Banken vertrauen bei Cybergefahren auf den lieben Gott
Die BaFin betonte Anfang des Monats noch einmal die „hohe Bedrohungslage“ und erinnerte daran, dass die Umsetzungsfrist für die Dora-Richtlinie am 17.1 2025 ausläuft. Zudem hat die für die Bankenaufsicht relevante EZB die Cybersicherheit zu einer Priorität gemacht und testet fleißig Unternehmen (s. PLATOW v. 25.1.).
Die Banken reagieren darauf mit oft nicht zielführender Überaktivität, was kontraproduktiv ist und enormes Kostenpotenzial für die Häuser birgt. „Bei einem Teil der Banken sehen wir eine ausgeprägte Aktivität“, so hat etwa die Sparkassen-Organisation ein gruppenweites Umsetzungsprojekt zur Unterstützung der einzelnen Sparkassen aufgesetzt, berichtet Matthias Sattler, geschäftsführender Partner bei Horn & Company und Co-Lead für den Bereich Banken.
Doch Sattler, der u.a. Geschäftsbanken und Sparkassen bei der Weiterentwicklung von Geschäftsstrategien und Digitalisierung unterstützt, sieht auch eine weitere nicht öffentlich diskutierte Seite. „Die anderen Institute spekulieren auf Vereinfachungen der Dora-Regelungen bzw. auf Nachsicht im Hinblick auf das Nicht-Schaffbare“, sagt Sattler. Sie warten „vielleicht auch weiterhin auf Vereinfachungen, Vorgaben oder auch Hilfestellungen von den Verbänden“.
Wenig überraschend sieht Sattler bei der zweitgenannten Strategie „eine relevante Gefahr“, denn Dora ist in vielen Bereichen weitaus anspruchsvoller als die vorangegangene Regulatorik und die Maßnahmen können nicht nebenbei implementiert werden. Diese umfassen insbesondere die Aktualisierung und Vervollständigung der Gouvernance, Informations- und Kommunikationstechnologie (IKT)-Strategie und der IKT-Risikomanagementstrategie. Zugleich gäbe es „keinerlei Anzeichen für eine Abschwächung der BaFin-Erwartungshaltung hinsichtlich Dora-Compliance bis Januar 2025“.
Ein Abrücken von den hohen Standards ist auch nicht zu erwarten, erst kürzlich wurde u.a. Solaris auch (aber nicht nur) wegen IT-Mängeln öffentlich von der BaFin gescholten, nachdem die EZB Mängel feststellte (s. PLATOW v. 12.7.). Wenn ein Teil der deutschen Banken tatsächlich so schwach aufgestellt ist, wie Sattler sagt, wird das Inkrafttreten der Dora-Richtlinie zu einigen Hausbesuchen der Aufseher führen. mv