BaFin wirft Schlaglicht auf Microsoft als führenden Anbieter der Finanzbranche

Deutschlands Banken, Versicherer und Wertpapierhäuser nutzen in der Informations- und Kommunikationstechnologie (IKT) keinen anderen Techkonzern so rege wie Microsoft: Der Cloudriese und Softwarekonzern habe mit deutschen Finanzunternehmen die meisten Verträge geschlossen, wie die deutsche Finanzaufsicht BaFin am Donnerstag auf einer Webkonferenz zum EU-Regelwerk Dora festhielt. Unter den zehn größten Anbietern kommt der US-Konzern auf mehr als ein Fünftel aller Verträge, wie BaFin-Referatsleiterin Sibel Kocatepe ausführte. Die BaFin hat Meldungen von rund 2.100 Finanzunternehmen ausgewertet.

Ein Schwerpunkt von Microsoft liegt dabei auf dem Cloud-Computing. Andere Cloudriesen wie Amazon und Google zählen in der deutschen Finanzindustrie laut BaFin viel weniger Verträge. Weitere große IKT-Konzerne, die viele Beziehungen mit deutschen Finanzunternehmen unterhalten, sind SAP, Telekom und Bloomberg. Diese Häuser setzen jedoch andere Schwerpunkte und fallen in der BaFin-Analyse in die Kategorien Software, Telekommunikation und Datenangebot. Im Bankensektor spielt zudem der IT-Infrastrukturdienstleister Kyndryl eine wichtige Rolle.

„Konzentration birgt Risiken“

Die BaFin warnt: „Die Konzentration auf eine geringe Anzahl von IKT-Dienstleistern und der hohe Grad an Abhängigkeiten der Finanzunternehmen von deren IKT-Dienstleistungen birgt Risiken.“ Zugleich will Kocatepe den Befund nicht als Pranger verstanden wissen. Die Aufsicht habe die Verträge gezählt und nicht die Risiken der jeweiligen Adressen ausgewiesen. Zu bestimmten Unternehmen äußerte sie sich nicht.

Im Rahmen der meisten Verträge unterstützten die IKT-Dienstleister die Finanzfirmen in kritischen und wichtigen Funktionen, wie sie weiter hervorhob. Auch seien die Anbieter untereinander vernetzt, weil sie selbst einen Teil der Dienstleistungen auslagerten. Die BaFin zählt bis zu drei Ebenen an Unteraufträgen.

Eine Frage der Datensouveränität

Die Aufsicht hatte bereits zu Jahresbeginn Auslagerungen zu den „Risiken im Fokus“ gezählt, wie auf der BaFin-Website zu lesen ist. Dabei sieht sie mögliche „geopolitische Risiken“, sofern Anbieter im außereuropäischen Ausland sitzen. Die aktuelle Auswertung der BaFin zeigt ein gemischtes Bild: Einerseits sind mehr als die Hälfte aller ITK-Anbieter in den USA beheimatet – darunter auch Microsoft. Andererseits erfolgt die Leistung und Datenspeicherung bei 60% aller Verträge in Deutschland und bei 15% im Europäischen Wirtschaftsraum. Lediglich in 14% der Fälle liegen die Dienstleistungen in den USA.

Doch Risiken für die Datensouveränität sind damit nicht gänzlich vom Tisch, wie die BaFin bereits zu Jahresbeginn festgehalten hatte. Auch eine „stärkere räumliche, systemseitige und personelle Trennung von Mutterkonzernen“  im Rahmen einer „Sovereign Cloud“ böte meistens keinen „gänzlichen Schutz vor geopolitischen Risiken“, hieß es damals. Konkrete Unternehmen hatte die BaFin dabei allerdings nicht genannt.

Europa schafft neue Aufsicht

In Europa rücken die IKT-Anbieter aktuell unter die direkte Aufsicht der europäischen Regulierungsbehörden EBA, ESMA und EIOPA, die fortan mit gemeinsamen Teams insgesamt 19 Konzerne überprüfen. Auf der Liste der CTPPs – das Kürzel steht für „Critical ICT Third-Party Service Providers“ – stehen unter anderem Microsoft, SAP, Telekom, Bloomberg, Kyndryl, Google und Amazon. Die direkte Aufsicht entlaste die Finanzunternehmen keineswegs von einer eigenen Analyse der IKT-Risiken, mahnte Kocatepe.

Die meisten Verträge betreffen Cloud-Dienste sowie Softwarenutzung. Jeweils rund die Hälfte der Beziehungen wären nach Einschätzung der Finanzunternehmen nicht oder nur schwer ersetzbar. In ebenfalls gut der Hälfte aller Fälle haben die Firmen keinen Plan für den Ersatz einer Dienstleistung in der Schublade, wie die BaFin-Expertin kritisierte.