Source: Bundesanstalt für Finanzdienstleistungsaufsicht
Es gilt das gesprochene Wort!
Meine Damen und Herren,
über 4.500 Teilnehmer zählen wir heute. Das ist beeindruckend, für uns erfreulich und zeigt die große Relevanz von IT-Themen auch in der Aufsicht.
„Das erste Jahr DORA“ – darum geht es heute.
Bereits seit meinem Start bei der BaFin ist das Thema auf meiner Agenda. Ob bei Treffen mit Ihren Instituten, wo Sie mir sehr offen Ihr Feedback dazu gegeben haben, auf Veranstaltungen oder auch in vielen Gesprächen bei uns im Haus – DORA ist präsent.
Mir ist bewusst, dass die Einführung für Ihre Institute teilweise mühsam ist. Deshalb legen wir großen Wert auf den ehrlichen und direkten Dialog mit Ihnen. Wir lernen von Ihren praktischen Erfahrungen – und Sie verstehen die Perspektive der Aufsicht.
Hiermit heiße auch ich Sie herzlich willkommen!
Lassen Sie mich mit einer Frage beginnen.
Was schätzen Sie: Wie viele schwerwiegende IKT-Vorfälle wurden der BaFin seit dem Start von DORA im Januar dieses Jahres gemeldet?
Es sind über 600 bisher. Die Zahl zeigt das, was wir alle schon wissen: Schwerwiegende IKT-Vorfälle, und damit auch Cyberangriffe, sind keine theoretische Bedrohung mehr.
Sie sind da.
Und: Sie betreffen nicht nur einzelne Finanzinstitute, sondern können das gesamte Finanzsystem bedrohen.
Blicken wir also der Realität ins Auge: Cyberangriffe sind Alltag geworden. Operationelle Resilienz ist eine Gemeinschaftsaufgabe. Ehrlich gesagt: Wir fragen uns nicht, ob es zu größeren Schäden kommt, sondern eher wann es soweit sein wird.
Im Finanzsektor sind größere Schäden bislang ausgeblieben – auch weil das Sicherheitsniveau im Vergleich zu anderen KRITIS-Sektoren schon heute hoch ist.
Aber trotzdem: Die Situation bleibt angespannt. Angriffe auf die deutsche Wirtschaft und die Schadenhöhe nehmen zu. Auch im Finanzsektor stieg zuletzt die Zahl der Vorfallsmeldungen zur Cybersicherheit.
Finanzunternehmen sind ein attraktives Ziel für Cyberangriffe. Aufgrund ihrer Geschäftsmodelle verfügen sie über zwei hochattraktive Güter: Geld und sensible Daten. Gleichzeitig erbringen sie durch den Zahlungsverkehr kritische Dienstleistungen, die für das Funktionieren unserer Volkswirtschaft essentiell sind.
Das alles sind gute Gründe für Angriffe auf den Finanzsektor.
Umso wichtiger für uns: die Gefahren zu antizipieren und ihnen entschieden entgegenzutreten.
Deshalb ist DORA so wichtig!
Wir sind davon überzeugt: DORA gibt Ihnen wertvolle Instrumente an die Hand, mit denen Sie diese Gefahren angemessen managen können. Außerdem legt DORA über die sektorübergreifend einheitlichen Anforderungen die Basis für konsistentes Handeln im europäischen Finanzsektor. Gerade aufgrund der hohen Vernetzung ist es wichtig, dass alle Marktteilnehmer gute Schutzvorkehrungen haben.
Mein Appell an Sie lautet daher: Integrieren Sie diese Werkzeuge in Ihr tägliches Risikomanagement!
Wir tun das auch.
Mit DORA erhalten wir die Vorfallsmeldungen der von uns beaufsichtigten Finanzunternehmen. Das gilt von Asset Managern über Banken und Versicherer bis hin zu Wertpapier- und Zahlungsinstituten. Auf dieser Basis erstellen wir fortlaufend ein Cyber-Lagebild für den Finanzsektor. Damit lassen sich die Risiken besser verstehen und einschätzen – und wir können gezielt gegensteuern. Erkenntnisse aus dem Lagebild wollen wir perspektivisch auch mit Ihnen teilen.
Was tun wir noch?
Wir entwickeln die Instrumente weiter, mit denen wir schnell und wirksam auf Cyber-Krisen reagieren können.
In Deutschland haben wir vor einem Jahr den German Financial Cybercrisis Roundtable etabliert: ein nationales Instrument zur Krisenkoordination. Das haben wir bereits in Übungen erfolgreich getestet.
