Ergebnisse des Bankenstresstests zu Cyberrisiken im Sommer
Wie gut können die großen Banken im Euroraum mit Angriffe auf ihre IT-Systeme umgehen? Ein erster Stresstest der EZB-Bankenaufsicht zu Cyberrisiken soll Antworten liefern.
28 Institute werden nach EZB-Angaben im Zuge des Bankenstresstests zu Cyberrisiken eingehender unter die Lupe genommen.
Foto: Nicolas Armer/dpa
Die Europäische Zentralbank (EZB) hat angekündigt, im Sommer die Ergebnisse ihres ersten Stresstests zu Cyberrisiken für Banken zu veröffentlichen. Laut der EZB werden im Jahr 2024 insgesamt 109 direkt beaufsichtigte Geldhäuser daraufhin geprüft, wie sie auf einen Cyberangriff reagieren und ihren Geschäftsbetrieb wiederherstellen können. Diese Informationen wurden von der EZB in Frankfurt mitgeteilt.
«Im Stresstestszenario verursacht ein erfolgreicher Cyberangriff Störungen im Tagesgeschäft der Banken. Dann testen die Banken ihre als Reaktion auf einen Cyberangriff und zur Wiederherstellung des Geschäftsbetriebs vorgesehenen Maßnahmen», erläuterte die EZB. «Anschließend beurteilt die Aufsicht, inwieweit die Banken mit einem solchen Szenario umgehen können.»
Vertiefte Prüfung bei 28 Geldhäusern
28 Institute werden nach EZB-Angaben im Zuge des Tests eingehender unter die Lupe genommen. Sie müssen zusätzliche Informationen dazu bereitstellen, wie sie mit dem Cyberangriff umgegangen sind. Diese Stichprobe umfasse Banken mit verschiedenen Geschäftsmodellen aus diversen geografischen Gebieten, teilte die EZB mit. So solle «ein aussagekräftiges Bild des Bankensystems im Euroraum gewonnen» werden.
Seit November 2014 überwacht die EZB direkt die führenden Banken im Euroraum. Derzeit gibt es 113 Institute, darunter in Deutschland die Deutsche Bank und Commerzbank, DZ Bank und Dekabank sowie die größte deutsche Sparkasse, die Hamburger Haspa. Außerdem werden die Deutsche Apotheker- und Ärztebank (Apo-Bank), die Volkswagen Bank und verschiedene Landesbanken (BayernLB, LBBW, Helaba, Nord LB) beaufsichtigt.
Zuletzt wieder mehr Cyberattacken
Genau hinschauen will die EZB dort, wo Banken IT-Prozesse an Drittanbieter übergeben, um Geld zu sparen, wie Anneli Tuominen, die dem Aufsichtsgremium der EZB-Bankenaufsicht angehört, im November ankündigte: «Das geht nicht unbedingt mit gutem Risikomanagement einher.» IT- oder Cloud-Anbieter seien «sicherlich ein Thema, mit dem wir uns eingehender beschäftigen müssen».
Die Bankenaufseher hatten sich von der zuletzt zunehmenden Zahl an Angriffen auf IT-Systeme von Banken alarmiert gezeigt. Bislang habe es zwar keinen so schwerwiegenden Angriff gegeben, dass einzelne Institute oder gar das gesamte Bankensystem destabilisiert worden wäre, hatte Tuominen im November gesagt. Doch sie warnte: «Eine erfolgreiche Attacke ist jederzeit möglich.»
