IT-Risiken gehören aus Sicht der BaFin zu den Hauptrisiken für den Finanzsektor. Vor allem Cyber-Angriffe können gravierende Auswirkungen auf Finanzunternehmen haben. Konzentrationen bei der Auslagerung von IT-Dienstleistungen verstärken dieses Risiko. Im Jahr 2023 haben Finanzunternehmen der BaFin zahlreiche IT-Vorfälle mit Auswirkungen auf Zahlungsdienste gemeldet. Die Daten – die hier in aggregierter Form erstmals veröffentlicht werden – geben Aufschluss über Trends, Auffälligkeiten und aktuelle IT-Risiken.

Diese Informationen erhält die BaFin durch das Meldewesen für schwerwiegende Betriebs- und Sicherheitsvorfälle, kurz: „Zahlungsvorfall“ bzw. „Vorfall“. Dies ist ein vom Zahlungsdienstleister nicht beabsichtigter Vorfall, der sich negativ auf die Integrität, die Verfügbarkeit oder die Authentizität von zahlungsbezogenen Diensten auswirkt oder wahrscheinlich auswirken wird. Dabei kann ein Vorfall auch mehrere dieser Schutzziele betreffen. Es kann sich um ein Einzelereignis oder um eine Verkettung von Ereignissen handeln.

Grundlage für die Meldungen ist das Rundschreiben 03/2022 (BA). Es setzt die Meldeanforderungen der Richtlinie (EU) 2015/2366 (Payment Services Directive2 – PSD2) um. Das Rundschreiben gilt nicht für den gesamten Finanzsektor, sondern nur für Zahlungsinstitute, E-Geld-Institute, Kreditinstitute, die der Eigenmittel-Verordnung (Capital Requirements Regulation – CRR) unterliegen, und die Kreditanstalt für Wiederaufbau. Meldepflichtig sind diese Institute, wenn sie Zahlungsdienste im Sinne des § 1 Absatz 1 Satz 2 Zahlungsdiensteaufsichtsgesetz (ZAG) erbringen. Vorfälle, die keine Auswirkungen auf zahlungsbezogene Dienste haben, fallen nicht unter die Definition dieses Rundschreibens und müssen damit nicht gemeldet werden.

Abbildung 1: Gemeldete Zahlungsvorfälle seit 2020

(c) BaFin

2023 wurden der BaFin rund 235 Zahlungsvorfälle gemeldet – ein Anstieg um 17,5 Prozent gegenüber dem Vorjahr (siehe Abbildung 1). Dieser Wert liegt jedoch unter dem Höchstwert aus dem Jahr 2021. Bei rund 5,1 Prozent der Vorfälle handelt es sich um Sicherheitsvorfälle, welche wie in den vorherigen Jahren nur einen geringen Teil der Meldungen ausmachen (siehe Abbildung 2).

Bei Sicherheitsvorfällen handelt es sich meist um Cyber-Attacken, wie Distributed-Denial-of-Service (DDoS)-Attacken oder Betrugsvorfälle, beispielsweise durch Phishing (siehe Kasten „Auf einen Blick“). Für den niedrigen Anteil an Sicherheitsvorfällen könnte es verschiedene Gründe geben: Etwa, dass es den Instituten gelang, Angriffe erfolgreich abzuwehren, Angriffe keine Auswirkungen auf zahlungsbezogene Dienste hatten oder die Auswirkungen die Meldeschwellen nicht überschritten. Der geringe Anteil an Sicherheitsvorfällen bedeutet somit nicht, dass es im Jahr 2023 nur wenige Angriffe gab oder dass das Risiko niedrig war, Opfer eines Cyber-Angriffes zu werden. Ganz im Gegenteil: Das Risiko ist nach wie vor hoch.

Abbildung 2: Vorfallstypen und -ursachen

(c) BaFin

Mit 94,9 Prozent handelte es sich bei einem Großteil der Meldungen um Betriebsvorfälle. Solche Vorfälle sind auf interne, operationelle Fehler zurückzuführen. Hierunter fallen vor allem Prozess- und Systemfehler, die Ursache für rund 78 Prozent der Vorfälle sind. Das zeigt: Für eine hohe operationelle Resilienz ist nicht nur ein starker Schutz gegenüber externen Angriffen sehr wichtig. Unternehmen müssen auch ihre eigenen Systeme und Prozesse im Griff haben.

Institute lagern zahlreiche IT-Dienstleistungen an externe Dienstleister aus. In Zukunft dürften Auslagerungen noch mehr zunehmen. Dieser Trend sorgt dafür, dass der Finanzsektor eine immer größere Angriffsfläche bietet. So entstehen neue Risiken. Vorfälle bei Dienstleistern betreffen häufig mehrere Institute gleichzeitig, wodurch sie den Finanzsektor im Extremfall stark beeinträchtigen können.

