DORA-Umsetzung – Lieber auf Nummer Sicher

Heute ist EquiLend an der Reihe. Die US-Wertpapierhandelsplattform, die bedeutende Teile des Geschäfts an der Wall Street abwickelt, meldete am Mittwoch (24.1.) „unautorisierten Zugriff“ auf ihre Systeme und nahm Teile der Infrastruktur vom Netz. Bis der Angriff abgewehrt ist und wieder Ordnung einkehrt, kann es wohl mehrere Tage dauern. So lange müssen sich die Händler mit Excel-Listen behelfen, wie die amerikanischen Medien berichten.

Welche Risiken mittlerweile von Cyber-Attacken ausgehen, ist der Finanzbranche längst klar. Ob die Institute dagegen auch ausreichende Vorkehrungen treffen, testet die EZB inzwischen mit Stresstests. Die Deutsche Kreditwirtschaft (DK) verweist gerne auf die Anfälligkeit der Bankkunden für dreistes „Phishing“, bei dem Passwörter und andere Zugangsdaten erbeutet werden; weil die IT-Systeme der Banken inzwischen zum Hochsicherheitstrakt ausgebaut worden seien, wichen die Kriminellen eben auf den Faktor Mensch aus. Dasselbe dürfte freilich auch innerhalb der Institute gelten, solange kein ultimativer Schutz gegen die Eigeninitiative von Mitarbeitern besteht, die allen Mahnungen zum Trotz fremde Hardware anstöpseln oder auf verdächtige Download-Buttons klicken.

Der Probebeschuss durch die Zentralbank simuliert für die betroffenen Institute – 109 in ganz Europa, davon 28 vertieft – einen Querschnitt dessen, was die Regulatorik demnächst verbindlich vorsieht. „Die Cyber-Stresstests der EZB nehmen viele Punkte, die durch DORA geregelt werden, schon in einem konkreten Angriffsszenario vorweg“, sagt Timo Bernau, Regulierungsexperte bei GSK Stockmann. Der „Digital Operational Resilience Act“ (DORA) der EU regelt seit Anfang 2023 das IT-Risikomanagement für den gesamten Finanz- und Versicherungssektor. Darunter fallen, anders als in der Vergangenheit, auch externe Anbieter für Informations- und Kommunikationstechnologie (IKT).

Für die Umsetzung haben die Unternehmen zwar noch ein bisschen Zeit, denn DORA greift erst 2025. Doch entspannt zurücklehnen kann sich trotzdem niemand. Gerade für kleinere Finanzdienstleister und IT-Firmen entsteht hier eine völlig neue Dimension der Regulierung, die den Aufsehern – in Deutschland BaFin und Bundesbank – auch weitgehende Kontrollmöglichkeiten an die Hand gibt. Für Unternehmen unterhalb einer bestimmten Schwelle (10 Mitarbeiter, 10 Mio. Euro Jahresumsatz) gibt es diverse Erleichterungen, auch mittelgroße Player wird die Aufsicht vermutlich nicht so hart anfassen wie Deutsche Bank und Konsorten.

Manche haben noch gar nicht angefangen

Handlungsbedarf besteht dennoch. „Manche kleinere Institute haben mit der DORA-Umsetzung noch gar nicht angefangen“, berichtet Jens-Holger Petri, Ex-ING-Syndikus und bei der Frankfurter Kanzlei Waldeck an der Schnittstelle von IT- und Finanzaufsichtsrecht aktiv. „Ein paar Monate mag das noch gut gehen, aber wer sich spätestens im Sommer noch nicht damit beschäftigt hat, wird nicht rechtzeitig fertig und dann ziemlich sicher Beanstandungen der Aufsicht bekommen.“

Wer den ersten Schritt, die „Gap-Analyse“ der bestehenden Risikomanagement- und Governance-Strukturen, schon hinter sich hat, steckt derzeit meist mitten in dem Prozess, die Outsourcing-Verträge an die DORA-Regeln anzupassen. Gerade die großen IT-Dienstleister, von Atruvia oder der Amazon-Cloud-Tochter AWS bis zur Sparkassen-eigenen Finanz Informatik, hätten oft schon vor den Banken mit ihren Vorbereitungen angefangen, beobachtet Petri. Banken und IT-Firmen schauten aber oft etwas unterschiedlich auf die neuen Vorgaben. „Die Technikunternehmen neigen eher zu schlanken, standardisierten Lösungen, während die Banken darauf achten, dass alle Anforderungen voll erfüllt oder sogar übererfüllt werden“, erläutert Petri.

