Obwohl die öffentlichen Banken insgesamt nicht von kritischen Auswirkungen betroffen waren, steht das Thema Konzentrationsrisiken und die Bewertung dieser auch für Banken und Sparkassen auf der Tagesordnung – insbesondere auch bei Weiterverlagerungsdienstleistern. Hierbei ist allerdings insbesondere zu berücksichtigen, dass mit der Anwendung des Digital Operational Resilience Acts (DORA) in der gesamten EU ab 17. Januar 2025 die Konzentration auf wenige große Dienstleister weiter steigen dürfte. Nur größere und sehr große Dienstleister sind bei einer bedeutenden Anwendungsbreite in der Lage die Regulierungsanforderungen zu erfüllen, welche mit DORA durch Banken und Sparkassen an diese gestellt werden. Dazu kommt noch die Prüfung / Auditierung von IT- bzw. Cloud-Dienstleistern bei wesentlichen Auslagerungen durch Banken und Sparkassen, die Einbindung bei bedrohungsorientierten Tests (Threat-led Penetration Testing -. TLPT) sowie der benötigte umfassende Support. Wir erwarten, dass sich mit DORA zwar der Kreis der unter die Aufsicht fallenden Finanzunternehmen deutlich erhöhen wird, aber gleichzeitig den Umfang der regulatorischen Anforderungen nicht mehr leisten können und ggf. auch keine Dienste ggü. Finanzunternehmen anbieten könnten. Dies verschärft auch Konzentrationsrisiken besonders auf wenige große Anbieter weiter.
Teilweise wird im Zusammenhang der öffentlichen Diskussion über den letzten großen IT-Vorfall auch Kritik an der Nutzung von Cloud-Lösungen geäußert. Das häufig in diesem Zusammenhang geäußerte Konzentrationsproblem auf wenige große Dienstleister dürfte sich mit DORA nochmals verschärfen, da für kleinere Dienstleister der Umfang der Überwachung und Steuerung durch Finanzunternehmen als zu aufwändig betrachtet wird.
Gerade durch die Nutzung von Cloud-Lösungen können Finanzunternehmen verschiedene Resilienzstrategien und Maßnahmen zur Risikominderung umsetzen. Diese Strategien umfassen die Implementierung von Redundanz- und Backup-Systemen sowie sorgfältig ausgearbeitete Verträge mit IT-Dienstleistern, die Bedingungen für Service Level Agreements (SLAs), Sicherheitsanforderungen und Notfallwiederherstellungsmaßnahmen festlegen. Das Risiko von fehlerhaften Sicherheitspatches – die auch aus aufsichtlicher Sicht immer Vorrang vor anderen Maßnahmen haben sollen – liegt zudem nicht in der Nutzung einer Cloud-Lösung anstelle einer On-Premise-Lösung, sondern in einem stufenweisen Update-Vorgehen bzw. der Anwendung eines umfassenden Testframeworks auch bei agilen Softwareentwicklungs- und Implementierungsmehoden. On-Premise-Lösungen bieten per se zudem hierbei keine Sicherheitsvorteile.
Perspektivisch werden Cloud-Systeme und ein dezentraler Betrieb weiter an Bedeutung gewinnen! Somit wird auch die Cybersicherheit eine Top-Priorität für die Finanzindustrie bleiben, insbesondere auch in Bezug auf die Prozesse bei Dienstleistern und die Reaktionsgeschwindigkeit bei Vorfällen.