Abbildung 3: Vorfallsursachen bei Dienstleistern

(c) BaFin

Die Relevanz von Auslagerungsunternehmen für die IT-Resilienz des Finanzsektors wird auch mit Blick auf die gemeldeten Zahlungsvorfälle deutlich. Wie Abbildung 3 zeigt, lag die Ursache für einen gemeldeten Zahlungsvorfall im Jahr 2023 in rund 40 Prozent der Fälle nicht beim Finanzinstitut selber, sondern bei einem seiner Dienstleister.

Die gemeldeten Zahlungsvorfälle wirken sich auf unterschiedliche Schutzziele aus, wie Abbildung 4 zeigt. Die überwiegende Mehrheit der Vorfälle beeinflusst die Verfügbarkeit von zahlungsbezogenen Diensten, wie das Online- oder Mobile-Banking, oder verzögert das Transferieren von Beträgen. Deutlich seltener betroffen sind die anderen drei Schutzziele. Dies dürfte unter anderem daran liegen, dass das Meldewesen nur auf Zahlungsvorfälle ausgerichtet ist, für die die Verfügbarkeit eine wesentliche Messgröße ist. Das Meldewesen nimmt nicht die Informationssicherheit allgemein in den Fokus.

Abbildung 4: Gesamtauswirkung von Vorfällen auf Schutzziele

(c) BaFin

Abbildung 5: Betroffene Geschäftskanäle

(c) BaFin

Meistens betrafen Vorfälle im Jahr 2023 digitale Zahlungsdienste wie E-Banking und Mobile-Banking (siehe Abbildung 5). Der Punkt „Sonstiges“ wird relativ häufig ausgewählt, wenn es sich um Verzögerungen in der Transaktionsverarbeitung handelt.

Abbildung 6 unterstreicht, dass Vorfälle meist die Transaktionsverarbeitung betrafen: 60 Prozent der Vorfälle wirkten sich auf das Clearing und die direkte beziehungsweise indirekte Verrechnung aus. Weitere 31,5 Prozent schränkten die Authentifizierung von Nutzerinnen und Nutzern oder die Autorisierung von Zahlungen ein.

Abbildung 6: Betroffene Funktionsbereiche

(c) BaFin

Die Auswirkungen der gemeldeten Vorfälle lassen sich auch an der Zahl der betroffenen Zahlungsdienstnutzerinnen und -nutzer sowie dem Volumen der betroffenen Transaktionen bemessen. Im Jahr 2023 waren insgesamt 7,12 Millionen Zahlungsdienstnutzerinnen und -nutzer durch die gemeldeten Vorfälle betroffen, wobei eine Person oder ein Unternehmen auch von mehreren Vorfällen betroffen sein konnte. Im Durchschnitt wirkte sich ein Vorfall auf 30.288 Nutzerinnen und -nutzer aus.

Das Volumen aller Transaktionen, die durch die gemeldeten Vorfälle – also sowohl durch Betriebs- als auch Sicherheitsvorfälle – betroffen waren, belief sich auf insgesamt 52,74 Milliarden Euro. Hierbei handelt es sich jedoch nicht um den wirtschaftlichen Schaden der Institute. Meistens waren dies Transaktionen, die aufgrund interner Probleme verspätet ausgeführt wurden. Hinzu kommen Transaktionen, die gar nicht erst in Auftrag gegeben werden konnten, weil beispielsweise das Online-Banking vorübergehend nicht verfügbar war. Deren Volumen müssen die Institute schätzen. Die Schätzungen fließen in die oben genannte Summe ein.

Im Durchschnitt hatte ein Vorfall Auswirkungen auf Transaktionen mit einem Volumen von 224 Millionen Euro. Die Hälfte aller Vorfälle betraf sogar weniger als 14 Millionen Euro (Medianwert). Das zeigt, dass wenige besonders schwerwiegende Vorfälle den Durchschnittswert stark nach oben beeinflussen. Ähnliches gilt für die Zahlungsdienstnutzerinnen und -nutzer. Die Mehrheit der Vorfälle betraf also nur eine geringe Anzahl an Zahlungsdienstnutzerinnen und -nutzern bzw. nur ein geringes Transaktionsvolumen.

Vorfälle bei Auslagerungsunternehmen

Zusätzlich zu den Meldungen über Zahlungsvorfälle erhält die BaFin Anzeigen über schwerwiegende Vorfälle im Rahmen wesentlicher Auslagerungen beziehungsweise wichtiger Ausgliederungen. Solche Vorfälle müssen die Finanzunternehmen immer dann anzeigen, wenn die Vorfälle die Geschäftstätigkeit des Finanzunternehmens wesentlich beeinflussen können.

Der Unterschied zum PSD2-Vorfallsmeldewesen: Schwerwiegende Vorfälle im Rahmen von wesentlichen Auslagerungen bzw. wichtigen Ausgliederungen müssen Unternehmen fast aller Finanzbranchen anzeigen, also nicht nur die Institute, die Zahlungsdienste erbringen. Welche Vorfälle als schwerwiegend anzusehen sind, wird durch die jeweiligen Anzeigenverordnungen genauer erläutert.

