EZB-Stresstest: Wie resilient sind Banken tatsächlich? Kyndryl prognostiziert Schwachstellen

Am 2. Januar hat der Stresstest der Europäischen Zentralbank für große Institute im Euroraum begonnen. Mit der „Trockenübung“ eines Cyberangriffs möchte die EZB Melde- und Wieder­herstellungs­prozesse der Banken prüfen. Besonders im cloudbasierten Banking prognostiziert Dominik Bredel von Kyndryl Schwachstellen. 

Ein erfolgreicher Cyberangriff verursacht Probleme im täglichen Bankgeschäft – davon geht der Stresstest der Bankenaufsicht der EZB aus. 109 Institute sind Teil und müssen durch die Umsetzung ihrer Notfallpläne den Betrieb wieder herstellen. Im Nachgang folgt eine intensive Prüfung von 28 der Banken. Die Ergebnisse fließen in den aufsichtlichen Überprüfungs- und Bewertungsprozesses (Supervisory Review and Evaluation Process – SREP) 2024 ein. Bei der Risikobewertung der Banken spielen sie also eine Rolle, nicht aber bei den das Kapital betreffenden Säule-2-Empfehlungen.

Ergebnisse des Stresstests sind für den Sommer 2014 zu erwarten. Prognosen von Kyndryl  (Website) stellen mögliche Probleme in Aussicht – eine Gelegenheit für einen Blick nach innen.

Wandel der Cloud-Infrastruktur

Die Gleichung “Bank gleich Mainframe” gilt schon lange nicht mehr:

Laut einer Studie setzten im Jahr 2021 bereits 78 Prozent der deutschen Banken auf Cloud-Dienste.”

Ihr Einsatz beschränkt sich zudem nicht mehr nur auf nachgelagerte Anwendungen. Inzwischen sind Hybrid-Cloud-Systeme die Norm in vielen Bankinstituten. Dabei spielt das Kernbankensystem, die Schaltzentrale der Geldinstitute, in der beispielsweise alle Kontobewegungen durchgeführt oder Spareinlagen gespeichert werden, eine enorm wichtige Rolle. Ein Ausfall kann entsprechend dramatische Folgen haben, diese Infrastrukturen müssen also bestmöglich geschützt und mit Backups abgesichert werden.

Während Neobanken dabei vollständig cloudbasiertes Banking betreiben, verlassen sich etablierte Institute nach wie vor auch noch auf bestehenden On-Prem-Infrastrukturen, wie unter anderem auf Mainframes.

Auf Systemebene entsteht dadurch ein gewisser Schutz durch die Verteilung und Redundanz der Daten. Wird eine Bank angegriffen, fällt deshalb im Zweifelsfall nur diese eine Bank aus.”

Während sie Recovery-Maßnahmen einleitet, läuft der Betrieb in anderen Instituten regulär weiter. Für die Kunden der angegriffenen Bank ist das zwar ausgesprochen ärgerlich, das Banksystem an sich bleibt aber intakt.

Risiko der Konzentrationstendenzen

Besorgniserregend ist hingegen folgendes Szenaro: Die gesamte Branche arbeitet cloud-native und wenige Kernbankensysteme, die auf den drei Hyperscalern laufen, übernehmen das gesamte Processing.

Ein einzelner gelungener Angriff stellt dann ein systemisches Risiko mit kaum absehbaren Folgen dar.”

Dieses hypothetische und drastische Beispiel dürfte kaum je Realität werden, allerdings verdeutlicht es ein konkretes Risiko für den Sektor. Konzentrationstendenzen im Zuge der Cloud-Transformation können ähnlich wie Klumpenrisiken in Anlageportfolien zu einer Risikokumulation führen. Das ist der Fall, wenn viele Banken die gleichen Dienstleister nutzen. Bestes Beispiel dafür sind eben die Hyperscaler.

Ergebnisse des Stresstests

Ein besonders wichtiges Anliegen des aktuellen Stresstests ist es daher, solche Abhängigkeiten und daraus resultierende systemische Risiken aufzudecken. Es scheint wahrscheinlich, dass die EZB Diversifikation und Risikostreuung empfehlen wird. Des weiteren wird am 17. Januar 2025 DORA (Digital Operational Resilience Act), eine Verordnung der Europäischen Union, in Kraft treten. Infolgedessen werden Finanzunternehmen weitere Anforderungen an die Cyber-Resilienz erfüllen müssen. Das hat auch eine Kehrseite:

Durch Diversifikation könnten komplexere Systeme entstehen, die wiederum größere Angriffsflächen bieten.”

Dominik Bredel, Practice Leader Security & Resilienz bei Kyndryl Deutschland, sieht große Herausforderungen auf die Banken zukommen:

1.Sie müssen ihre Cloud-Transformation weiter vorantreiben, um den Anschluss an Neobanken und FinTechs nicht zu verlieren und selbst neue Innovationen auf den Markt bringen zu können.

2.Ihr Kerngeschäft, das auch weiterhin zumindest teilweise Mainframe-basiert sein wird, muss damit verzahnt werden.

3.Für die genannten Punkte sind die Institute auf Dienstleister angewiesen, müssen aber gleichzeitig vermeiden, in Abhängigkeit von diesen zu geraten. So können sehr komplexe Hybrid-Multi-Cloud-Systeme entstehen.

4.Diese Systeme müssen verwaltetet, überwacht und abgesichert werden. Das wird nur gelingen, wenn Banken eine Integrationsplattform nutzen, die alle Assets integriert und eine zentrale Zugriffsebene für Verantwortliche schafft.

Stresstest: Bedeutung für Banken

Der Stresstest ist eine gute Gelegenheit, kritisch auf die eigenen Infrastrukturen zu blicken und mögliche Schwachstellen zu identifizieren – ob man direkt betroffen ist oder nicht. Die jetzt durchgeführte Variante des Planspiels ist aufgrund der Vorankündigung noch relativ harmlos. Zukünftig folgen womöglich realistischere Test mit simulierten Angriffen – eventuell sogar ohne Vorwarnung. Banken, die es versäumen, entsprechende Vorbereitungen zu treffen, könnten nicht nur von einem solchen Test, sondern auch von echten Angriffen überrascht werden.ls