Im Jahr 2019 beauftragte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) ein Forschungsteam der Universität Innsbruck mit der Analyse der Entwicklung der Wertschöpfungsketten im Finanzsektor sowie der Ableitung von Handlungsempfehlungen für die IT-Aufsicht. Auslöser war die zunehmende Ausdifferenzierung der Wertschöpfungsketten des Finanzmarkts im Zuge der fortschreitenden Digitalisierung, sowie gesetzlicher Neuregelungen zur Stärkung des Wettbewerbs im Zahlungsverkehr (z.B. PSD2).
Das Kernelement zur Ableitung von Handlungsmaßnahmen bildeten drei definierte Szenarien, welche hinsichtlich ihrer Relevanz für die Finanzindustrie mittels Interviews mit Banken, Finanzdienstleistern und IT-Unternehmen diskutiert und validiert wurden:
Szenario 1: Die erhöhte Komplexität der IT-Infrastruktur, ausgelöst durch eine digitalisierungsbedingte steigende Anzahl von Schnittstellen – über APIs oder Benutzerschnittstellen – zwischen Kreditinstituten und Dritten, vergrößert potenzielle Angriffsflächen für Cyber-Angriffe.
Szenario 2: Finanzinstitute lagern vermehrt an branchenspezifische IT-Dienstleister aus, welche wiederum alle die IT-Infrastruktur eines bestimmten IT-Dienstleisters verwenden (z.B. internationale Cloud-Anbieter). Dies führt zu einem erhöhten Konzentrationsrisiko.
Szenario 3: Infolge des Szenarios 2 besteht das Risiko der Vorwärtsintegration von Big Techs respektive Cloud-Anbietern. Durch die erhaltenen Kundendaten können diese einzelnen Teile der Wertschöpfungskette besetzen und Finanzdienstleistungen den Kunden selbst anbieten. Dies bedeutet eine erhöhte Komplexität für die Aufsicht, da die Produkte und Dienstleistungen im aufsichtsfreien Raum produziert werden.
Resultierend aus den Ergebnissen wurden verschiedene Handlungsmaßnahmen abgeleitet. Dabei steht insbesondere die Erstellung einer umfangreichen ‚Sektorlandkarte‘ im Fokus, welche Beziehungen und Abhängigkeiten zwischen Finanzinstituten, IT-Dienstleistern und weiteren Akteuren abbildet. Hierbei sollen alle Beschaffungen von IT-Dienstleistungen (nicht wie aktuell nur wesentliche Auslagerungen) von der Aufsicht erfasst werden. Dies ermöglicht die Identifizierung von Konzentrationsrisiken. Zusätzlich wird eine engere Zusammenarbeit der IT-Aufsicht mit weiteren Aufsichtsbehörden gefordert, um die Marktmacht sowie Konzentrationsrisiken zu erkennen und bei Bedarf schneller Handlungsmaßnahmen ergreifen zu können.
Die BaFin hat bereits eine erste Grundlage zur Erstellung einer Sektorlandkarte geschaffen. So sind Unternehmen des Finanzsektors auf Basis des FISG sowie dem WpIG seit dem 01.01.2022 dazu verpflichtet wesentliche Auslagerungen gegenüber der BaFin anzuzeigen. Handelt es sich um Kapitalverwaltungsgesellschaften betrifft dies alle Auslagerungen bzw. wichtige Ausgliederungen gemäß VAG.
Darauf aufbauend spiegeln sich die Ergebnisse im Digital Operational Resilience Act (DORA) bereits wider, wo ein Vertragsregister mit allen Vertragsbeziehungen, welche mit der Nutzung von IKT-Dienstleistungen in Verbindung stehen, eingefordert wird. Mithilfe dieser erweiterten Meldeerfordernisse kann die bisherige Lücke zur Erstellung einer Strukturlandkarte geschlossen werden. Weiterführende Informationen zu DORA können Sie unserem Fachartikel entnehmen. Den vollständigen Abschlussbericht des Forschungsteams um Prof. Dr. Rainer Böhme und Dr. Paulina Pesch finden Sie auf der Homepage der BaFin.
RFC Professionals begleitet ihre Mandanten seit vielen Jahren bei der Umsetzung aufsichtsrechtlicher Anforderungen in der IT. Neben der regulatorischen Expertise verfügen wir über vielfältige Praxiskenntnisse zu Bankprozessen sowie den in den Prozessen eingesetzten IT-Systemen und ihrer Schnittstellen untereinander. Greifen Sie auf unser umfangreiches Umsetzungs- und Benchmark-Know-How bei der Umsetzung der MaRisk, BAIT und EBA IKT Richtlinie sowie GAP Analysen und der Schließung von Findings aus aufsichtlichen Prüfungen zurück und kontaktieren Sie uns gerne per Mail.
Dringlichkeit
Umsetzungsaufwand
Auswirkungen
Ihre Ansprechpartner