Auf europäischer Ebene koordinieren wir uns über das EU-Systemic Cyber Incident Coordination Framework. Wir sind auch mit unseren G7-Partnern eng vernetzt.
Wie wichtig Vernetzung und Informationsaustausch in der Aufsicht sind, zeigte sich etwa jüngst bei einer Störung von Sicherheitssystemen beim Zahlungsdienstleister PayPal. Dadurch erhielten deutsche Banken milliardenschwere betrügerische und unautorisierte Lastschriften und es kam zu Störungen im Zahlungsverkehr.
Wir konnten die Informationen schnell austauschen und einen möglichen – kurzfristigen und längerfristigen – aufsichtlichen Handlungsbedarf damit besser als in der Vergangenheit einschätzen. In Deutschland und europaweit.
Meine Damen und Herren,
der digitale Wandel hat auch die Abhängigkeiten von IKT-Dienstleistungen enorm gesteigert. Cloud-Computing, Softwarelösungen und andere datenbezogene Dienste sind für die Akteure des Finanzmarkts unverzichtbar geworden.
Das überrascht nicht. IKT-Dienste machen effiziente Skalierung und schnelles Wachstum möglich.
In einigen Bereichen, beispielsweise bei Cloud-Computing und Softwarelösungen, dominieren schon länger wenige IKT-Dienstleister den europäischen Finanzmarkt. Das führt zu erheblichen Konzentrationsrisiken.
Mithilfe von DORA lassen sich kritische IKT-Drittdienstleister nun überwachen: europäische Aufsichtsbehörden werden zum Risikomanager für Drittparteien. Sie erhalten deutlich weitergehende Überwachungsmöglichkeiten als zuvor.
Das heißt nun aber nicht, dass Sie die Konzentrationsrisiken für Ihr Unternehmen nicht mehr steuern müssen.
Wir erwarten von Ihnen, dass Sie auch diese immer höheren Konzentrationsrisiken antizipieren, einschätzen und managen – um für den Ernstfall vorbereitet zu sein.
Meine Damen und Herren,
was wir nach einem Jahr DORA schon sagen können: Es gibt Verbesserungsbedarfe. Und wir werden weiter daran arbeiten, die operationelle Resilienz des Finanzmarkts zu stärken.
Wie Ira Kosche-Steinbrecher bereits anfangs sagte, ist mir dieses strategische Ziel der BaFin ein besonderes Anliegen. Dafür werden wir verstärkt prüfen; allerdings agil, modular und risikoorientiert. Hierfür bauen wir das nötige Spezialwissen aus.
Das ist auch mit Blick auf die technologischen Umbrüche in der Finanzbranche erforderlich.
Lassen Sie mich zum Schluss noch einen Ausblick auf zwei Themen geben, die großen Einfluss auf die Risikolandschaft haben werden: KI und Quantencomputing.
Wir beobachten, dass Sie, die Finanzunternehmen, KI inzwischen entlang der gesamten Wertschöpfungskette einsetzen. Von der zielgerichteten Kundenansprache über die Entwicklung von Produkten bis hin zur Unterstützung im Risikomanagement und Compliance etablieren sich Use Cases. Auch hier begleiten wir den Fortschritt ergebnisoffen – wir haben Chancen und Risiken gleichermaßen im Blick.
Sie alle nutzen mindestens teilweise externe Anbieter. Anders ließe sich die benötigte extreme Rechenpower auch gar nicht darstellen.
Zudem ist das Innovationstempo äußerst hoch. Es ist schwierig vorauszusehen, welche Modelle sich langfristig an der Spitze etablieren werden.
Aber wir sehen aktuell einen – zum Teil von außen kaum zu durchschauenden – vertikalen und horizontalen Vernetzungsprozess.
In diesem Vernetzungsprozess clustern sich Modellbetreiber, Cloud-Anbieter, Chiphersteller und Rechenzentren über Beteiligungen, Kauf von Rechenzeit und Abnahmeverträgen immer mehr.
Sie können sich vorstellen, worauf ich hinauswill – auch hier entsteht mittelfristig ein Konzentrationsrisiko.
Das stellt Sie als Nutzer wieder vor die mindestens gleichen Herausforderungen wie aktuell schon die Nutzung von Cloud-Diensten von Hyperscalern.
Und die Cyber-Risiken sind auch hier eng zu beobachten. Schon jetzt werden wir damit konfrontiert, dass wir Möglichkeiten mit KI haben, die wir uns vor wenigen Jahren noch nicht vorstellen konnten.
Wir bei der Aufsicht schauen schon jetzt intensiv auf die Risiken, die sich aus der Nutzung von KI-Systemen ergeben.
In einem eigenen KI-Roundtable tauschen wir uns hierzu regelmäßig mit Vertreterinnen und Vertretern Ihrer Unternehmen, Verbänden und staatlichen Stellen aus. In Aufsichtsgesprächen besprechen wir das Thema regelmäßig.
Das ist wichtig für uns.
Und wir sind davon überzeugt: Mit diesem partnerschaftlichen Ansatz in diesem Feld, das sich so schnell entwickelt, fahren wir gemeinsam gut.
Wir sehen, dass DORA auch bei KI eine sehr gute Grundlage bietet, die IKT-Risiken aus KI-Systemen effektiv zu managen.
Nutzen Sie DORA auch hier!
Wir wollen Sie dabei unterstützen: In den kommenden Wochen veröffentlicht die BaFin eine „Orientierungshilfe zu IKT-Risiken beim Einsatz von KI in Finanzunternehmen“. Kein neues Pflichtenheft. Sondern eine Hilfe. Auch das gehört für uns zum Austausch in diesem Bereich dazu.
Meine Damen und Herren,
kommen wir zum letzten „Elephant in the room“ für heute: Quantencomputing. Was uns dabei erwartet, wissen wir noch nicht genau. Und vor allem nicht: wann. Aber eines ist schon sicher: Quantencomputing wird kommen!
Dadurch eröffnen sich wiederum neue Potenziale – etwa für das Portfoliomanagement und den Handel. Das ist nochmal ein Quantensprung in der Technologieentwicklung.
Wem aber klar wird, wie viel schneller sich mit Quantencomputern vorgeblich sichere Daten werden entschlüsseln lassen, weiß, dass hier auch erheblich neue Risiken entstehen werden.
Nach dem Prinzip „Harvest Now – Decrypt Later“ sammeln „bad actors“ schon heute verschlüsselte Daten, um sie dann später mit Hilfe von Quantentechnologie zu entschlüsseln.
Denken Sie auch an die Kryptowelt, die ja am Ende ganz essenziell auf Verschlüsselung beruht.
Ganz klar: Darauf müssen wir uns schon jetzt vorbereiten – ohne genau zu wissen, wann eine praktische Nutzung realistisch ist.
Systeme, Hardware und Software müssen quantensicher gemacht werden, bevor eine Entschlüsselung mühelos möglich ist.
Die Europäische Kommission hat diese Technologie im Blick. Für das Jahr 2026 plant sie die Einführung eines Quantengesetzes. Bereits 2024 haben die G7 unter Beteiligung der BaFin ein Statement zu Chancen und Risken aus dem Einsatz von Quantencomputing veröffentlicht. Und das Thema beschäftigt die G7 weiter.
Die BaFin bringt sich hier mit ihrer Expertise ein, die sie auch durch Gespräche mit Ihnen aufgebaut hat.
Außerdem werden wir uns im kommenden Jahr intensiv damit befassen, wie wir aufsichtlich mit dem Thema Quantencomputing umgehen.
Die Zeit sich darauf vorzubereiten, ist heute!
Meine Damen und Herren,
die technologischen Entwicklungen schreiten rasant voran, und die Rahmenbedingungen verändern sich fortlaufend.
Wir sind davon überzeugt: DORA wird Ihnen und uns helfen, die Cyberrisiken angemessen zu managen.
Wenn Sie die Werkzeuge von DORA in Ihr Risikomanagement integrieren, leisten Sie einen entscheidenden Beitrag: Für die operationelle Resilienz Ihrer Unternehmen – und damit auch für die Resilienz und Stabilität des Finanzsystems.
Bleiben Sie am Ball!
Die Geschwindigkeit und Konsequenz, mit der Sie das tun, beeinflussen maßgeblich die Wettbewerbsfähigkeit und Stabilität Ihres Unternehmens und somit auch des deutschen Finanzsektors.
Damit uns das gemeinsam alles gelingt, lassen Sie uns in engem Austausch bleiben!
Auch wir in der Finanzaufsicht lernen in diesen Bereichen kontinuierlich dazu.
Nur so können wir nachvollziehen, wo Ihre Herausforderungen liegen, welche Lösungen sich bewähren und wie wir unsere Aufsichtsarbeit möglichst fokussiert, effektiv und erfolgreich ausrichten können.
Und wir helfen Ihnen, unseren Blick auf die systemische Risikoperspektive zu verstehen. Denn: operationelle Resilienz ist eine Gemeinschaftaufgabe.
Daher noch einmal: Lassen Sie uns auch künftig miteinander sprechen und diskutieren!
Offen und konstruktiv.
Diese Veranstaltung heute bietet uns wieder eine gute Gelegenheit dafür.