Zu den derzeitigen großen wirtschaftlichen und politischen Fragen gehört, wie unsere Volkswirtschaft mit den Chancen und Herausforderungen der Digitalisierung umgehen wird. Der Handlungsdruck ist hoch, da sich das Umfeld immer wieder mit großer Geschwindigkeit neu sortiert. Das gilt besonders für die Finanzmärkte: Neue Marktakteure wie Fintechs, Neobanken und Bigtechs präsentieren sich den Kunden als einfache Helfer im Alltag. Und es sind nicht nur junge Generationen, die erwarten, dass die gesamte Palette von Dienstleistungen im Netz, auf dem Smartphone und dem Smart Speaker bereitsteht.

Daher digitalisieren nicht nur Wirtschaftsakteure ihre Prozesse, sondern auch Wirtschaftskriminelle. In der Schattenwelt des Dark Net werden die für Angriffe erforderlichen Prozesse oder Instrumente wie Bausteine zur Nutzung gegen Entgelt angeboten. Cyberattacken sind sehr effizient möglich und stellen eine enorme Bedrohung dar. Jüngst hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) gewarnt, die IT-Sicherheitslage bleibe ge­spannt bis kritisch. 144 Millionen neue Schadprogramme wurden im Berichtszeitraum eines Jahres gezählt und auch die Lösegelderpressungen nehmen in bedrohlichem Maße zu. 

Besonders die Rolle der Banken als Intermediär in allen Zahlungsprozessen birgt ein großes Schadenspotenzial, denn gerade ihre Geschäftsmodelle bauen in besonderem Maße auf deren Verlässlichkeit und das Vertrauen der Kundinnen und Kunden auf. Daher hat die gesamte Finanzindustrie ein ureigenes Interesse daran, alles Notwendige zu tun, um Cyberrisiken zu erkennen und mögliche Attacken abzuwehren. Erfolgreiche Angriffe sind entsprechend selten und können fast immer ohne anhaltenden Schaden neutralisiert werden.

Dennoch ist es für Banken selbstverständlich, dass sie oft aufgrund mehrerer Funktionalitäten als kritische Infrastrukturen betrachtet und entsprechend reguliert werden, um Schäden für Kundinnen und Kunden abzuwenden. In die Regulierungsinitiativen reiht sich der Digital Operational Resilience Act (Dora) ein. Ziel der im September 2020 gestarteten EU-Gesetzgebungsinitiative ist es, die Widerstandskraft der im Finanzsektor genutzten Informations- und Kommunikationssysteme (IKT) zu stärken, damit diese Sicherheitsbedrohungen auch in Zukunft standhalten können.

Hierzu sollen die IT widerstandsfähig ausgestaltet und neue Belastungstests eingeführt werden. Zudem müssen wesentliche Vorfälle auch an die Behörden gemeldet werden. Bei einem Outsourcing von Prozessen an Dritte, wie etwa in die Cloud, sollen die Behörden neue Überwachungsbefugnisse erhalten. Schließlich sollen die Erwartungen an die IKT-Governance der Unternehmen mit Dora harmonisiert und in einem Rechtstext konsolidiert werden.

Die Regulierungsvorhaben von Dora haben somit das Potenzial, ein europäisches „Grundgesetz der IKT“ für den Finanzsektor zu werden. Das schlägt sich auch in der Aufsichtsstruktur nieder: Die IKT der Finanzindustrie in Deutschland wird künftig voraussichtlich vor allem die BaFin beaufsichtigen.

Ein ganzheitlicher Rechtsrahmen für ein resilientes Finanzsystem ist ein richtiger Ansatz. Bei der Stärkung von Abwehrkräften kommt es aber wie immer auf das passende Mittel und die richtige Dosierung an. Viel hilft nicht immer viel. Absolute Sicherheit gäbe es nur um den Preis des Verzichts auf jegliche Effizienz der IT-Infrastrukturen. Es gilt also die richtigen Entscheidungen im Rahmen einer Nutzen- und Risikoabwägung zu treffen. 

Diesen „sweet spot“ verfehlte die Kommission bisher noch in gewichtigen Punkten. Das zeigt sich exemplarisch an der beabsichtigten Regulierung der „Third Party Provider“. Ein Eingriff muss hier besonders sorgfältig abgewogen werden, denn Outsourcing ist der Treiber für mehr Effizienz im Bankensektor und hat durch die Digitalisierung einen Turbo erhalten. Ständig alternative Dienstleister für alle Services vorzuhalten, kann hier aber keine Lösung sein. Auch eine Pflicht zur breiten Durchführung von Penetrationstests durch Externe stößt auf Bedenken, da diese mit sehr sensiblen Daten und Informationen konfrontiert wären.

Nach über einem Jahr Arbeit an Dora ist aber ein Aufatmen hörbar. Denn die zwischenzeitlich bekannt gewordenen Änderungsvorschläge des Europäischen Rats und des Europäischen Parlaments lassen darauf schließen, dass sowohl der grundlegende Proportionalitätsgedanke als auch die Bedenken der Praxis verstanden wurden und damit auch in den Trilog-Verhandlungen Berücksichtigung finden.

Ob und wie gut der Harmonisierungserfolg von Dora am Ende sein wird, hängt aber vom Ausgang des gesamten Gesetzgebungsprozesses ab. Denn wie alle Regulierungsvorhaben aus Brüssel enthält auch Dora eine ganze Reihe Ermächtigungsgrundlagen für detailliertere Regulierung auf untergeordneter Ebene – für die dann wieder die Europäische Kommission und die Europäischen Aufsichtsbehörden zuständig sind. Auch hier wird Fingerspitzengefühl gefragt sein.