Rund 1.200 Finanzunternehmen waren im Jahr 2025 von mindestens einem Vorfall in ihrer Informations- und Kommunikationstechnologie betroffen. Das geht aus einer Analyse der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hervor, die jetzt veröffentlicht wurde. Grundlage dafür ist Artikel 19 des Digital Operational Resilience Act (DORA). Die EU-Verordnung, die im Januar 2025 in Kraft getreten ist, soll die operationelle Resilienz des Finanzsektors stärken und verpflichtet Finanzunternehmen aller Sektoren zur Meldung schwerwiegender IKT-Vorfälle. Insgesamt seit dem Scharfstellen von DORA der BaFin im vergangenen Jahr 733 Vorfälle gemeldet.
43 Prozent der betroffenen Institute waren von genau einem Vorfall betroffen, 96 Prozent von maximal vier. Sechs Finanzunternehmen – mehrheitlich größere Häuser – meldeten mehr als zehn Vorfälle. Die meisten Meldungen kamen von Kreditinstituten, was die BaFin unter anderem mit deren Geschäftsmodell begründet: Zahlungsdienste wie Online-Banking oder Kartenzahlungsterminals werden von vielen Kunden regelmäßig genutzt, weshalb selbst kurze Ausfälle die Meldeschwellen schnell überschreiten.
Drittanbieter als systemisches Risiko
Rund die Hälfte der gemeldeten Vorfälle hatte ihre Ursache nicht im eigenen Haus, sondern bei externen Dienstleistern oder anderen Finanzunternehmen. Die BaFin bezeichnet solche Fälle als übergreifende Vorfälle. 2025 registrierte die Behörde etwa 60 davon – die jedoch insgesamt 315 Einzelmeldungen auslösten, weil jeweils mehrere Institute betroffen waren. Dienstleister können solche Vorfälle aggregiert für alle betroffenen Unternehmen gleichzeitig melden.

Die Konzentration auf einzelne Dienstleister verstärkt das systemische Risiko erheblich. Fällt ein zentraler Anbieter aus, können die Auswirkungen eine Vielzahl von Finanzunternehmen gleichzeitig treffen und im Extremfall die Stabilität des Finanzmarkts insgesamt gefährden. Der BaFin-Analyse zufolge sind es vor allem Systemversagen und Konfigurationsfehler in Software und Updates, die als betriebsbedingte Störungen hinter einem Großteil der Vorfälle stecken.
Bei mehr als der Hälfte aller Vorfälle handelt es sich laut BaFin um sogenannte externe Ereignisse – also um Störungen, die bei Dritten entstehen und von dort auf meldepflichtige Vorfälle bei Finanzunternehmen durchschlagen. Die starke Vernetzung im Sektor vervielfacht damit die Risiken: Was bei einem Dienstleister beginnt, kann sich rasch auf ein ganzes Netz von Instituten ausbreiten.
Cyberangriffe: Phishing und Ransomware im Vordergrund
Rund 11 Prozent der gemeldeten Vorfälle sind als Cybersicherheitsvorfälle klassifiziert – und damit zunächst überschaubar. Die BaFin weist jedoch ausdrücklich darauf hin, dass sich hinter dieser Zahl ausschließlich erfolgreiche Angriffe verbergen. Die Dunkelziffer versuchter, aber abgewehrter Attacken liegt nach Einschätzung der Behörde deutlich höher. Rund 40 Prozent der gemeldeten Cyberangriffe richteten sich 2025 nicht direkt gegen das betroffene Finanzunternehmen, sondern gegen einen seiner Dienstleister.

Phishing zählt weiterhin zu den am häufigsten gemeldeten Angriffsmustern. Die BaFin warnt, dass Kriminelle dabei zunehmend Künstliche Intelligenz einsetzen, was die Zahl der Angriffe deutlich erhöht und deren Täuschungspotenzial steigert. Bereits kleine Unaufmerksamkeiten im Unternehmen könnten zum Einfallstor werden. Besonders gravierend ist das Schadenspotenzial von Ransomware-Angriffen, bei denen Angreifer Daten verschlüsseln und abziehen und so den Geschäftsbetrieb nachhaltig stören können. Regelmäßig meldeten Institute der BaFin zudem Distributed-Denial-of-Service-Angriffe, die durch gezielte Datenfluten Online-Dienste lahmlegen.
DORA verpflichtet zu strukturiertem Schwachstellenmanagement
DORA und die zugehörigen Regulatory Technical Standards verpflichten Finanzunternehmen unter anderem zu einem strukturierten Schwachstellenmanagement. Kritische Schwachstellen, die von außen angreifbar sind und wichtige Unternehmensfunktionen gefährden können, müssen unmittelbar nach Bekanntwerden analysiert, Patches getestet und eingespielt werden. Ist eine kurzfristige Schließung nicht möglich, sind ersatzweise Maßnahmen zur Risikominimierung erforderlich.
Die BaFin betont, dass das Vorfallmeldewesen der Behörde helfe, besondere Probleme frühzeitig zu erkennen und ihre Aufsichtspraxis weiterzuentwickeln. Den vollständigen Jahresbericht zu den IKT-Vorfällen des Jahres 2025 hat die BaFin auf ihrer Website veröffentlicht.













