Die Nutzung spezialisierter IT- und Cloud-Dienstleistungen ist für den Finanzsektor zur Grundvoraussetzung geworden. Ob Risikomodellierung, Geldwäscheprävention oder Anwendungen Künstlicher Intelligenz: Ohne externe Informations- und Kommunikationstechnologien laufen moderne Finanzdienstleistungen kaum noch. „IKT-Dienste sind im Finanzsektor mittlerweile unverzichtbar. Moderne Finanzdienstleistungen sind ohne sie kaum möglich“, sagt Dr. Sibel Kocatepe, Juristin in der IT-Aufsicht der BaFin.
Neben Effizienzgewinnen spielen für die Institute vor allem Skaleneffekte, Fachkräftemangel und Sicherheitsaspekte eine Rolle. Cloud-Lösungen und Plattformen ermöglichen es, Kapazitäten flexibel zu steuern und Innovationen wie Künstliche Intelligenz schnell zu nutzen. So steigen Produktivität und Wettbewerbsfähigkeit, zugleich wächst aber die Abhängigkeit von wenigen großen Anbietern.
Denn gerade bei zentralen Funktionen wie Zahlungsverkehr, Kernbanksystemen oder Cloud-Infrastruktur stützt sich ein großer Teil des europäischen Marktes auf einige globale Dienstleister, die häufig außerhalb der Europäischen Union sitzen. Europäische Anforderungen sind dort schwerer durchsetzbar, Alternativen sind begrenzt – eine Gemengelage, die Aufseher zunehmend als strukturelles Risiko einstufen.
Konzentrationsrisiken und die Lehren aus Crowdstrike
„Es gibt in der Tat ein dickes Aber. In einigen Bereichen haben wir auf dem Markt eine kleine Zahl sehr großer IKT-Dienstleister, die nahezu den gesamten europäischen Finanzmarkt bedienen“, warnt Kocatepe. Die Folge sind Konzentrations- und Abhängigkeitsrisiken, die über einzelne Institute hinausgehen und den gesamten Markt treffen können.
Wie verwundbar dieses Gefüge ist, zeigte der Ausfall beim Dienstleister Crowdstrike im Sommer 2024. „Die Ereignisse im Sommer 2024 haben uns allen vor Augen geführt, wie verwundbar unser digitales Finanzsystem eigentlich ist“, sagt Jens Obermöller, Gruppenleiter der BaFin-IT-Aufsicht. Ein Vorfall bei einem systemrelevanten Anbieter könne einen Dominoeffekt auslösen, insbesondere wenn Wertschöpfungsketten fragmentiert und Kontrollmöglichkeiten begrenzt seien.
Vor diesem Hintergrund versteht die BaFin den Digital Operational Resilience Act (DORA) als Antwort auf potenzielle systemische Schocks. Die europäische Verordnung soll die digitale Widerstandsfähigkeit des Finanzsektors stärken – und bezieht ausdrücklich auch kritische IKT-Drittdienstleister in den Aufsichtsrahmen ein.
DORA verschiebt den Fokus der Aufsicht
Kernstück ist ein Paradigmenwechsel im Drittparteienrisikomanagement: Die Aufsicht konzentriert sich nicht mehr nur auf die Risikosteuerung der einzelnen Finanzunternehmen, sondern nimmt die systemrelevanten Dienstleister selbst direkt in den Blick. Dazu zählen führende Cloud-Hyperscaler, Softwarekonzerne, Telekommunikationsanbieter und Rechenzentrumsbetreiber. Insgesamt wurden europaweit 19 kritische IKT-Drittdienstleister identifiziert, deren Angebote von Cloud über Telekommunikation bis hin zu Datenanalyse reichen. „Bei allen handelt es sich um Dienstleister, die für den europäischen Finanzmarkt von systemischer Bedeutung sind“, betont Obermöller.
Über die Einstufung entscheiden die europäischen Aufsichtsbehörden EBA, ESMA und Eiopa. Ein zentrales Gremium ist das Überwachungsforum, in dem auch die BaFin vertreten ist. Dort werden die Kandidaten bewertet und Empfehlungen an die europäischen Behörden ausgesprochen. Ziel ist, nationale Perspektiven zu bündeln und ein europäisch kohärentes Bild der Risiken zu gewinnen.
Auf dieser Grundlage werden gemeinsame Überwachungsteams gebildet, die von einer europäischen Behörde geführt und von Fachleuten der Mitgliedstaaten unterstützt werden. Sie legen Prüfpläne fest, definieren Dokumentationspflichten und veranlassen Tests. Ihre Befugnisse reichen von umfassenden Informationsanforderungen bis zu Vor-Ort-Untersuchungen. „Und zwar mit einem Zwangsgeld von bis zu einem Prozent des weltweiten täglichen Umsatzes. Pro Tag. Und für bis zu 180 Tage“, erläutert Kocatepe. Gerade für global agierende Technologiekonzerne ist das ein deutliches Signal.
Mehr Verantwortung auch für Finanzunternehmen
Für Banken, Wertpapierhäuser und Versicherer bedeutet die direkte Überwachung der Dienstleister keine Entlastung von der eigenen Verantwortung. DORA verschärft vielmehr die Anforderungen an das Drittparteienrisikomanagement der Institute. Sie müssen weiterhin sorgfältig prüfen, mit wem sie zusammenarbeiten, kritische Abhängigkeiten identifizieren und geeignete Maßnahmen zur Risikominderung treffen – bis hin zur Beendigung einer Geschäftsbeziehung im Extremfall.
Besonders im Fokus stehen konzerninterne und externe Konzentrationen. Institute sollen analysieren, ob sie für viele kritische Prozesse auf denselben Dienstleister setzen und ob ein Wechsel realistisch möglich wäre. Bestehen keine Alternativen und lassen sich Leistungen nicht intern erbringen, sind technische und organisatorische Notfallkonzepte gefragt, die eine Fortführung des Geschäftsbetriebs im Ernstfall sicherstellen.
Der Schlüssel liegt aus Sicht der BaFin in einem bewussten Umgang mit technologischen Chancen. „Es klingt banal, aber es ist exakt so: Wir müssen die Vorteile der Digitalisierung nutzen, ohne die Risiken aus dem Blick zu verlieren. Es geht also nicht um Verhinderung, sondern um Risikobewusstsein“, sagt Obermöller. DORA soll die Unternehmen dazu befähigen, technologische Fortschritte zu nutzen und zugleich robuste Strukturen zu schaffen.
Koordinierte Resilienzstrategien über den Finanzmarkt hinaus
Die Herausforderungen reichen nach Ansicht beider Experten dabei über den Finanzsektor hinaus. Kritische IKT-Dienstleister bedienen oft zahlreiche Branchen, Ausfälle hätten sektorübergreifende Folgen. Deshalb setzt die BaFin auf enge Koordination in europäischen und internationalen Gremien, um gemeinsame Strategien für digitale Resilienz zu entwickeln.
Auch national sieht Kocatepe Bedarf für ein abgestimmtes Verständnis von IKT-Risiken und für einheitliche Bewertungsmaßstäbe. Mit Formaten wie dem Digital Cluster Bonn schafft die BaFin Plattformen, auf denen Aufsicht, Marktteilnehmer und Technologieexperten ihre Erfahrungen bündeln. So sollen systemische Risiken früh erkannt und resilientere Strukturen aufgebaut werden – bevor der nächste große Stresstest den Markt trifft.
