Sie sind hier: Home » Markt » Hinweise & Tipps

Stresstest der Europäischen Zentralbank


EZB-Test: Was stresst die Banken am stärksten?
Die Gleichung "Bank gleich Mainframe" gilt schon lange nicht mehr: Laut einer Studie hatten im Jahr 2021 bereits 78 Prozent der deutschen Banken auf Cloud-Dienste gesetzt



Am 2. Januar 2024 hat der Stresstest der Europäischen Zentralbank für große Institute im Euroraum begonnen. Insgesamt sind mehr als 100 Banken betroffen, ein tiefer gehender Test steht im Nachgang für über 20 dieser Banken an. Mit der "Trockenübung" eines Cyberangriffs möchte die EZB Melde- und Wiederherstellungsprozesse der Banken prüfen. Welche größeren Schwachstellen wird die EZB dabei identifizieren? Dominik Bredel, Practice Leader Security & Resilienz bei Kyndryl Deutschland, sieht auf die Banken Herausforderungen zukommen, insbesondere durch Konzentrationstendenzen im Zuge der Cloud-Transformation.

Die Gleichung "Bank gleich Mainframe" gilt schon lange nicht mehr: Laut einer Studie hatten im Jahr 2021 bereits 78 Prozent der deutschen Banken auf Cloud-Dienste gesetzt. Ihr Einsatz beschränkt sich zudem nicht mehr nur auf nachgelagerte Anwendungen. Inzwischen sind Hybrid-Cloud-Systeme die Norm in vielen Bankinstituten. Dabei spielt das Kernbankensystem, die Schaltzentrale der Geldinstitute, in der beispielsweise alle Kontobewegungen durchgeführt oder Spareinlagen gespeichert werden, eine enorm wichtige Rolle. Ein Ausfall kann entsprechend dramatische Folgen haben, diese Infrastrukturen müssen also bestmöglich geschützt und mit Backups abgesichert werden.

Während Neobanken dabei vollständig Cloud-basiertes Banking betreiben, verlassen sich etablierte Institute nach wie vor auch noch auf bestehenden On-Prem-Infrastrukturen, wie unter anderem auf Mainframes. Auf Systemebene entsteht dadurch ein gewisser Schutz durch die Verteilung und Redundanz der Daten. Das heißt: Wird eine Bank angegriffen, fällt im Zweifelsfall nur diese eine Bank aus. Während sie Recovery-Maßnahmen einleitet, läuft der Betrieb in anderen Instituten regulär weiter. Für die Kunden der angegriffenen Bank ist das zwar ausgesprochen ärgerlich, das Banksystem an sich bleibt aber intakt.

Stellen wir uns nun ein anderes Szenario vor: Die gesamte Branche arbeitet Cloud-native und wenige Kernbankensysteme, die auf den drei Hyperscalern laufen, übernehmen das gesamte Processing. Ein einzelner gelungener Angriff stellt dann ein systemisches Risiko mit kaum absehbaren Folgen dar.

Dieses hypothetische und zugegebenermaßen drastische Beispiel dürfte kaum je Realität werden, allerdings verdeutlicht es ein konkretes Risiko für den Sektor: Konzentrationstendenzen im Zuge der Cloud-Transformation können ähnlich wie Klumpenrisiken in Anlageportfolien zu einer Risikokumulation führen. Das ist der Fall, wenn viele Banken die gleichen Dienstleister nutzen – bestes Beispiel dafür sind eben die Hyperscaler.

Ein besonders wichtiges Anliegen des aktuellen Stresstests ist es daher, solche Abhängigkeiten und daraus resultierende systemische Risiken aufzudecken. Dass derartige Probleme zutage treten, ist sehr wahrscheinlich. Daher wird die EZB basierend auf ihrem Test voraussichtlich Diversifikation und Risikostreuung empfehlen, was auch in Hinblick auf die Resilienz zu begrüßen wäre. Denn am 17. Januar 2025 tritt DORA (Digital Operational Resilience Act), eine Verordnung der Europäischen Union, in Kraft. Infolgedessen werden Finanzunternehmen weitere Anforderungen an die Cyber-Resilienz erfüllen müssen. Allerdings: Im Umkehrschluss könnten durch Diversifikation auch komplexere Systeme entstehen, die wiederum größere Angriffsflächen bieten.

