Cybersicherheit im Finanzwesen

Cybersicherheit im Finanzsektor umfasst den Schutz digitaler Systeme, Daten und Kommunikationsnetze vor unbefugtem Zugriff, Diebstahl, Manipulation oder Unterbrechung. Sie ist entscheidend für das Vertrauen der Kunden, die Vermeidung systemischer Risiken und die sichere digitale Innovation.

Zentrale Cyberbedrohungen im Finanzwesen sind Phishing-Angriffe, Malware und Ransomware, DDoS-Angriffe, Zero-Day-Schwachstellen und Insider-Bedrohungen. Finanzunternehmen sind aufgrund des hohen Werts ihrer Daten und Systeme besonders gefährdet.

Cybersicherheitsanforderungen werden durch die EU-Verordnung über digitale operationelle Resilienz (DORA), die NIS2-Richtlinie, DSGVO, PSD2 sowie Leitlinien zu Cyberrisiken des Basler Ausschusses geprägt. International bieten das NIST-Rahmenwerk und ISO/IEC 27001 standardisierte Ansätze zur Steuerung von Cyberrisiken.

DORA harmonisiert die Regeln zur digitalen operationellen Resilienz für Finanzunternehmen in der EU. Sie schreibt das Management von IKT-Risiken, Vorfallmeldungen, digitale Tests (TLPT), Drittparteien-Überwachung und strategische Cyberresilienz mit Vorstandsverantwortung vor.

Institute müssen Risiken aus IT-Systemen, Dateninfrastruktur und externen Anbietern identifizieren, bewerten, überwachen und mindern. Dazu gehören Sicherheitsrichtlinien, Zugriffskontrollen, Schwachstellenmanagement, Verschlüsselungsstandards und Schulungsmaßnahmen.

Unternehmen müssen Systeme zur Echtzeit-Bedrohungserkennung, Eskalationsprotokolle und Wiederherstellungspläne implementieren. Regulatorisch sind erhebliche Vorfälle fristgerecht an nationale Behörden und europäische Aufsichtsbehörden (ESAs) zu melden.

Cloud-Dienste und Drittanbieter sind unter strengen vertraglichen und technischen Standards zu überwachen. Laut DORA und EBA-Leitlinien müssen Kontinuität, Datenschutz und Prüfbarkeit ausgelagerter IKT-Dienste gewährleistet sein.

Bedrohungsorientierte Penetrationstests (TLPT), inklusive Red Teaming, sind für kritische Systeme vorgeschrieben. Sie simulieren reale Angriffe und bewerten die Fähigkeit zur Erkennung und Reaktion anhand branchenspezifischer Benchmarks.

Cybersicherheit und Datenschutz sind eng verknüpft. Die DSGVO verlangt, dass personenbezogene Daten sicher verarbeitet werden – durch technische und organisatorische Maßnahmen zur Wahrung von Vertraulichkeit, Integrität und Verfügbarkeit, insbesondere bei Sicherheitsverletzungen.

Zahlungssysteme, Wertpapierabwicklungssysteme, zentrale Gegenparteien und digitale Bankplattformen gelten als kritische Infrastruktur. Ihre Cybersicherheitsresilienz ist für die Finanzstabilität auf nationaler und EU-Ebene essenziell.

Mit der Digitalisierung müssen Neobanken und FinTechs sichere Systeme von Anfang an entwickeln. API-Schwächen, schlechte Authentifizierungsverfahren und unsichere mobile Schnittstellen stellen zunehmende Risiken unter PSD2 und eIDAS dar.

Cybersicherheit ist ein strategisches Thema auf Vorstandsebene. Gremien müssen Cyberrisiken in das unternehmensweite Risikomanagement integrieren, Schlüsselrisikoindikatoren (KRI) definieren und eine risikobewusste Kultur fördern.

Institute können Cyberversicherungen abschließen, um sich gegen finanzielle Verluste durch Angriffe abzusichern. Policen variieren im Umfang, wobei Versicherer zunehmend hohe Anforderungen an Governance und Vorfallhistorie stellen.

Behörden fördern den Austausch von Bedrohungsinformationen über TIPs, Branchenkonsortien (z. B. FS-ISAC) und öffentlich-private Partnerschaften. Frühwarnsysteme und koordinierte Reaktionen stärken die sektorweite Resilienz.

In Slowenien unterliegen Finanzinstitute der Aufsicht durch die Bank von Slowenien und die ATVP im Rahmen der nationalen Umsetzung von DORA, NIS2 und DSGVO. Der Informationsbeauftragte überwacht die Datenschutzkonformität, während SI-CERT bei Vorfällen unterstützt.

KI-gestützte Angriffe, Risiken durch Quantencomputer, IoT-Schwachstellen und geopolitische Cyberkonflikte prägen die künftige Bedrohungslage. Regulatorische Rahmenwerke werden verstärkt auf proaktive Resilienz und grenzüberschreitende Koordination setzen.