Neue Angst geht bei Schweizer Banken um
Es ist ein sperriges Wort, das derzeit in den Technikabteilungen der Schweizer Banken die Runde macht: operationelle Resilienz.
Schweizer Finanzhäuser müssen sich heute gegen eine ganze Reihe von technischen Risiken schützen. Im Fokus stehen Cyberangriffe (z. B. DDoS auf E-Banking), veraltete IT-Systeme (Legacy-Plattformen) sowie die starke Abhängigkeit von Cloud-Anbietern. Hinzu kommen verschärfte Vorgaben zu Resilienz und Datenschutz.
Blackout mittlerweile mehr als nur theoretische Gefahr
Auch das Sicherstellen der Bankdienstleistungen bei einem Stromausfall gehört dazu. Dazu wurde reichlich Papier produziert, der Ernstfall wird jedoch in den wenigsten Fällen regelmässig beübt, wie Henning Gebert sagt. «Seit dem Blackout vom 28. April dieses Jahres in Spanien und Portugal ist dies nicht mehr ein theoretisches Risiko, sondern die Banken wissen, dass ein solcher Fall durchaus in unseren Breitengraden eintreten kann», sagt der Digitalisierungsspezialist bei Capco. Gebert unterstützt beim internationalen Management- und Technologieberatungsunternehmen Finanzinstitute bei der Planung und Umsetzung von Digitalisierungsprojekten.
Henning Gebert, Digitalisierungsspezialist bei Capco. (Bild: zVg)
Zahlreiche Schweizer Banken suchen in diesen Tagen bei Henning und seinem Team um Unterstützung. Stresstests sind nötig. Denn der Blackout in Spanien und Portugal hat einige gravierende Probleme aufgedeckt:
- Filialen und Terminal-Infrastruktur hatten oftmals keine ausreichende USV (unterbrechungsfreie Stromversorgung), wodurch selbst kurze Unterbrechungen massive Störungen auslösten. Dabei ist die Verfügbarkeit von Bargeld gerade bei schweren Krisen als Notfall-Back-up essentiell. Ein Plan B für die Bargeldlogistik sollte vorab aufgesetzt werden.
- Nur grössere Institute bzw. das zentrale Clearing konnten auf Redundanzsysteme zurückgreifen, Zweigstellen waren dagegen lahmgelegt. Mobilverbindungen und Internet fielen aus, Kassensysteme wurden lahmgelegt.
- Die Zahlungsinfrastruktur blieb beim Bankhaus selbst stabil, jedoch war der Zugang für Kunden massiv eingeschränkt, da sie ihre Hausbanken – sprich Filialzugang oder Geldautomaten – nicht nutzen konnten. Damit war letztlich auch kein Bargeldbezug möglich.
Entscheidend sei, dass die Systeme in solchen Situationen aus sich selbst heraus gestartet werden können und nicht abhängig von einer externen Authentifizierung sind, denn diese funktioniere bei einem Blackout in der Regel nicht, sagt Gebert.
Strengere Vorschriften für internationale Banken
Wer IT-Sicherheit nicht im Griff hat, riskiert Ausfälle, Bussen und nicht zuletzt massive Reputationsschäden.
Mit dem Digital Operational Resilience Act (DORA) gelten im EU-Raum seit Januar dieses Jahres strengere Vorschriften für Banken, Versicherer und Vermögensverwalter. Gefordert werden unter anderem ein systematisches ICT-Risikomanagement, standardisierte Incident-Meldungen, Resilienz-Tests und strikte Regeln für das Outsourcing von IT-Diensten.
Auch Schweizer Banken betroffen
Zusätzlich verschärft DORA die Haftungsfragen: Geschäftsleitungen haften explizit für mangelhafte ICT-Governance – auch bei Auslagerungen.
Betroffen davon sind indirekt auch Schweizer Institute. Sie müssen ihre Governance, IT-Verträge und Prozesse anpassen oder riskieren als Drittanbieter künftig nicht mehr berücksichtigt zu werden. DORA wirkt grenzüberschreitend – auch ohne direktes EU-Mandat.
Entsprechend gross sei die Aufmerksamkeit bei den Banken seit dem Blackout in Spanien und Portugal, sagt Henning Gebert.