Dass viele IKT-Serviceunternehmen erst noch abwarten, hat auch damit zu tun, dass die Banken sich die Gestaltung von Outsourcing-Kontrakten nicht aus der Hand nehmen lassen. Bis ein Institut sich durch das eigene Vertragswesen gewühlt hat, sind den Technikdienstleistern oft die Hände gebunden. Und das kann dauern. „Die größte Herausforderung ist bei einigen Instituten oft die schiere Masse potenziell DORA-relevanter Verträge sowie allgemein die Menge an rechtlichen Details“, sagt GSK-Partner Bernau. Dazu kommen noch Unschärfen, die das Regelwerk an entscheidenden Stellen beeinträchtigen. „Auch wenn die maßgeblichen Regulierungs- und Implementierungsstandards (ITS/RTS) inzwischen vorliegen, hat man es oft immer noch mit ‚moving targets‘ zu tun, weil die genaue Anwendung und Auslegung wenigstens teilweise offenbleibt“, erläutert Bernau.

Wer im Sinne ausgleichender Gerechtigkeit darauf hofft, dass die rasanten Fortschritte der Digitaltechnologie nicht nur als Bedrohung, sondern auch zur Arbeitserleichterung einsetzbar werden, muss vielleicht noch ein bisschen abwarten. Was Bernau bisher an KI-basierten Lösungen zum DORA-konformen, automatisierten Sichten und Erfassen von Vertragsinhalten begegnet ist, war „noch nicht sehr überzeugend“, findet er. „Das mag sich ändern, vielleicht auch schon bald, aber vieles bleibt erst einmal Handarbeit.“

2025 wird es ernst

Wenn die neuen Regeln dann in knapp einem Jahr greifen, ist die Arbeit sicher noch nicht vorbei. Denn zum einen dürften gerade kleinere oder bisher weniger digital-affine Finanzunternehmen mit der DORA-Umsetzung noch nicht ganz durch sein. Zum anderen werden sich die Aufseher den realen Stand der „Digitalresilienz“ in der Branche erst mit Eingang der geprüften 2024er-Jahresabschlüsse ansehen können. Bis die ersten größeren Lücken bemängelt und die ersten – potenziell durchaus bedeutenden – Bußgelder verhängt sind, dürfte sich das Jahr 2025 langsam dem Ende zu neigen.

Waldeck-Partner Petri fühlt sich dabei stark an die Einführung der Datenschutzgrundverordnung 2018 erinnert. Gerade kleinere Unternehmen hatten sich damals erst spät und eher widerstrebend mit dem neuen Thema beschäftigt; auch aufseiten der Datenschutzbehörden ruckelte es ein bisschen, bis ein realitätstauglicher Modus gefunden war. Letztlich spielte sich aber alles einigermaßen ein.

Im Vergleich dazu hat die DORA-Regulierung den Vorteil, dass die Finanzaufsicht deutlich stärker besetzt ist, schon von der reinen Personalzahl her. GSK-Partner Bernau macht sich denn auch keine allzu großen Sorgen; am Ende seien die DORA-Regeln durchaus handhabbar. Man darf das Thema nur nicht auf die leichte Schulter nehmen. „Manche Institute und Dienstleister unterschätzen die Projektarbeit, die da auf sie zukommt“, warnt Bernau. Bleibt nur zu hoffen, dass nicht noch Zusatzprojekte durch reale Cyber-Attacken dazwischenkommen. np