Auf Banken kommen deshalb in Zukunft mehrere große Herausforderungen zu:

1. Sie müssen ihre Cloud-Transformation weiter vorantreiben, um den Anschluss an Neobanken und FinTechs nicht zu verlieren und selbst neue Innovationen auf den Markt bringen zu können.

2. Ihr Kerngeschäft, das auch weiterhin zumindest teilweise Mainframe-basiert sein wird, muss damit verzahnt werden.

3. Für die genannten Punkte sind die Institute auf Dienstleister angewiesen, müssen aber gleichzeitig vermeiden, in Abhängigkeit von diesen zu geraten. So können sehr komplexe Hybrid-Multi-Cloud-Systeme entstehen.

4. Diese Systeme müssen verwaltetet, überwacht und abgesichert werden. Das wird nur gelingen, wenn Banken eine Integrationsplattform nutzen, die alle Assets integriert und eine zentrale Zugriffsebene für Verantwortliche schafft.

Der Stresstest ist eine gute Gelegenheit, kritisch auf die eigenen Infrastrukturen zu blicken und mögliche Schwachstellen zu identifizieren – ob man direkt betroffen ist oder nicht. Die jetzt durchgeführte Variante des Planspiels ist aufgrund der Vorankündigung noch relativ harmlos. Zukünftig folgen womöglich realistischere Test mit simulierten Angriffen – eventuell sogar ohne Vorwarnung. Banken, die es versäumen, entsprechende Vorbereitungen zu treffen, könnten nicht nur von einem solchen Test, sondern auch von echten Angriffen überrascht werden. (Kyndryl: ra)

eingetragen: 21.02.24
Newsletterlauf: 23.04.24


Kyndryl: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hinweise & Tipps

  • Ethik für KI-Technologien ein Muss

    Das Europäische Parlament hat kürzlich mit dem "AI-Act" die weltweit erste staatliche Regulierung von KI verabschiedet. Die Verordnung soll die Entwicklung und den Einsatz von KI-Technologien maßgeblich regeln, indem sie Transparenz, Rechenschaftspflichten und Sicherheitsstandards vorschreibt.

  • Prüfungsangst kommt nicht von ungefähr

    Stehen die Prüfer des Fiskus vor der Tür, steigt in fast jedem Unternehmen das Nervositätslevel. Die Besucher kündigen sich zwar rechtzeitig an, stellen ihren Gastgebern aber ausführliche Detailfragen und schauen sich interne Unterlagen genau an, was nicht nur Zeit und Nerven kostet, sondern manchmal auch sehr viel Geld. "Mit einer gründlichen Vorbereitung können Firmen, Freiberufler und Selbstständige der Kontrolle ihrer Buchführung durch das Finanzamt aber in aller Regel gelassen entgegenblicken", betont Prof. Dr. Christoph Juhn, Professor für Steuerrecht an der FOM Hochschule und geschäftsführender Partner der Kanzlei Juhn Partner.

  • Bausteine für ein erfolgreiches ESG-Reporting

    Das Europäische Parlament hat bereits zum Jahresende 2022 die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (Corporate Sustainability Reporting Directive, kurz CSRD) angenommen. Zahlreiche Unternehmen - kapitalmarktorientierte, aber auch viele aus dem Mittelstand - sind spätestens Anfang 2025 rechtlich dazu verpflichtet, Informationen über die gesellschaftlichen und ökologischen Auswirkungen ihres Handelns zu veröffentlichen und nach einem klar vorgegebenen Kriterienkatalog Rechenschaft abzulegen.

  • Chaos bei der Umsetzung von NIS-2 droht

    Ein Blick zurück kann manchmal sehr lehrreich sein: Am 26. Mai 2018 trat die Datenschutz-Grundverordnung, kurz DSGVO, in Kraft - genauer gesagt endete die 24-monatige Übergangsfrist. Zwei Jahre hatten deutsche Unternehmen also Zeit, ihre Prozesse an die neue Richtlinie anzupassen.

  • Die Uhr für DORA-Compliance tickt

    Ab dem 17. Januar 2025, gilt der Digital Operational Resilience Act (DORA) EU-weit für Finanzunternehmen und ihre IT-Partner. Da es sich um eine Verordnung der europäischen Union handelt, findet die Umsetzung in nationales Recht nicht statt.

NIS-2-Umsetzungsgesetz (NIS2UmsuCG) Compliance, Regulierung und betriebliche Risiken

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen