Die BaFin betont die Notwendigkeit, die operationellen Risiken durch die zunehmende Auslagerung von Dienstleistungen in der Finanzbranche zu managen, insbesondere angesichts der Abhängigkeit von großen Cloud-Anbietern und der damit verbundenen Konzentrationsrisiken. Mit dem Digital Operational Resilience Act (DORA) wird die Aufsicht über kritische Dienstleister verbessert, um die Resilienz des Finanzsystems zu stärken und die Auswirkungen von Störungen zu minimieren.
Die Digitalisierung ist der Schrittmacher der Finanzbranche. Die deutschen Finanzunternehmen müssen mithalten, um wettbewerbsfähig zu bleiben. Das geht aber nur, wenn sie auch ihre operationellen Risiken im Griff haben. Dabei sollten sie nicht unterschätzen, wie abhängig sie geworden sind, insbesondere von bestimmten Dienstleistern. Schon seit Jahren zersplittern Finanzunternehmen ihre Wertschöpfungsketten und lagern aus. Manche Versicherer haben beispielsweise ihre gesamte Schadenabwicklung oder Kapitalanlageverwaltung an externe Dienstleister übergeben. Auch die Banken haben viele Aufgaben ausgelagert, sei es bei der Kontoeröffnung oder im Kreditgeschäft. Gleichzeitig steigen die Konzentrationsrisiken: Manche Auslagerungsunternehmen sind für mehr als 150 unterschiedliche regulierte Finanzinstitute in Deutschland tätig. Bedeutende Störungen bei diesen Dienstleistern können den Finanzsektor stark beeinträchtigen. Schon jetzt sorgen Störungen bei Dienstleistern für Probleme. So wurde dieses Jahr beispielsweise bekannt, dass bei deutschen Kreditinstituten Daten von Bankkundinnen und -kunden entwendet wurden. Möglich war dies wegen eines Datenlecks bei einem Dienstleister für den Kontowechsel. Die BaFin überwacht einige kritische Dienstleister daher schon seit ein paar Jahren besonders eng. Hinzu kommt: Die Marktmacht großer internationaler Cloud-Anbieter ist groß. Sollten diese Dienstleister nicht mehr erreichbar sein, wären die Folgen gravierend. Die Unternehmen müssen sich davor schützen. Sie müssen sich fragen: Ist es möglich, kurzfristig Systeme von einem zum anderen Anbieter zu transferieren? Geht es um Cloud-Lösungen wie „Software as a Service“, ist es kompliziert. Sie sind sehr individuell und schwer ersetzbar. Die BaFin hat daher die Resilienz der großen Cloud-Dienstleister schon seit einer Weile im Blick. Eine große Chance bietet zudem DORA, der Digital Operational Resilience Act. Mit ihm wird es uns künftig leichter fallen, stärkeren Einfluss auf sie auszuüben. Aufsichtsbehörden in Europa können durch DORA zukünftig Verflechtungen und Marktkonzentrationen bei Dienstleistern viel besser erkennen. Und sie können kritische Dienstleister gemeinsam überwachen. Das alles erhöht die operative Resilienz unseres Finanzsystems, die wichtigste Voraussetzung für eine erfolgreiche Digitalisierung. Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.