Von Tobias Fischer, FrankfurtUnter der Ägide der Europäischen Zentralbank (EZB) werden bedeutende Banken in der EU kontrollierten Cyberattacken ausgesetzt, um ihre Widerstandsfähigkeit und die Folgen für die Finanzstabilität zu testen. Dänemark, Belgien und die Niederlande haben bereits die rechtlichen Bedingungen dafür geschaffen, indem sie Tiber-EU implementierten (s. Kasten). Das Rahmenwerk der EZB enthält Anleitungen und Standards zur europäischen Harmonisierung von kontrollierten Cyberattacken externer Dienstleister gegen wichtige Banken, aber auch gegen Zahlungsdienstleister, Börsen, Clearinghäuser oder Versicherer. Nach und nach setzen europäische Staaten Tiber-EU, das die EZB im vergangenen Jahr vorgelegt hat (vgl. BZ vom 3.5.2018), auf nationaler Ebene um. Entscheidung steht noch ausIn Deutschland steht eine Entscheidung über die Implementierung eines solchen Rahmenwerks für Cyber-Stresstests noch aus. Sie werde jedoch in der ersten Jahreshälfte erfolgen, sagen mit den Plänen vertraute Personen. Dass der Beschluss negativ ausfällt, dürfte eher unwahrscheinlich sein, bewegt sich die deutsche Bankenaufsicht, also Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und Deutsche Bundesbank, doch im Gleichklang mit ihren europäischen Partnern. Dann wäre in einem sogenannten Implementation Guide darzulegen, wie die Tiber-EU-Anforderungen im deutschen Kontext umzusetzen sind, wer an den Tests zu beteiligen ist und wem welche Rolle zuteilwird.Es sei Sache der nationalen Behörden, festzulegen, ob und wann Prüfungen angesetzt werden, heißt es in dem im Mai 2018 von der EZB veröffentlichten “Tiber-EU-Framework”. Geeignete Dienstleister und genügend eigene Ressourcen vorausgesetzt, würden dann BaFin und Bundesbank gemeinsam über potenzielle Kandidaten befinden, die Tiber-Cybertests unterzogen werden könnten. Ob diese noch im laufenden Jahr beginnen, ist aber unklar. Im Vergleich mit den überschaubaren Banksektoren in den drei Nachbarländern Deutschlands stellt sich die Situation hierzulande als weitaus komplexer dar und bedarf längerer Vorbereitungen.Die Teilnahme ist laut EZB freiwillig. In Dänemark, Belgien und den Niederlanden seien die großen Banken allerdings zur Mitwirkung “angeregt” worden, berichten mit den Vorgängen vertraute Personen. Die Aufsicht dürfte demnach gewisse Erwartungen hegen, die die betroffenen Institute besser erfüllen, um mögliche Nachteile zu vermeiden. “Wir glauben nicht, dass die Institute auf lange Sicht eine Wahl haben”, sagt denn auch Burkhard Eckes, Leiter Banking & Capital Markets EMEA bei PwC Deutschland. “Die aktuellen Ereignisse rund um die Hackerattacken auf Personen des öffentlichen Lebens haben einmal mehr gezeigt, wie wichtig das Thema Cyber-Security ist und künftig sein wird. Auch mit Blick auf Governance können sich Finanzinstitute wohl nicht entziehen.”Eingeweihten Finanzkreisen zufolge stehen die Folgen von Cyberattacken für die Finanzstabilität im Vordergrund, weniger die aufsichtliche Beurteilung der einzelnen Häuser. Finanzinstitute, die sich im Tiber-Test nicht wacker schlagen, zu sanktionieren, etwa indem sie im Zuge des SREP-Prozesses mit individuellen Kapitalaufschlägen bedacht würden, sei demnach zumindest derzeit nicht vorgesehen. Denkbar ist das aber. “Tatsächlich haben wir im Zusammenhang mit der Identifikation operativer Risiken und bei Schwächen in der Geschäftsorganisation die Möglichkeit, individuelle Kapitalzuschläge zu verhängen”, hatte etwa Bundesbank-Vorstandsmitglied Joachim Wuermeling im Interview der Börsen-Zeitung im Zusammenhang mit IT-Risiken gesagt (vgl. BZ vom 2.10.2018).Welche Kosten auf die getesteten Institute zukommen, ist kaum zu beziffern, fest steht aber, dass derlei hochprofessionelle Hackerattacken externer Dienstleister teuer, aufwendig und nicht ohne Risiken sind. Da sie möglichst realistisch sein sollen, erfolgen sie im Geheimen, lediglich mit Wissen einiger weniger Eingeweihter in den zu überprüfenden Banken – während des laufenden Betriebs. Das gleicht einer Operation am offenen Herzen und bedarf einer federführenden Institution mit Expertise. In Dänemark etwa übernimmt diesen Part die Zentralbank. Hierzulande würde es auf die BaFin hinauslaufen, die in enger Abstimmung mit der EZB und mit Sicherheit auch mit der Bundesbank agieren würde, heißt es von kundigen Finanzkreisen. Nach Abschluss eines simulierten Angriffs hat das betroffene Institut laut Tiber-EU-Framework einen sogenannten Remediation Plan auf Basis der Testergebnisse anzufertigen. Nach dem Verständnis von Clemens Koch, Leiter Financial Services und Mitglied der Geschäftsführung von PwC Deutschland, handelt es sich dabei um eine Art Optimierungsplan, der festhält, wie mit möglichen Cyber-Security-Mängeln umgegangen und das eigene Cyber-Risikomanagement verbessert werden soll. Instrumentenkasten erweitern Die Cyberattacken werden unter oberster Aufsicht der EZB nach einheitlichen Spielregeln ablaufen. Ihr zufolge können Institute bei den Stresstests nicht durchfallen. Sie würden den nationalen Aufsehern aber neue Einblicke eröffnen und die Bankaufsichtlichen Anforderungen an die IT (BAIT) bereichern, die im November 2017 in Kraft getreten sind. Mit Tiber bezwecke die Aufsicht, ihren Instrumentenkasten zu erweitern, mit dem sie sondiert, wie es um die IT-Sicherheit bestellt ist, ist zu vernehmen. Zudem würde das Verfahren zur Sensibilisierung beitragen, sagt Koch: “Tiber wird allen Marktteilnehmern die weiter steigende Gefahr von Cyberangriffen vor Augen führen. Die Bestrebungen zeigen, dass das Thema mittlerweile einen deutlich höheren Stellenwert bei den Aufsichtsbehörden auf nationaler und europäischer Ebene genießt.”