Cybersecurity für Finanzunternehmen

Finanzinstitute sind aus zwei Gründen besonders herausfordernde Kunden: Sie sind erstens hochattraktive Angriffsziele – direkte finanzielle Beute, hochsensible Kundendaten, systemische Bedeutung für die Wirtschaft – und zweitens unterliegen sie dem dichtesten regulatorischen Rahmen im Bereich Cybersicherheit. Wer in der Finanzbranche tätig ist, hat keine Wahl zwischen Compliance und Sicherheit: beides ist gesetzlich vorgeschrieben.

Die Angreiferseite ist entsprechend professionell. Organisierte Cyberkriminalität, staatlich gesteuerte Akteure und interne Bedrohungen sind im Finanzsektor alle überdurchschnittlich aktiv. Business Email Compromise (BEC), SWIFT-Angriffe, Ransomware gegen Verwaltungssysteme und gezielte Spionage gegen Handelsinfrastrukturen sind keine theoretischen Szenarien, sondern bekannte Angriffsmuster mit realen Schadensfällen in Milliardenhöhe.

Hinzu kommt die Komplexität moderner Finanzarchitekturen: Legacy-Core-Banking-Systeme, moderne Microservice-Architekturen, externe Cloud-Dienste und ein dichtes Netz von IKT-Drittanbietern – Rechenzentren, Zahlungsabwickler, Datenprovider, Analytics-Plattformen. Jeder dieser Anbieter ist ein potenzieller Angriffspfad. Das Drittanbieter-Management ist nicht umsonst ein Kernstück von DORA.

DORA (Digital Operational Resilience Act) ist seit dem 17. Januar 2025 vollständig anwendbar und gilt für Banken, Versicherungen, Wertpapierfirmen, Zahlungsdienstleister und Investmentfonds in der EU – sowie für kritische IKT-Drittanbieter dieser Institute. Die Verordnung definiert fünf Anforderungsbereiche: IKT-Risikomanagement, Incident-Meldung, Resilienztests, Drittanbieter-Management und Informationsaustausch.

Der IKT-Risikomanagementrahmen nach DORA geht über das hinaus, was BAIT und MaRisk bislang gefordert haben. Er verlangt eine vollständige Inventarisierung aller IKT-Systeme und deren Kritikalitätseinstufung, dokumentierte Schutzmaßnahmen für jede Systemklasse, Erkennungsmechanismen für Anomalien und Angriffe sowie getestete Reaktions- und Wiederherstellungspläne. Führungskräfte müssen nachweislich in IKT-Risikofragen geschult sein.

Besonderes Augenmerk verdienen die Resilienztests: DORA unterscheidet zwischen regulären Tests (Schwachstellenbewertungen, Penetrationstests) und dem anspruchsvollen Threat-Led Penetration Testing (TLPT), das für bedeutende Institute mindestens alle drei Jahre erforderlich ist. TLPT basiert auf dem TIBER-EU-Framework und erfordert spezifische Threat Intelligence über die konkreten Bedrohungsakteure, die auf das Institut abzielen könnten. Das ist kein Standard-Pentest.

Neben DORA gelten in Deutschland weiterhin die BaFin-Rundschreiben BAIT (Banken), VAIT (Versicherungen) und ZAIT (Zahlungsdienstleister), die technisch-organisatorische Mindestanforderungen für die IT von Finanzinstituten definieren. Diese nationalen Anforderungen werden durch DORA nicht vollständig ersetzt – sie bleiben als ergänzendes Regelwerk bestehen. Ein vollständiges Compliance-Programm muss beide Ebenen berücksichtigen.

MaRisk (Mindestanforderungen an das Risikomanagement) adressiert das Risikomanagement übergreifend und enthält in den Abschnitten AT 7.2 und BT 3 konkrete IT-Anforderungen. Die Prüfung durch die BaFin im Rahmen regulärer Bankenaufsicht bezieht sich explizit auf die Einhaltung dieser Vorgaben. Mängel in der IT-Sicherheitsorganisation, der Testpraxis oder im Drittanbieter-Management führen zu Beanstandungen und können aufsichtliche Maßnahmen nach sich ziehen.

Wir begleiten Finanzinstitute durch die vollständige Regulierungslandschaft: DORA-Gap-Analyse, BAIT-/VAIT-Review, Integration beider Anforderungsrahmen in ein konsolidiertes Compliance-Programm, Vorbereitung auf Aufsichtsgespräche und externe Audits. Mit unserem Hintergrund aus der Versicherungswirtschaft – Christian Gebhardt war Deputy CISO der Gothaer Versicherung – kennen wir die praktischen Herausforderungen dieser Projekte aus eigener Erfahrung.