Im vergangenen Jahr führten IT-Vorfälle bei Zahlungsdienstleistern zu zahlreichen Störungen bei zahlungsbezogenen Diensten. Eine Analyse der BaFin verdeutlicht, dass Angriffe selten die Ursache sind. Dennoch bleibt das Risiko hoch.
Rund 235 Vorfälle wurden gemeldet. Bei lediglich rund 5,1 Prozent der Vorfälle handelt es sich jedoch tatsächlich um Sicherheitsvorfälle. Ein Großteil der Probleme resultiert aus Fehlern in internen Prozessen und Systemen und ist somit auf Betriebsvorfälle zurückzuführen. Betriebsvorfälle sind Systemfehler (57 %), Prozessfehler (21,3 %), menschliches Versagen (8,9 %), böswillige Handlungen (4,7 %) und Sonstiges (8,1 %). Sicherheitsvorfälle umfassen überwiegend Cyber-Angriffe, darunter Distributed-Denial-of-Service (DDoS)-Attacken und Betrugsvorfälle wie Phishing.
Mehrere Faktoren könnten den niedrigen Anteil an Sicherheitsvorfällen erklären: Möglicherweise konnten die Institute Angriffe erfolgreich abwehren, die Angriffe hatten keine Auswirkungen auf zahlungsbezogene Dienste oder die Auswirkungen blieben unterhalb der Meldeschwellen. Der geringe Anteil an gemeldeten Sicherheitsvorfällen im Jahr 2023 bedeutet daher nicht, dass es nur wenige Angriffe gab oder das Risiko für Cyber-Angriffe gering ist. Im Gegenteil, das Risiko bleibt hoch.
Die steigende Auslagerung von IT-Dienstleistungen erhöht die Risiken, da Vorfälle bei Dienstleistern oft mehrere Institute gleichzeitig betreffen. Die BaFin betont die Notwendigkeit kontinuierlicher Anpassungen der IT-Sicherheit, um den wachsenden Bedrohungen durch Cyber-Kriminalität und technische Innovationen zu begegnen. Ab 2025 soll der Digital Operational Resilience Act (DORA) die Meldesysteme vereinheitlichen und auf den gesamten Finanzsektor ausweiten, um ein umfassenderes Bild der IT-Sicherheit zu ermöglichen.
Die ausführliche Analyse finden Sie auf der Seite der BaFin.