Finanzaufsicht sieht riskante Konzentration ausgelagerter IT-Dienstleistungen

Bank und Versicherungen lagern IT-Aufgaben aus – in manchen Bereichen an nur wenige Dienstleister. Hier und an anderen Stellen sieht die Bafin Risiken.

In Pocket speichern vorlesen Druckansicht 77 Kommentare lesen

Die Bafin hat ihr Hauptgebäude in Bonn, hier ein Blick auf die Bafin-Liegenschaft in Frankfurt am Main.

(Bild: Kai Hartmann Photography / BaFin)

Lesezeit: 4 Min.

Cyber-Attacken oder IT-Pannen sind aus Sicht der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eines der größten Risiken für den Finanzsektor. Die Finanzbranche verdiene aktuell gut oder sehr gut, sagte BaFin-Präsident Mark Branson: "Von den Gewinnen sollten nicht nur Aktionäre profitieren. Die Risikovorsorge darf nicht zu kurz kommen." Die Unternehmen müssten seines Erachtens auch mehr denn je in ihre operationelle Sicherheit und Stabilität investieren.

Diese Störungen durch Pannen oder Attacken müssten nicht einmal bei Banken oder Versicherern selbst auftreten, heißt es in dem nun von der Bafin vorgestellten Bericht zu Risiken in der Finanzwirtschaft. Auch könnten plötzliche Probleme bei beauftragten Dienstleistern das ganze System beeinträchtigen. In Deutschland deckten in einigen Bereichen einige wenige spezialisierte IT-Dienstleister einen Großteil der Kreditinstitute und Versicherer ab. Daher hat die Bafin sich nach eigenen Angaben besonders um Risiken gekümmert, die durch solche Konzentrationen entstehen.

"Sollten bei IT-Mehrmandanten-Dienstleistern Störungen auftreten, könnten plötzlich mehrere beaufsichtigte Unternehmen gleichzeitig nicht mehr auf ihre Dienstleistungen zugreifen", heißt es in dem Bericht. Besonders problematisch sei dies für kritische Prozesse, von denen die Funktionsfähigkeit der Unternehmen des Finanzsektors abhängt. Weitere Risiken könnten entstehen, indem IT-Dienstleistungen an Subdienstleister verlagert werden. Auch Störungen bei einem Subdienstleister könnten sich auf die gesamte Wertschöpfungskette auswirken. Solche Abhängigkeiten und Risiken seien von den Unternehmen, die IT-Aufgaben auslagern, nur schwer einzuschätzen und zu steuern.

Falls es zu Störungen kommt, könnten viele Finanzunternehmen die ausgelagerten IT-Dienstleistungen nur schwer an die wenigen anderen Dienstleister übertragen, wenn sie sie nicht selbst wieder übernehmen können. Das hat die Bafin nach eigenen Angaben Marktauswertungen entnommen. Das sei oft beim Cloud-Computing und bei ausgelagerten Teilprozessen im Zahlungsverkehr der Fall. Wettbewerber hätten meist keine ausreichenden Kapazitäten, um kurzfristig die Kunden von anderen Cloud-Anbietern zu übernehmen.

Ihren Marktüberblick gewinnt die Bafin aus Meldungen über IT-Auslagerung, die seit Ende November 2022 bei ihr eingehen. Da diese aber nur Auslagerungen seit diesem Datum betreffen, zieht sie Stichproben, die unter ihre Aufsicht fallen. Wenn es zu schwerwiegenden Vorfällen bei Dienstleistern kommt, warnt die BaFin die Unternehmen des Finanzsektors, die laut der Auslagerungsdatenbank diesen Dienstleister nutzen. Große, für Kreditinstitute tätige IT-Mehrmandantendienstleister überwacht die Bafin nach eigenen Angaben seit mehreren Jahren, sie lasse diese auch durch die Deutsche Bundesbank überprüfen.

Zur Digitalisierung als einen bedeutenden Trend in der Finanzwirtschaft weist die Bafin in ihrem Bericht darauf hin, dass KĂĽnstliche Intelligenz bereits in vielen Prozessen eingesetzt werde, zum Beispiel in der Kreditvergabe oder um Schadensregulierungsangebote zu erstellen. Aus Sicht der Bafin dĂĽrften KI-Modelle nur eingesetzt werden, wenn die aus ihnen folgenden Entscheidungen nachvollziehbar sind.

Die Bafin geht weiter davon aus, dass Quantencomputing in einigen Jahren im gesamten Finanzsektor genutzt werden könne. "Dabei besteht die Gefahr, dass Quantencomputer auch solche Verschlüsselungsmethoden überwinden, die nach dem bisherigen Stand der Technik als sicher gelten und damit Sicherheitslücken ausnutzen könnten", schreibt die Behörde. Bereits jetzt könnten böswillige Akteure große Mengen kritischer Daten abfangen, mit der Absicht, diese zu einem späteren Zeitpunkt mithilfe eines Quantencomputers zu entschlüsseln.

Neben Cyberattacken und der Konzentration bei der Auslagerung der IT-Dienstleistungen macht die Bafin als weitere Hauptrisiken signifikante Zinsanstiege, Korrekturen an den Immobilienmärkten, "signifikante Korrekturen" an den internationalen Finanzmärkten, Ausfall von Krediten an deutsche Unternehmen und unzureichende Geldwäscheprävention aus.

(anw)