Finanz- & Versicherungswirtschaft

Eine Branche im Umbruch

Der Finanzsektor ist die am dichtesten regulierte Branche und zugleich eines der bevorzugten Ziele von Angreifern. In Deutschland beaufsichtigt die BaFin rund 9.400 Unternehmen — Kreditinstitute, Wertpapier- und Kapitalverwaltungsgesellschaften, Zahlungs- und E-Geld-Institute sowie über 200 Erstversicherer.[1] Nach Daten des Internationalen Währungsfonds entfiel fast ein Fünftel aller globalen Cybervorfälle der vergangenen zwanzig Jahre auf den Finanzsektor, mit Gesamtschäden von annähernd 12 Milliarden US-Dollar.[2]

Die eigentliche Verschiebung der letzten Jahre liegt aber nicht bei den Angriffen, sondern in der Abhängigkeit von außen. Banken und Versicherer betreiben ihre IT kaum noch selbst. Nach Zahlen der EZB-Bankenaufsicht konzentrieren europäische Institute die Hälfte ihres Auslagerungsbudgets auf nur 30 Anbieter; 82 Prozent der ausgelagerten kritischen Funktionen lassen sich schwer oder gar nicht ersetzen.[3] In Deutschland gibt mehr als die Hälfte der meldepflichtigen Unternehmen an, ausgelagerte IT nicht mehr selbst erbringen zu können — und mehr als zwei Drittel davon könnten den Dienstleister kaum wechseln.[4] Damit ist das größte operationale Risiko des Sektors nach außen gewandert, zu wenigen Cloud- und IT-Anbietern, deren Ausfall viele Institute gleichzeitig treffen kann.

Die Bedrohungslage

Die dokumentierten Vorfälle folgen klar erkennbaren Mustern. Das erste ist die Lieferkette. Im Mai 2023 nutzte die Gruppe Cl0p eine Zero-Day-Schwachstelle in der Dateitransfer-Software MOVEit aus; über den Kontowechsel-Dienstleister Majorel waren auch Kunden von Deutscher Bank, Postbank, ING und Comdirect betroffen — bei deutschen Banken summierte sich das auf über 144.000 erbeutete Datensätze, während die Bankensysteme selbst nicht direkt kompromittiert waren.[5] Den gleichen Mechanismus zeigte der Angriff auf den britischen Outsourcing-Dienstleister Capita im März 2023: rund 6,6 Millionen Personendatensätze flossen ab, der Jahresverlust lag bei über 106 Millionen Pfund, und im Oktober 2025 verhängte die britische Datenschutzaufsicht Bußgelder von zusammen 14 Millionen Pfund.[6] Die BaFin beziffert den Anteil der durch Dienstleister verursachten Zahlungsvorfälle in ihren Meldungen auf rund zwei Drittel.[7]

Das zweite Muster ist Ransomware mit systemischer Wirkung. Im November 2023 traf LockBit über eine ungepatchte Citrix-Schwachstelle die US-Tochter der weltgrößten Bank, ICBC. Die Folge war kein Datenleck, sondern ein Stillstand im Maschinenraum des Finanzsystems: ICBC konnte keine US-Staatsanleihen-Geschäfte mehr abwickeln, Settlement-Daten wurden zeitweise per USB-Stick und Kurier durch Manhattan transportiert, und ausgefallene Repo-Transaktionen erreichten 62,2 Milliarden US-Dollar.[8] Der IWF und Ratingagenturen bewerteten den Fall als einen der schwersten Cyberangriffe auf die Finanzbranche bis dahin.

Das dritte Muster sind Verfügbarkeitsangriffe und operative Ausfälle. Prorussische Gruppen wie Killnet und NoName057(16) griffen ab Januar 2023 unter Kampagnennamen wie #GermanyRIP deutsche Banken und Behörden mit DDoS-Angriffen an; nach ENISA-Daten richteten sich 58 Prozent aller DDoS-Vorfälle im europäischen Finanzraum gegen Kreditinstitute.[9] Diese Angriffe legen meist nur kurzfristig Webauftritte und Online-Banking lahm, binden aber Ressourcen und schaden dem Vertrauen. Dass ein Ausfall gar keinen Angreifer braucht, zeigte das fehlerhafte CrowdStrike-Update im Juli 2024: Bankschalter und Zahlungsdienste in mehreren Ländern standen still, der Schaden allein für die Bankenbranche wird auf rund 1,15 Milliarden US-Dollar geschätzt; die Bundesbank führte den Fall ausdrücklich als Beispiel für IT-Drittparteien- und Konzentrationsrisiko an.[10] Und schließlich die hausgemachte Variante: Bei der IT-Migration von 12 Millionen Postbank-Kunden auf die Systeme der Deutschen Bank kam es 2023 zu massiven Störungen — manche Kunden hatten wochenlang keinen Kontozugang. Im September 2023 sprach die BaFin von erheblichen Beeinträchtigungen und bestellte einen Sonderbeauftragten, eine seltene Aufsichtsmaßnahme.[11]