Für Kreditinstitute beispielsweise befinden sich diese Anforderungen in § 24 Absatz 1 Nummer 19 Kreditwesengesetz (KWG) in Verbindung mit § 3 Absatz 4 KWG-Anzeigenverordnung (KWG-AnzV), für Versicherer in § 47 Nummer 9 Gesetz über die Beaufsichtigung von Versicherungsunternehmen (VAG) in Verbindung mit § 3 Absatz 2 Versicherungs-Ausgliederungsanzeigenverordnung (VersAusgl-AnzV). In den Verordnungen bietet der nicht abschließende Regelbeispielkatalog eine Orientierung, welche Vorfälle unter diese Meldepflicht fallen.

Im Jahr 2023 erreichten die BaFin sektorweit 82 Anzeigen über Vorfälle im Rahmen bestehender wesentlicher Auslagerungen bzw. wichtiger Ausgliederungen. Diese Zahl ist allerdings nur ein grober Richtwert für Vorfälle bei Auslagerungsunternehmen: Einerseits könnte die tatsächliche Zahl an Vorfällen geringer sein, da meist mehrere Unternehmen von einem Vorfall bei einem Auslagerungsunternehmen betroffen waren und ihre Betroffenheit der BaFin gemeldet haben. Andererseits besteht keine Anzeigepflicht, wenn der Vorfall bereits über eine PSD2-Meldung gemeldet wurde. Das könnte dazu führen, dass die Anzahl an Vorfällen bei Auslagerungsunternehmen tatsächlich etwas höher ist.

Beispiele verdeutlichen Risiken

Im vergangenen Jahr gemeldete Vorfälle zeigen, welche Auswirkungen operationelle Schwächen bei Unternehmen und erfolgreiche Cyber-Angriffe haben können. Gleich mehrere Unternehmen wurden Opfer von Ransomwareangriffen (siehe Kasten „Auf einen Blick“). Ransomwareangriffe gelten als eine der größten Bedrohungen für Unternehmen, da sie das Potenzial haben, den Geschäftsbetrieb über einen längeren Zeitraum erheblich zu stören.

In einem besonders schweren Fall wurde im Jahr 2023 ein von der BaFin beaufsichtigtes Unternehmen Opfer einer „double extortion“: Das heißt: Daten wurden zuerst exfiltriert, also illegal abgegriffen, und danach verschlüsselt. Durch die Verschlüsselung musste das Unternehmen seine IT-Systeme vorübergehend abschalten, der Geschäftsbetrieb war längere Zeit eingeschränkt. Die exfiltrierten Daten veröffentlichten die Kriminellen teilweise später im Darknet.

Vorfälle bei Dienstleistern zeigen, dass die gesamte Wertschöpfungskette – inklusive der Auslagerungsunternehmen – eine hohe operationelle Resilienz benötigt. So nutzten Kriminelle eine noch nicht bekannte Schwachstelle in der Software eines Dienstleisters aus und erbeuteten Daten zahlreicher Bank- und Versicherungskundinnen und -kunden (Zeroday-Exploit). Ursache weiterer schwerwiegender Vorfälle waren zudem Fehler im Change-Management bei umfangreicheren IT-Umstellungen, Schwächen in der Supply-Chain und Betrug. Auf besonders schwerwiegende Vorfälle reagiert die BaFin beispielsweise mit Aufsichtsgesprächen oder mit aufsichtlichen Maßnahmen wie eingehenden Prüfungen.

Stetige Anpassung an aktuelle Risiken notwendig

Ständige technische Innovationen stellen die Unternehmen vor große Herausforderungen. Die Zahl der Schwachstellen steigt und Kriminelle haben immer mehr Möglichkeiten, ihre Angriffstechniken auch durch Künstliche Intelligenz zu verbessern. Auch durch geopolitische Konflikte und staatlich organisierte Cyber-Kriminalität wächst die Bedrohung. Die Unternehmen müssen ihre IT-Sicherheit daher stetig anpassen und weiterentwickeln.

Die BaFin erwartet, dass insbesondere die Anwendung des Digital Operational Resilience Acts (DORA) ab dem 17. Januar 2025 die operationelle Resilienz des Finanzsektors stärken wird. Dann wird auch das PSD2-Vorfallsmeldewesen durch die Meldepflicht für schwerwiegende IKT-Vorfälle im Rahmen von DORA ersetzt. DORA weitet die Meldepflicht für schwerwiegende IKT-Vorfälle auf den gesamten Finanzsektor aus und definiert einheitliche Meldeanforderungen für alle Finanzunternehmen. Die Meldeanforderungen zielen künftig also nicht mehr nur auf Vorfälle ab, die Zahlungsdienste betreffen. Sondern sie umfassen sämtliche Vorfälle, die sich auf kritische Dienste und IT-Schutzziele auswirken.

Die BaFin wird hierdurch ein umfangreicheres Bild über Vorfälle bei Finanzunternehmen und die IT-Sicherheit des Finanzmarktes erhalten. So wird sie aktuelle Risiken und Entwicklungen noch besser als bisher analysieren können, um – falls notwendig – schnell Maßnahmen zur Sicherung der Finanzstabilität ergreifen zu können.