Blogpost

EZB-Cyber-Resilience-Stresstest 2024

Mit einem „Cyber-Resilience-Stresstest“ wird die EZB Anfang Januar 2024 die Widerstandsfähigkeit von mehr als 100 Kreditinstituten gegen Cyberangriffe überprüfen. Das zeigt, wie hoch die Relevanz des Themas Cyber-Resilience angesichts der rasanten Entwicklungen im Bereich Cyberkriminalität inzwischen geworden ist.

939
4 Minuten Lesezeit
Cyber-Resilience-Stresstest 2024

Hintergrund

Im Jahr 2024 führt die Europäische Zentralbank (EZB) zum ersten Mal einen Cyber-Resilience-Stresstest durch. Damit reagiert sie auf die ständige Zunahme von Hacker-Angriffen und den damit verbundenen Risiken für den Bankensektor. Mit dem Cyber-Stresstest möchte die EZB die Widerstandsfähigkeit der Kernbankensysteme von mehr als 100 europäischen Banken prüfen und mögliche Schwachstellen aufdecken. Start der Stresstests ist am 2. Januar 2024.

Zweistufiger Ansatz für den Cyber-Resilience-Stresstest

Die Details zur Methodik und zur genauen Durchführung wird die EZB erst am 22. November 2023 vorstellen, doch einige Rahmenbedingungen stehen bereits fest.

Die EZB unterteilt das Stressszenario in zwei Stufen: einen vereinfachten (Lighter Assessment) und einen vertieften Ansatz (In-Depth Exercise).

Für die Banken beginnt die Durchführung am 2. Januar 2024 mit der Bereitstellung eines umfangreichen Fragebogens mit voraussichtlich rund 480 Fragen zu potenziellen Auswirkungen eines digitalen Angriffs sowie den geplanten Reaktions- und Wiederherstellungsmaßnahmen. Der vereinfachte Ansatz endet am 29. Februar 2024 mit der Abgabe des ausgefüllten Fragebogens, den zugehörigen Nachweisen und der Meldung über Cyberattacken an die EZB.

Für 20 Institute gilt der vertiefte Ansatz, der zu den bereits genannten Anforderungen zusätzlich einen tatsächlichen Widerherstellungstest verlangt. Dieser Test muss ausführlich dokumentiert werden und alle Aktivitäten und Ergebnisse, die im Zusammenhang mit der Wiederherstellung stehen, beinhalten. Anschließend wird die Aufsicht die Ergebnisse direkt bei den Instituten vor Ort über zwei Monate hinweg validieren.

Ablaufplan Cyer-Resilienc-Stresstest 2024 der EZB

Abbildung 1: Ablaufplan Cyer-Resilienc-Stresstest 2024 der EZB

Besondere Herausforderungen für die Institute

Mit dem Cyber-Stresstest greift die EZB den Anforderungen von Digital Operational Resilience Act (DORA) vor. Mit DORA sollen die bisherigen nationalen regulatorischen Anforderungen zum Management von Informations- und Kommunikationstechnologie (IKT) im Finanzsektor harmonisiert werden. Das bedeutet, dass sich Banken dadurch mit deutlich höheren regulatorischen Anforderungen hinsichtlich Cybersicherheit konfrontiert sehen.

Durch den Cyber-Stresstest müssen sich die Banken mit besonderen Herausforderungen auseinandersetzen:

  • Viele Bereiche, wie das Business Continuity Management, Informationssicherheitsmanagement, IT-Service, Continuity Management, Auslagerungsmanagement und Risikomanagement, müssen funktionsübergreifend über alle Verteidigungslinien hinweg eng zusammenarbeiten und funktionieren.
  • Im Falle von Outsourcing müssen auch die externen IT-Dienstleister mit einbezogen werden. Dadurch ist ein erhöhter Koordinationsaufwand zwischen Institut und externem Anbieter erforderlich.
  • Der Test erfordert einen intensiven Koordinations- und Dokumentationsaufwand sowie umfassende Nachweise, bestehend aus Richtlinien und Prozessen zur Regelung relevanter Aspekte der Reaktions- und Wiederherstellungsprozesse. Sie umfassen zum Beispiel Pläne und Testergebnisse für den Notbetrieb und die Wiederherstellung des operativen Betriebs; außerdem die Dokumentation der internen Kontrollprozesse und -ergebnisse in Bezug auf IT- und Sicherheitsrisiken. Daneben müssen auch die wirtschaftlichen Auswirkungen mit Daten aus dem Finanzcontrolling und der Abwicklungs- beziehungsweise Sanierungsplanung der Banken belegt werden.
  • in einem vergleichsweise kurzen Zeitfenster eine effiziente Planung unabdingbar macht

Fit für den Cyber-Resilience-Stresstest

Um den Test erfolgreich zu bewältigen, müssen Banken sich gezielt auf die Herausforderungen vorbereiten, die der Stresstest mit sich bringt, und ihre eigenen Sicherheitsvorkehrungen einer kritischen Analyse unterziehen.

  • Ganzheitliche Risikobewertung
    Durchführen einer umfassenden Risikobewertung, um potenzielle Schwachstellen in den verschiedenen Bereichen wie Business Continuity Management, Informationssicherheitsmanagement, IT-Service Continuity Management, Auslagerungsmanagement und Risikomanagement zu identifizieren.
  • Interdisziplinäre Schulungen und Übungen
    Schulungen für Mitarbeiterinnen und Mitarbeiter in den genannten Bereichen, um sicherzustellen, dass alle Verteidigungslinien reibungslos zusammenarbeiten können. Durch regelmäßige Übungen kann die Wirksamkeit der vorbereiteten Maßnahmen getestet und optimiert werden.
  • Kooperation mit externen Dienstleistern
    Überprüfung der Vereinbarungen mit externen IT-Dienstleistern, um sicherzustellen, dass im Falle eines Hacker-Angriffs eine nahtlose Zusammenarbeit gewährleistet ist. Dies beinhaltet auch die Integration der externen Dienstleister in die Test- und Wiederherstellungsprozesse.
  • Detaillierte Wiederherstellungspläne
    Ausarbeitung detaillierter Pläne für die Wiederherstellung von Systemen und Daten im Falle eines erfolgreichen Angriffs. Diese Pläne sollten alle relevanten Aspekte abdecken und den Anforderungen der EZB entsprechen.
  • Dokumentations- und Nachweisaufwand vorbereiten
    Entwicklung einer effizienten Dokumentationsstrategie, um den hohen Koordinations-, Dokumentations- und Nachweisaufwand während des Stresstests zu bewältigen. Eine klare und strukturierte Dokumentation ist entscheidend für eine reibungslose Validierung der Ergebnisse durch die Aufsicht.

Mit diesen vorbereitenden Maßnahmen können Banken ihre Chancen auf eine erfolgreiche Bewältigung des Cyber-Resilience-Stresstests erhöhen, und gleichzeitig auch ihre allgemeine Cyber-Sicherheit verbessern. Es ist unerlässlich, dass Finanzinstitute diese Gelegenheit nutzen, um ihre Widerstandsfähigkeit gegenüber Cyber-Bedrohungen zu stärken und somit das Vertrauen ihrer Kunden und Partner weiter zu festigen.

Unser dreistufiger Beratungsansatz für einen erfolgreichen Cyber-Resilience-Stresstest

Dreistufiger Ansatz für eine erfolgreiche Durchführung des Cyer-Resilience-Stresstests

Abbildung 2: Dreistufiger Ansatz für eine erfolgreiche Durchführung des Cyer-Resilience-Stresstests

Fazit: Ein wichtiger Schritt für die Cyber-Sicherheit im Bankensektor

Der Cyber-Resilience-Stresstest der EZB markiert einen wichtigen Schritt in Richtung einer robusten Cyber-Sicherheit im Bankensektor. Die Herausforderungen für die Institute sind hoch, aber die Identifizierung von Schwachstellen und die Stärkung der Widerstandsfähigkeit gegenüber Cyber-Angriffen sind von entscheidender Bedeutung für die Sicherheit des gesamten Finanzsystems. Instituten wird geraten, sich frühzeitig und gründlich auf diesen wegweisenden Test vorzubereiten, um den Anforderungen gerecht zu werden und ihre Cyber-Resilienz zu stärken.

Marcel Boehr

Marcel Böhr

ist Master of Science (M.Sc.) Controlling und Risikomanagement mit Spezialisierung auf Finanzinstitute und verfügt über mehrjährige Beratungserfahrung in der Branche Banking. In seinen Themenschwerpunkten Risikomanagement, nationales und internationales Aufsichtsrecht (EBA GL, EZB, BaFin, MaRisk, CRR/CRD) sowie Third-Party-Managements (TPM) berät er Kreditinstitute und Leasing Gesellschaften.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.