Was die Branche regulatorisch treibt

Der Leitfaden für all das ist seit Januar 2025 DORA, die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor. Sie gilt als EU-Verordnung unmittelbar, ohne nationales Umsetzungsgesetz, und erfasst 21 Kategorien von Finanzunternehmen — von Kreditinstituten über Zahlungs- und Kryptodienste bis zu Versicherern und betrieblicher Altersversorgung. Erstmals werden auch IT-Drittdienstleister direkt in die Regulierung einbezogen.[12] DORA ruht auf fünf Säulen: einem IT-Risikomanagement in der Letztverantwortung des Leitungsorgans, einer geregelten Vorfallmeldung, regelmäßigen Resilienztests, dem Management des Drittparteienrisikos und einem eigenen Aufsichtsrahmen für kritische Anbieter.[13]

Konkret wird das an drei Stellen. Schwerwiegende Vorfälle sind gestaffelt zu melden: eine Erstmeldung innerhalb weniger Stunden, ein Zwischenbericht binnen 72 Stunden und ein Abschlussbericht nach einem Monat, in Deutschland an die BaFin als Melde-Hub.[14] Für bedeutende Institute kommt das bedrohungsgeleitete Penetrationstesten (TLPT) auf Basis des TIBER-EU-Rahmens hinzu, dessen erster Zyklus bis Januar 2028 abzuschließen ist.[15] Den größten Hebel hat die direkte Aufsicht über kritische IT-Drittdienstleister: Im November 2025 benannten die europäischen Aufsichtsbehörden die ersten 19 kritischen Anbieter, darunter die großen Cloud-Hyperscaler, die Deutsche Telekom und die Rechenzentrumsbetreiber Equinix und Interxion. Gegen diese Anbieter können Zwangsgelder von bis zu einem Prozent des durchschnittlichen weltweiten Tagesumsatzes verhängt werden — täglich und bis zu sechs Monate lang.[16]

DORA ordnet sich dabei klar in das übrige Regelwerk ein. Im Finanzsektor gilt sie als lex specialis gegenüber NIS2, geht inhaltlich über die allgemeine Richtlinie hinaus und hat die früheren BaFin-Rundschreiben BAIT, VAIT, KAIT und ZAIT als Leitfaden abgelöst.[17] Die physische Schiene liefert das KRITIS-Dachgesetz, in Kraft seit März 2026: Es regelt die physische Resilienz kritischer Anlagen, nimmt den Finanzsektor wegen DORA von einem Teil seiner Kernpflichten aus, behält aber die Meldepflicht für physische Störungen bei.[18] Über allem steht eine Verschiebung der Verantwortung: Sowohl DORA als auch das Dachgesetz adressieren die Geschäftsleitung persönlich — operationale Resilienz ist damit Chefsache und keine reine IT-Aufgabe mehr.

Wo die kritischen Risiken liegen

Die schwierigsten Risiken stecken selten in einer einzelnen Domäne. Sie entstehen an den Schnittstellen — dort, wo Cybersicherheit, Auslagerung, physische Sicherheit und der laufende Betrieb aufeinandertreffen und in der Praxis oft in getrennten Verantwortungssilos geführt werden. Im Finanzsektor liegt der größte Hebel beim Drittparteien- und Konzentrationsrisiko. Die Bündelung auf wenige Cloud-, IT- und Infrastrukturanbieter schafft Effizienz und zugleich systemische Abhängigkeit: MOVEit zeigte, dass ein kompromittierter Dienstleister hunderte Institute gleichzeitig trifft, CrowdStrike, dass ein einziger Fehler weltweit durchschlägt. Genau hier setzt DORA mit Vertragsanforderungen, Ausstiegsstrategien und Konzentrationsanalysen an — die Umsetzung in eine tragfähige Architektur bleibt aber Aufgabe des Instituts.

Eng damit verbunden ist die Verfügbarkeit kritischer Funktionen, allen voran des Zahlungsverkehrs. Systeme wie SEPA, TARGET2 und SWIFT sind systemkritisch; der ICBC-Fall führte vor Augen, wie schnell der Ausfall einer Abwicklungskette auf den Markt durchschlägt. Hinzu kommen Risiken, die über die reine IT hinausgehen: Die physische Resilienz der Rechenzentren, von denen der Sektor abhängt, fällt nicht unter DORA und muss eigenständig im Resilienzrahmen mitgedacht werden — nicht zufällig stehen mit Equinix und Interxion gerade Rechenzentrumsbetreiber auf der Liste der kritischen Anbieter. Und am Horizont steht das Quantencomputing: Mit Blick auf „Harvest Now, Decrypt Later" — heute abgegriffene, später entschlüsselte Daten — warnt die BaFin vor der Bedrohung heutiger Verschlüsselung und verweist auf die ersten Post-Quanten-Standards. Technisch greift gegen all das Defense in Depth: gestaffelte, voneinander unabhängige Schutzschichten nach dem Zwiebelschalenprinzip, konsequente Segmentierung der Netze und das Leitbild Zero Trust — kein automatischer Vertrauensvorschuss, weder für Nutzer noch für Verbindungen oder Dienstleister. Standards wie ISO/IEC 27001 setzen den fachlichen Rahmen und dienen als Baseline; sie konkretisieren, was DORA fordert — ersetzen aber nicht die Architektur, die Cyber, Auslagerung und physische Sicherheit zusammenhält.

