Die Geschäftstätigkeit und Informationstechnologie der Unternehmen des Finanzsektors sind seit langem engmaschig digital vernetzt. In den vergangenen Jahren ist dieser Grad der Vernetzung beständig größer geworden – und mit ihm die Risiken, die den Marktteilnehmern sowie dem Finanzmarkt insgesamt durch IT-Ausfälle und Cyber-Angriffe drohen. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die Deutsche Bundesbank, das Bundesfinanzministerium (BMF) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie insgesamt elf Banken, Versicherer, Wertpapierhäuser, Zahlungsinstitute und IT-Dienstleister für die Finanzbranche haben deshalb in der vergangenen Woche über einen Zeitraum von zwei Tagen erprobt, wie Deutschlands Finanzsystem einem gravierenden Cyber-Angriff effektiv und abgestimmt begegnen könnte. Raimund Röseler, im Direktorium der BaFin zuständig für die Bankenaufsicht, unterstreicht die Bedeutung solcher Übungen: „Es ist wichtig, dass wir eine mögliche Attacke auf die IT- und Kommunikations-Infrastruktur von Finanzdienstleistern regelmäßig simulieren. Im Ernstfall ist der Handlungsdruck hoch und alle Beteiligten müssen schnell und vor allem koordiniert entscheiden. Darauf bereiten wir uns als Behörden gemeinsam mit den Unternehmen vor. Aufsichtsrechtlich steckt der Digital Operational Resilience Act (DORA) den regulatorischen Rahmen ab, auf dessen Grundlage die BaFin dafür sorgt, dass die Finanzunternehmen in Deutschland zur Abwehr von Cyber-Attacken künftig noch besser aufgestellt sind.“

Ziel der Übung war es, die Fähigkeiten zur Bewältigung eines schwerwiegenden Cyber-Angriffs zu testen, bei dem wichtige Komponenten der IT- und Kommunikations-Infrastruktur der Finanzunternehmen kompromittiert und funktionsuntauglich werden würden. Getestet wurden geeignete Gegenmaßnahmen in der IT der beteiligten Finanzdienstleister, die Abstimmung der Unternehmen untereinander und mit den Aufsichtsbehörden sowie die Kommunikation mit der Öffentlichkeit. DORA ist eine Verordnung für die Mitgliedsländer der EU, die die Widerstandsfähigkeit von IT und Kommunikation der Finanzindustrie gegenüber Cyber-Risiken verbessern soll. Im deutschen Finanzsektor wird sie für mehr als 3.500 Unternehmen ab dem Jahr 2025 verbindlich werden.

Die Übung wurde von der BaFin ausgerichtet und strategisch verantwortet; weitere Teilnehmer waren u. a. Bundesbank, Bundesfinanzministerium, BSI, Aquila Capital, Atruvia, Finanz Informatik, Fiserv, HSBC INKA, HUK-Coburg IKB, LVM, R+V sowie Wüstenrot & Württembergische. Die operative Übungsplanung und -vorbereitung sowie die zentrale Steuerung der beiden Übungstage lag bei der HiSolutions AG.