Die Finanzminister und Notenbankgouverneure der G7 haben die „G7 Fundamental Elements of Collective Cyber Incident Response and Recovery in the Financial Sector“ verabschiedet. Das Grundsatzpapier für eine international abgestimmte Reaktion auf Cyberkrisen entstand unter dem erstmaligen Vorsitz der BaFin, die die Arbeiten gemeinsam mit der Banque de France leitete.
Über mehr als ein Jahr koordinierte das BaFin-Team um Abteilungsleiter Jens Obermöller die Beiträge der G7 Cyber Expert Group, in der Vertreter der Finanzministerien, Zentralbanken und Aufsichtsbehörden der G7-Staaten zusammenarbeiten.
Auf BaFin-Seite wirkten zudem Dr. Simon Schumacher, Lucas Pausewang und Aaron Goldmann mit. „Die Cyber Expert Group ist das einzige G7-Gremium mit BaFin-Beteiligung. Umso mehr freue ich mich, dass wir mit dem gelungenen Abschluss der Arbeiten auch auf dieser Ebene einen Beitrag zur Cyberresilienz des globalen Finanzsektors leisten konnten“, sagt Jens Obermöller.
Die Leitlinien bieten erstmals einen umfassenden Rahmen, wie eine koordinierte Reaktion auf schwerwiegende Cybervorfälle im Finanzsektor organisiert und umgesetzt werden kann. Ziel ist es, internationale Abstimmungsprozesse zu vereinheitlichen, Informationen schnell auszutauschen und Auswirkungen auf kritische Finanzdienstleistungen zügig einzudämmen. Die G7 verweisen darauf, dass eine abgestimmte Vorgehensweise an Bedeutung gewinnt, da Angriffe zunehmend grenz- und sektorübergreifende Folgen haben.
Die Grundsätze definieren klare Strukturen für Governance, Zuständigkeiten und Abläufe. Dazu gehören Ziele, Rollen und Entscheidungswege, die es ermöglichen sollen, im Ernstfall schneller zu reagieren. Der Rahmen betont zudem die starke Vernetzung zwischen Finanzmarktakteuren und technischen Drittanbietern, weshalb eine koordinierte Vorbereitung und transparente Kommunikationswege entscheidend sind. Ein Schwerpunkt liegt darauf, Schnittstellen zu bestehenden nationalen und internationalen Foren zu schaffen, um Informationsflüsse und Prioritäten wirksam abzustimmen.
Aufbau und Einsatz des Rahmens
Der Ansatz folgt einem Drei-Säulen-Modell: Etablieren, Verwenden, Aufrechterhalten. Zunächst geht es darum, verbindliche Strukturen und Vorgaben festzulegen, die die Zusammenarbeit aller Beteiligten im Krisenfall tragen. In der Anwendung regeln konkrete Protokolle, wie Aktivierung, Eskalation und Beendigung einer gemeinsamen Reaktion funktionieren und wie technische Informationen zielgerichtet ausgetauscht werden. Dazu zählen der Umgang mit Störungen in kritischen Dienstleistungen, der Einbezug von Drittanbietern sowie die sichere Wiederherstellung von Systemen und Daten.
Aaron Goldmann hebt die Praxisnähe hervor: „Wir haben einen Instrumentenkasten entwickelt, der die wichtigsten Eckpfeiler beleuchtet und eine starke Praxisnähe hat, zugleich aber auch ausreichend Flexibilität bietet, um unterschiedliche Communities zur gemeinsam koordinierten Cybervorfallsreaktion zu etablieren – denn Cyberresilienz ist ein ganzheitliches Thema.“
Ein weiterer Baustein ist die Krisenkommunikation. Abgestimmte Botschaften sollen helfen, Unsicherheiten im Markt zu vermeiden. Vorgaben für Timing, Kanäle und inhaltliche Ausrichtung sollen dafür sorgen, dass Behörden und Institute konsistent auftreten.
Tests, Weiterentwicklung und Vertrauensbildung
Regelmäßige Übungen sollen sicherstellen, dass Strukturen und Abläufe auch unter realen Stressbedingungen greifen. Simulationen ermöglichen es, Prozesse zu prüfen und weiterzuentwickeln. Ebenso wichtig sind Nachbereitung und Dokumentation, um Lehren aus früheren Vorfällen und Tests in den Rahmen einzuarbeiten.
Da sich Bedrohungslagen stetig verändern, empfehlen die G7 eine kontinuierliche Aktualisierung des Rahmens. Dazu gehört der Austausch über neue Angriffsmuster und technologische Entwicklungen. Das Grundsatzpapier betont schließlich die Bedeutung eines vertrauensvollen Netzwerks. Klare Regeln zur Vertraulichkeit und regelmäßige persönliche Kontakte sollen Hemmnisse im Informationsfluss abbauen und die Zusammenarbeit im Ernstfall erleichtern.