Quellen

[1] BaFin: ~9.432 Aufsichtsobjekte, >200 Erstversicherer (2025) — BaFin Risiken im Fokus 2025

[2] IWF: ~1/5 aller globalen Cybervorfälle der letzten 20 Jahre im Finanzsektor, Schäden ~12 Mrd. USD — BaFin Risiken aus Cyber-Vorfällen 2025

[3] EZB-Bankenaufsicht: 50 % des Auslagerungsbudgets auf 30 Anbieter, 82 % der kritischen Funktionen schwer/nicht substituierbar (Feb. 2025) — EZB Banking Supervision

[4] BaFin: >50 % können ausgelagerte IT nicht selbst erbringen, >2/3 davon kaum übertragbar — BaFin Risiken im Fokus 2025

[5] MOVEit/Cl0p (Mai 2023): über Majorel Deutsche Bank, Postbank, ING, Comdirect betroffen, >144.000 Datensätze bei deutschen Banken — S&P Global Ratings · Anwalt-Leverkusen.de

[6] Capita Ransomware (März 2023): ~6,6 Mio. Datensätze, Jahresverlust >106,6 Mio. £, ICO-Bußgelder 14 Mio. £ (Okt. 2025) — The Record · Wikipedia

[7] BaFin: ~2/3 der Zahlungsvorfallsmeldungen durch Dienstleister verursacht — BaFin Risiken aus Cyber-Vorfällen 2025

[8] ICBC LockBit (Nov. 2023): CitrixBleed-Schwachstelle, US-Treasury-Settlement gestört, ausgefallene Repo-Trades 62,2 Mrd. USD, USB-Stick-Übermittlung — Reuters · BankInfoSecurity

[9] Killnet/NoName057(16) DDoS #GermanyRIP (ab Jan. 2023); ENISA: 58 % aller DDoS-Vorfälle gegen Kreditinstitute — BSI Ukraine-Krise · ENISA Finance Threat Landscape 2024 (PDF)

[10] CrowdStrike (Juli 2024): globaler IT-Ausfall, Bankenschaden ~1,15 Mrd. USD, Bundesbank: Beispiel für IKT-Drittparteien-/Konzentrationsrisiko — OrboGraph · Bundesbank Monatsbericht Sept. 2024

[11] Postbank IT-Migration (2023): 12 Mio. Kunden, wochenlange Störungen, BaFin-Verbrauchermitteilung Sept. 2023 + Sonderbeauftragter — BaFin Verbrauchermitteilung · BaFin Sonderbeauftragter

[12] DORA Verordnung (EU) 2022/2554, Geltung ab 17.01.2025, 21 Kategorien Finanzunternehmen, IKT-Drittdienstleister direkt reguliert — EUR-Lex

[13] Die fünf Säulen von DORA (Risikomanagement, Vorfallmeldung, Resilienztests, Drittparteienrisiko, Überwachungsrahmen) — AWARE7 DORA-Leitfaden

[14] DORA-Meldefristen: Erstmeldung 4h/24h, Zwischenbericht 72h, Abschlussbericht 1 Monat, BaFin als Melde-Hub — BaFin Risiken aus Cyber-Vorfällen 2025

[15] DORA TLPT (Art. 26–27) auf Basis TIBER-EU, erster Zyklus bis 17.01.2028 — DORA Regulation Blog (TLPT)

[16] ESAs benennen 19 kritische IKT-Drittdienstleister (18.11.2025): u.a. AWS, Microsoft, Google, IBM, Oracle, Deutsche Telekom, Equinix, Interxion; Zwangsgelder bis 1 % des weltweiten Tagesumsatzes — EIOPA · BaFin Überwachungsrahmen

[17] DORA als lex specialis ggü. NIS2; Ablösung von BAIT/VAIT/KAIT/ZAIT — USD AG DORA-News · openkritis.de

[18] KRITIS-Dachgesetz (in Kraft März 2026): physische Resilienz, Finanzsektor nach §4 Abs. 2 teils ausgenommen, Meldepflicht §12 bleibt; Geschäftsleitungsverantwortung — BBK · openkritis.de