Ein Forschungsteam der Universität Innsbruck hat im Auftrag der BaFin eingeschätzt, wie sich die Wertschöpfungsketten im Finanzsektor entwickeln – und daraus Empfehlungen für die IT-Aufsichtspraxis abgeleitet. Dabei interessierte die BaFin vor allem, wie sie aus Sicht des Forschungsteams diese Entwicklungen aktiver begleiten, Risiken früher erkennen und gegebenenfalls ihre Aufsichtspraxis weiterentwicklen kann.

Wie ging das Forschungsteam um Prof. Dr. Rainer Böhme und Dr. Paulina Pesch vor? Es entwickelte drei Szenarien mit teils zugespitzten Thesen zu den zukünftigen Entwicklungen im Finanzsektor. In Interviews mit Banken, Zahlungsdienstleistern und IT-Unternehmen überprüfte es die Szenarien, vor allem mit Blick auf ihre Relevanz für die Unternehmen des Finanzsektors. Nach Ansicht der befragten Unternehmen waren die Szenarien weitgehend realistisch und vollständig. Aus den Gesprächen leitete das Forschungsteam ab, welche Folgen die zunehmende Fragmentierung von Wertschöpfungsketten für den Finanzsektor haben und was die Konsequenzen für die IT-Aufsicht sein könnten.

Drei Zukunftsszenarien

Szenario 1: Durch die Digitalisierung nimmt die Zahl der Schnittstellen zwischen Kreditinstituten und Dritten stark zu. Die Komplexität der IT-Infrastruktur steigt dadurch enorm. Dadurch vergrößern und vermehren sich auch die potenziellen Angriffsflächen, die Cyber-Kriminelle ausnutzen könnten.

Abbildung 1: Visualisierung des Unterschieds zwischen der Absicherung von internen Schnittstellen (linkes Bild) und offenen Schnittstellen (rechtes Bild)

© Universität Innsbruck

Szenario 2: Dank neuer technischer Möglichkeiten und aufgrund des Wettbewerbsdrucks lagern Finanzinstitute verstärkt Systeme, Tätigkeiten oder Prozesse an branchenspezifische IT-Dienstleister aus, um von den Kosten-Nutzen-Vorteilen skalierbarer IT-Dienste zu profitieren. Viele dieser IT-Dienstleister wiederum nutzen über mehrere Auslagerungsebenen hinweg die IT-Infrastruktur eines gemeinsamen dritten IT-Dienstleisters. Hierdurch könnte eine weitere Konzentration von IT-Infrastruktur entstehen – zum Beispiel bei Cloud-Anbietern.

Abbildung 2: Szenario 2 – Konzentration der IT-Infrastruktur

© Universität Innsbruck

Szenario 3: Durch die oben beschriebene Auslagerung könnten die Cloud-Anbieter auf die Daten und Geschäftsideen ihrer Kundinnen und Kunden, der beaufsichtigten Finanzinstitute, zugreifen. Dadurch könnten sie zunehmend weitere Teile der IT sowie Finanzdienste selbst anbieten. So könnte sich die Kontrolle nicht nur über die IT-Infrastruktur, sondern auch sukzessive über die Finanzdienstleistungslandschaft auf Big-Tech-Unternehmen verschieben. Banken und andere Finanzinstitute würden so auf eine risikotragende Hülle reduziert, während die Produkte und Dienstleistungen im aufsichtsfreien Raum produziert würden.

Abbildung 3: Szenario 3 - Entkopplung der Bank von Kundenschnittstelle und IT-Infrastruktur

© Universität Innsbruck

Folgen für die IT-Aufsicht

Was folgt aus diesen Szenarien? Die Universität Innsbruck identifiziert verschiedene Möglichkeiten, wie die IT-Aufsicht den zukünftigen Herausforderungen begegnen könnte. Das BaFinJournal stellt einige Beispiele vor.

I. Umfassende Sektorlandkarte erstellen

Das Forschungsteam empfiehlt, die Beziehungen und Abhängigkeiten zwischen Finanzinstituten, IT-Dienstleistern und weiteren Akteuren sowie die hierdurch entstehenden Konzentrationsrisiken zu identifizieren. Hierfür sollte die Aufsicht alle Auslagerungen (nicht nur die wesentlichen) erfassen sowie die Subdienstleister vollständig in die Betrachtung einbeziehen – inklusive ihrer Abhängigkeit voneinander. Optimalerweise erfasst die Aufsicht dabei auch die dynamischen Abhängigkeiten über das reine Vertragsverhältnis hinaus. Diese Analyse könnte in einer Sektorlandkarte dargestellt werden.

