und Dr. Paulina Pesch vor? Es entwickelte drei Szenarien mit teils zugespitzten Thesen zu den zukünftigen Entwicklungen im Finanzsektor. In Interviews mit Banken, Zahlungsdienstleistern und IT-Unternehmen überprüfte es die Szenarien, vor allem mit Blick auf ihre Relevanz für die Unternehmen des Finanzsektors. Nach Ansicht der befragten Unternehmen waren die Szenarien weitgehend realistisch und vollständig. Aus den Gesprächen leitete das Forschungsteam ab, welche Folgen die zunehmende Fragmentierung von Wertschöpfungsketten für den Finanzsektor haben und was die Konsequenzen für die IT-Aufsicht sein könnten.

Drei Zukunftsszenarien

Szenario 1: Durch die Digitalisierung nimmt die Zahl der Schnittstellen zwischen Kreditinstituten und Dritten stark zu. Die Komplexität der IT-Infrastruktur steigt dadurch enorm. Dadurch vergrößern und vermehren sich auch die potenziellen Angriffsflächen, die Cyber-Kriminelle ausnutzen könnten.

Abbildung 1: Visualisierung des Unterschieds zwischen der Absicherung von internen Schnittstellen (linkes Bild) und offenen Schnittstellen (rechtes Bild)

Visualisierung des Unterschieds zwischen der Absicherung von internen Schnittstellen und offenen Schnittstellen © Universität Innsbruck Abbildung 1: Visualisierung des Unterschieds zwischen der Absicherung von internen Schnittstellen (linkes Bild) und offenen Schnittstellen (rechtes Bild)

Szenario 2: Dank neuer technischer Möglichkeiten und aufgrund des Wettbewerbsdrucks lagern Finanzinstitute verstärkt Systeme, Tätigkeiten oder Prozesse an branchenspezifische IT-Dienstleister aus, um von den Kosten-Nutzen-Vorteilen skalierbarer IT-Dienste zu profitieren. Viele dieser IT-Dienstleister wiederum nutzen über mehrere Auslagerungsebenen hinweg die IT-Infrastruktur eines gemeinsamen dritten IT-Dienstleisters. Hierdurch könnte eine weitere Konzentration von IT-Infrastruktur entstehen – zum Beispiel bei Cloud-Anbietern.

Abbildung 2: Szenario 2 – Konzentration der IT-Infrastruktur

Schematische Darstellung der Konzentration der IT-Infrastruktur © Universität Innsbruck Abbildung 2: Szenario 2 – Konzentration der IT-Infrastruktur

Szenario 3: Durch die oben beschriebene Auslagerung könnten die Cloud-Anbieter auf die Daten und Geschäftsideen ihrer Kundinnen und Kunden, der beaufsichtigten Finanzinstitute, zugreifen. Dadurch könnten sie zunehmend weitere Teile der IT sowie Finanzdienste selbst anbieten. So könnte sich die Kontrolle nicht nur über die IT-Infrastruktur, sondern auch sukzessive über die Finanzdienstleistungslandschaft auf Big-Tech-Unternehmen verschieben. Banken und andere Finanzinstitute würden so auf eine risikotragende Hülle reduziert, während die Produkte und Dienstleistungen im aufsichtsfreien Raum produziert würden.

Abbildung 3: Szenario 3 - Entkopplung der Bank von Kundenschnittstelle und IT-Infrastruktur

Schematische Darstellung der Entkopplung der Bank von Kundenschnittstelle und IT-Infrastruktur © Universität Innsbruck Abbildung 3: Szenario 3 - Entkopplung der Bank von Kundenschnittstelle und IT-Infrastruktur

Folgen für die IT-Aufsicht

Was folgt aus diesen Szenarien? Die Universität Innsbruck identifiziert verschiedene Möglichkeiten, wie die IT-Aufsicht den zukünftigen Herausforderungen begegnen könnte. Das BaFinJournal stellt einige Beispiele vor.

I. Umfassende Sektorlandkarte erstellen

Das Forschungsteam empfiehlt, die Beziehungen und Abhängigkeiten zwischen Finanzinstituten, IT-Dienstleistern und weiteren Akteuren sowie die hierdurch entstehenden Konzentrationsrisiken zu identifizieren. Hierfür sollte die Aufsicht alle Auslagerungen (nicht nur die wesentlichen) erfassen sowie die Subdienstleister vollständig in die Betrachtung einbeziehen – inklusive ihrer Abhängigkeit voneinander. Optimalerweise erfasst die Aufsicht dabei auch die dynamischen Abhängigkeiten über das reine Vertragsverhältnis hinaus. Diese Analyse könnte in einer Sektorlandkarte dargestellt werden.

