Die Gefahr, Opfer einer Cyberattacke zu werden, ist für Banken nach Auffassung der Finanzaufsicht hoch. Gleichwohl sind sie nur für einen Bruchteil von gravierenden IT-Vorfällen verantwortlich, wie Daten der BaFin zeigen. Demnach gehen 95% der an die BaFin gemeldeten Ereignisse auf fehlerhafte Prozesse und Systeme, auf menschliches Versagen oder unangemessenes Verhalten zurück. Sogenannte Sicherheitsvorfälle, vor allem Cyberangriffe, machen nur 5% aus.

Den geringen Anteil von Hackerangriffen erklärt Jens Obermöller, Leiter der Gruppe IT-Aufsicht/Cybersicherheit bei der BaFin, auch mit der Regulierung des Finanzsektors. IT-Sicherheit spiele dort seit längerem eine wichtige Rolle, die Systeme verfügten im Vergleich mit anderen Branchen oft über einen höheren Reifegrad.

Dennoch gibt es ihm zufolge im Bankensektor „eine hohe Bedrohungslage“. Zum einen sei das auf den starken Grad der Vernetzung zurückzuführen, zum anderen auf die häufigen Auslagerungen von IT-Dienstleistungen an externe Anbieter. „Nach unserer Beobachtung sind auch zunehmend nicht die Banken direkt, sondern Dienstleister in der Wertschöpfungskette das Einfallstor für Cyberkriminelle“, warnt Obermöller.

Insgesamt 235 Meldungen erhielt die BaFin im vergangenen Jahr von Banken über schwerwiegende IT-Fehler sowie aus Angreifersicht erfolgreiche Cyberattacken. Das waren 17,5% mehr als 2022. 40% aller Meldungen hatten ihre Ursachen in Auslagerungsfirmen, heißt es von Benedikt Queng, Referent in der Gruppe IT-Aufsicht/Cybersicherheit der BaFin.

Meldepflichtig sind 1.300 Finanzinstitute, sofern bestimmte Schwellenwerte erreicht werden. Grundlage ist das Zahlungsdiensteaufsichtsgesetz (ZAG), mit dem die zweite Zahlungsdiensterichtlinie PSD2 in nationales Recht umgesetzt wurde. Nicht betroffen sind etwa Versicherungen, Fonds- und Leasingfirmen. Wenn ab 17. Januar 2025 das Regulierungswerk Digital Operational Resilience Act (Dora) Anwendung findet, wird die Meldepflicht für fast alle Finanzunternehmen in der EU gelten.