Eine solche Sektorlandkarte sollte auch prozessuale Abhängigkeiten darstellen (activity-based approach). Um die Komplexität zu reduzieren, sollte die Aufsicht die Prozessdefinitionen einheitlich vorgeben.

II. Enger mit den Datenschutzbehörden und der Wettbewerbsaufsicht zusammenarbeiten

Die Ziele der IT-Aufsicht überschneiden sich zum Teil mit denen der Datenschutzbehörden – etwa, was Sicherheitsziele wie Vertraulichkeit und Integrität anbelangt. Die Universiät Innsbruck empfiehlt daher eine engere Zusammenarbeit der zuständigen Behörden. Selbiges sollte auch für die Kooperation der BaFin mit der Wettbewerbsaufsicht gelten. Auf diese Weise könnten die Behörden die zunehmende Konzentration von IT-Infrastruktur und Marktmacht auf einzelne Unternehmen noch besser beobachten und gegebenenfalls Maßnahmen ergreifen, wenn sie systemische Risiken für die Finanzstabilität identifizieren.

III. Tatsächliche Nutzung und Schwachstellen von PSD2-Schnittstellen analysieren

Auch Sicht des Forschungsteams gibt es bereits ein Instrument, mit dem sich untersuchen lässt, wie die beaufsichtigten Institute mit ihren Dienstleistern interagieren und welche Abhängigkeiten hierdurch entstehen: die Analyse der Nutzung der Schnittstellen, welche durch die Zweite Zahlungsdiensterichtlinie (Payment Service Directive – PSD2) entstanden sind.

Zusätzlich empfiehlt das Forschungsteam der Aufsicht, die Sicherheit der von den Zahlungsdienstleister genutzten Zertifikate für die PSD2-Schnittstellen zu prüfen – beispielsweise, indem die BaFin testweise mit gefälschten sowie mit echten, aber widerrufenen eIDAS-Zertifikaten auf diese Schnittstellen zugreift. Das Kürzel eIDAS steht für electronic Identification, Authentication and trust Services. Eine weitere Idee: Die Aufsicht könnte Bug Bounties fördern – also Wettbewerbe, in denen sich die Teilnehmenden auf Schwachstellensuche begeben. Aktuell machen sich Dritte unter Umständen strafbar, wenn sie eigenständig Schnittstellen untersuchen.

Erste Erkenntnisse bereits umgesetzt

Die BaFin prüft aktuell, inwiefern die Erkenntnisse der Universität Innsbruck zielführend und umsetzbar sind. Erste Erkenntnisse aus dem Forschungsprojekt hat die BaFin bereits vor Projektabschluss genutzt – beispielsweise um Anforderungen an die Auswertung der Daten, welche die beaufsichtigten Unternehmen künftig zu ihren wesentlichen Auslagerungen melden müssen, sowie an deren Darstellung auszuarbeiten. Auf Grundlage dieser Daten wird zukünftig eine Landkarte der wesentlichen Dienstleister und Abhängigkeiten erstellt.

Wichtig ist es aus Sicht der BaFin zudem, auch in der IT-Aufsicht auf einer breiten Datengrundlage zu arbeiten und dafür beispielsweise auch Informationen aus der Medienberichterstattung zu nutzen.

Nicht zuletzt spiegeln sich die Ergebnisse des Forschungsprojekts auch in dem Digital Operational Resilience Act (DORA) wider: Mit Fokus auf die Informations- und Kommunikationstechnologie fordert DORA ein Informationsregister mit allen Vertragsbeziehungen, die mit der Nutzung von IKT-Dienstleistungen in Verbindung stehen. Der Begriff der „Auslagerung“ wird erweitert durch „IKT-Vertragsbeziehungen“ und vervollständigt die Sektorlandkarte.

Nicht umsetzen wird die BaFin die Empfehlung des Forschungsteams, selbst als Cloud-Anbieterin aufzutreten.

Abschlussbericht verfügbar

Das Forschungsprojekt ist Mitte Juni abgeschlossen worden. Der vollständige Abschlussbericht ist nun auf der Website der BaFin verfügbar.

In Auftrag gegeben hatte die BaFin das Forschungsprojekt Ende 2019. Schon damals hatte sich gezeigt, dass sich die Wertschöpfungsketten im Finanzsektor ändern und insbesondere eine weitere Ausdifferenzierung stattfindet. Treiber hierfür sind unter anderem die gesetzlichen Neuregelungen zur Verbesserung des Wettbewerbs im Zahlungsverkehr, beispielsweise durch die PSD2.