Eine solche Sektorlandkarte sollte auch prozessuale Abhängigkeiten darstellen (activity-based approach). Um die Komplexität zu reduzieren, sollte die Aufsicht die Prozessdefinitionen einheitlich vorgeben.

II. Enger mit den Datenschutzbehörden und der Wettbewerbsaufsicht zusammenarbeiten

Die Ziele der IT-Aufsicht überschneiden sich zum Teil mit denen der Datenschutzbehörden – etwa, was Sicherheitsziele wie Vertraulichkeit und Integrität anbelangt. Die Universiät Innsbruck empfiehlt daher eine engere Zusammenarbeit der zuständigen Behörden. Selbiges sollte auch für die Kooperation der BaFin mit der Wettbewerbsaufsicht gelten. Auf diese Weise könnten die Behörden die zunehmende Konzentration von IT-Infrastruktur und Marktmacht auf einzelne Unternehmen noch besser beobachten und gegebenenfalls Maßnahmen ergreifen, wenn sie systemische Risiken für die Finanzstabilität identifizieren.

III. Tatsächliche Nutzung und Schwachstellen von PSD2-Schnittstellen analysieren

Auch Sicht des Forschungsteams gibt es bereits ein Instrument, mit dem sich untersuchen lässt, wie die beaufsichtigten Institute mit ihren Dienstleistern interagieren und welche Abhängigkeiten hierdurch entstehen: die Analyse der Nutzung der Schnittstellen, welche durch die Zweite Zahlungsdiensterichtlinie (Payment Service Directive – PSD2) entstanden sind.

Zusätzlich empfiehlt das Forschungsteam der Aufsicht, die Sicherheit der von den Zahlungsdienstleister genutzten Zertifikate für die PSD2-Schnittstellen zu prüfen – beispielsweise, indem die BaFin testweise mit gefälschten sowie mit echten, aber widerrufenen eIDAS-Zertifikaten auf diese Schnittstellen zugreift. Das Kürzel eIDAS steht für electronic Identification, Authentication and trust Services. Eine weitere Idee: Die Aufsicht könnte Bug Bounties fördern – also Wettbewerbe, in denen sich die Teilnehmenden auf Schwachstellensuche begeben. Aktuell machen sich Dritte unter Umständen strafbar, wenn sie eigenständig Schnittstellen untersuchen.

Erste Erkenntnisse bereits umgesetzt

Die BaFin prüft aktuell, inwiefern die Erkenntnisse der Universität Innsbruck zielführend und umsetzbar sind. Erste Erkenntnisse aus dem Forschungsprojekt hat die BaFin bereits vor Projektabschluss genutzt – beispielsweise um Anforderungen an die Auswertung der Daten, welche die beaufsichtigten Unternehmen künftig zu ihren wesentlichen Auslagerungen melden müssen, sowie an deren Darstellung auszuarbeiten. Auf Grundlage dieser Daten wird zukünftig eine Landkarte der wesentlichen Dienstleister und Abhängigkeiten erstellt.

Wichtig ist es aus Sicht der BaFin zudem, auch in der IT-Aufsicht auf einer breiten Datengrundlage zu arbeiten und dafür beispielsweise auch Informationen aus der Medienberichterstattung zu nutzen.

Nicht zuletzt spiegeln sich die Ergebnisse des Forschungsprojekts auch in dem Digital Operational Resilience Act (DORA) wider: Mit Fokus auf die Informations- und Kommunikationstechnologie fordert DORA ein Informationsregister mit allen Vertragsbeziehungen, die mit der Nutzung von IKT-Dienstleistungen in Verbindung stehen. Der Begriff der „Auslagerung“ wird erweitert durch „IKT-Vertragsbeziehungen“ und vervollständigt die Sektorlandkarte.

Nicht umsetzen wird die BaFin die Empfehlung des Forschungsteams, selbst als Cloud-Anbieterin aufzutreten.

Abschlussbericht verfügbar

Das Forschungsprojekt ist Mitte Juni abgeschlossen worden. Der vollständige Abschlussbericht ist nun auf der Website der BaFin verfügbar.

In Auftrag gegeben hatte die BaFin das Forschungsprojekt Ende 2019. Schon damals hatte sich gezeigt, dass sich die Wertschöpfungsketten im Finanzsektor ändern und insbesondere eine weitere Ausdifferenzierung stattfindet. Treiber hierfür sind unter anderem die gesetzlichen Neuregelungen zur Verbesserung des Wettbewerbs im Zahlungsverkehr, beispielsweise durch die PSD2.

Verfasst von

Theresa Nabel
BaFin-Referat- Cybersicherheit in der Digitalisierung

Florian Preis
BaFin-Referat- Grundsatz ZAG-Aufsicht und Kryptoverwahrgeschäft

Hinweis

Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.


Zusatzinformationen

Forschungsprojekt I-GIT - Abschlussbericht

BaFinJournal

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback