BaFin überarbeitet IT-Aufsichtspraxis im Finanzsektor

Die BaFin hat die Auftragsvergabe des Forschungsprojekts mit der zunehmenden Digitalisierung im Finanzsektor begründet, welche eine vermehrte Fragmentierung von Wertschöpfungsketten zur Folge habe. Demnach verwenden Finanzinstitute neue technische Möglichkeiten, um Systeme, Tätigkeiten oder Prozesse an branchenspezifische IT-Dienstleister auszulagern, welche ihrerseits die Infrastruktur anderer IT-Dienstleister – wie etwa Cloud-Anbietern – in Anspruch nehmen. Durch dieses Szenario sei eine Zunahme der Schnittstellen zwischen Kreditinstituten und Dritten zu verzeichnen, wodurch sich nicht nur die potentielle Angriffsfläche für Cyber-Kriminelle vergrößere, sondern auch die IT-Aufsichtspraxis der BaFin erschwert werde. Zudem bestehe die Möglichkeit, dass IT-Dienstleister weitere Teile der IT oder Finanzdienste selbst anbieten, sodass sich die Aufsicht auf Big-Tech-Unternehmen verschieben könne.

Ein zentraler Fokus der BaFin im Hinblick auf IT-Dienstleistungen liegt auf den Beziehungen zwischen den Finanzinstituten und ihren Dienstleistern. Zur Darstellung bestehender Verbindungen zwischen Instituten und Dienstleistern und zur Identifizierung möglicher Risiken, die sich aus der Auslagerung der IT-Dienstleistungen ergeben könnten, plant die BaFin, zunächst eine Landkarte der wesentlichen Dienstleister und Abhängigkeiten zu erstellen. Als Basis dieser Analyse könnten laut BaFin die Schnittstellen dienen, welche durch die Zweite Zahlungsdiensterichtlinie (Payment Service Directive – PSD2) entstanden sind. Bereits jetzt müssen die beaufsichtigten Institute Daten zu ihren wesentlichen Auslagerungen an die BaFin melden. Geht es nach der BaFin, sollen einerseits die Anforderungen an die Auswertung dieser Daten angepasst, andererseits die Datengrundlage etwa durch Informationen aus der Medienberichterstattung erweitert werden. Ziel der Aufsichtsbehörde ist es, ein deutlicheres Bild der bestehenden Strukturen zu erhalten.

Zu diesem Zweck wird außerdem der Begriff der „Auslagerung“ und damit die mitzuteilenden Informationen um „IKT-Vertragsbeziehungen“ ergänzt. Dies sollten Finanzinstitute bei künftigen Meldungen an die BaFin beachten. Möglicherweise werden sich diese Mitteilungspflichten künftig noch erweitern, wenn nicht nur „wesentliche“, sondern sämtliche Auslagerungen erfasst werden, wie durch das Forschungsteam der Universität Innsbruck empfohlen. Hintergrund dieser Empfehlung ist das Ziel, nicht nur rein vertragliche, sondern auch „dynamische“ Abhängigkeiten darstellen zu können. Hier wird deutlich, dass mögliche Schlupflöcher im Bezug auf die Aufsicht der IT-Dienstleistungen gestopft werden sollen.

Die BaFin sieht die Grundlage einer Abhängigkeit der Finanzinstitute von den IT-Dienstleistern in der zunehmenden Konzentration von IT-Infrastruktur und die damit einhergehende Marktmacht einzelner Unternehmen. Diese werden freilich nicht nur von der BaFin beaufsichtigt, sondern auch von anderen Aufsichtsbehörden, insbesondere im Bereich des Datenschutzes und der Wettbewerbsaufsicht. Diese Behörden verfolgen teilweise dieselben Ziele, sodass die Forschungsgruppe der Universität Innsbruck eine engere Kooperation zwischen diesen anregt. Auf diese Weise könne die zunehmende Bündelung im Hinblick auf die IT-Finanzdienstleistungen effektiver überwacht und gegebenenfalls Maßnahmen ergreifen werden, wenn systemische Risiken für die Finanzstabilität identifiziert werden.

Die Stellungnahme der BaFin im Zusammenhang mit der Veröffentlichung des Forschungsberichts verdeutlicht, dass die IT-Aufsicht der Behörde künftig erheblich ausgebaut werden dürfte. Eine solche Entwicklung ist angesichts der fortschreitenden Digitalisierung nur folgerichtig. Diese macht selbstverständlich auch vor Finanzinstituten nicht halt. Im Gegenteil stellt sich die zunehmende Nutzung von digitalen Finanzprodukten schon jetzt als wesentlicher Bestandteil des Finanzwesens dar, Tendenz steigend. Insofern werden auch die Verpflichtungen der Finanzinstitute im Rahmen der IT-Aufsicht weiter ansteigen.