Der globale Finanzstabilitätsrat (Financial Stability Board, FSB) beabsichtigt, das Meldewesen im Fall von Cybervorfällen an Finanzaufseher und andere Institutionen stärker zu vereinheitlichen, und bittet um Rückmeldung zu einem Konsultationspapier bis zum 31. Dezember. In den vergangenen Jahren hätten sich erhebliche Abweichungen bei den Anforderungen und Praktiken im Zusammenhang mit solchen Meldungen herausgebildet, wie der FSB berichtet. Zugleich würden Cyberattacken immer häufiger und raffinierter. Das Gremium sieht eine wachsende Bedrohung und verweist auf zunehmend digitale Prozesse, eine wachsende Verflechtung des Finanzsystems, eine steigende Abhängigkeit von Drittanbietern und auf geopolitische Spannungen.

Auf dreierlei Weise werde nun daran gearbeitet, eine größere Konvergenz zu erreichen, heißt es von dem bei der Bank für Internationalen Zahlungsausgleich (BIZ) in Basel angesiedelten Gremium. Es setzt sich aus Vertretern von Notenbanken, Finanzministerien und Aufsichtsbehörden weltweit zusammen und wird vom niederländischen Notenbankchef Klaas Knot geführt.

Erstens hat der FSB ein Konzept für ein gemeinsames Format für den Austausch von Meldungen über Zwischenfälle namens Fire vorgelegt. Es soll nach einer Überarbeitung für die Erhebung von Informationen über Cybervorfälle bei Finanzinstituten und für den Informationsaustausch zwischen den zuständigen Behörden genutzt werden. Darin werden unter anderem Informationen über das Ereignis und dessen mögliche Ursachen, zur Folgenabschätzung und über Gegenmaßnahmen festgehalten.

Zweitens strebt der FSB in 16 Empfehlungen danach, Hürden bei Erhebung und Weitergabe von Informationen über Cybervorfälle abzubauen. So geht das Gremium etwa auf Herausforderungen ein, die sich aus der Meldung an mehrere Behörden ergeben, spricht qualitative und quantitative Kriterien und Schwellenwerte an, die für Meldungen im Fall des Falles gelten sollen, geht auf Mechanismen für die sichere Kommunikation über Cybervorfälle ein und auf die Sicherstellung zeitnaher Meldungen an die relevanten Institutionen.

Drittens wurde das 2018 vom FSB entwickelte Cyber-Lexikon, das sich um einheitliche Begrifflichkeiten bemüht, um zusätzliche Einträge im Zusammenhang mit Cybervorfällen erweitert. Eine gemeinsame Definition und ein Verständnis davon, was ein Cybervorfall überhaupt ist, seien erforderlich, um zu verhindern, dass Ereignisse gemeldet würden, die irrelevant seien.

Finanzinstitutionen sehen sich mit verschiedenen Herausforderungen konfrontiert, die teils miteinander verwoben sind, wenn sie Informationen über Cybervorfälle zusammentragen und melden (siehe Grafik). Am meisten Mühe bereitet ihnen, eine Kultur zu etablieren, die eine rasche Abgabe von Meldungen fördert, wie 87% der vom FSB befragten Institutsvertreter erklärten. „Darüber hinaus könnten Unterschiede bei den aufsichtsrechtlichen Anforderungen oder der Meldung von Cybervorfällen, vor allem bei Finanzinstituten, die in vielen Rechtsräumen tätig sind, zu operativen Herausforderungen führen, die sich wiederum auf die Qualität und Aktualität der Meldungen auswirken.“

Bedeutende Vorfälle können – je nach Rechtsraum – eine Flut an Meldungen an verschiedenste Institutionen mit teils voneinander abweichenden Fristen lostreten, wie der FSB unterstreicht. Und jede Meldung löse in der Regel Folgeanfragen der einzelnen Aufsichtsbehörden aus. Finanzinstitute müssten außerdem oft auch noch Strafverfolgungsbehörden kontaktieren sowie Cyberversicherungen, Branchenverbände, Kunden und Stakeholder. Hinzu kommt die interne Kommunikation.

An Meldeverfahren seien nationale wie europäische Behörden beteiligt, die oftmals unterschiedliche Verfahren, Schwellenwerte und Fristen vorgäben. So müssen beispielsweise schwerwiegende Vorfälle von bedeutenden europäischen Finanzinstitutionen binnen zwei Stunden an die EZB-Bankenaufsicht gemeldet werden. Datenschutzverstöße müssen Geldhäuser den nationalen Datenschutzbehörden innerhalb von 72 Stunden melden, wohingegen Zahlungsdienstleistern im Rahmen der Zahlungsdiensterichtlinie PSD2 vier Stunden Zeit verbleiben.

Mit dem Digital Operational Resilience Act (Dora) der Europäischen Union, der 2024 Gültigkeit erlangen dürfte, sollen solche Divergenzen harmonisiert werden. Vorgesehen ist daneben, den Großteil der Finanzunternehmen in der Gemeinschaft wehrhafter gegen IT-Störungen und Cyberattacken zu machen sowie einheitliche Regeln für das IT-Risikomanagement und die Überwachung kritischer IT-Drittdienstleister zu schaffen.

Im Markt ist zu hören, dass die EZB ihr Cyber Incident Reporting aufgibt, wenn Dora gilt. Aktuell soll demnach bei der deutschen Finanzaufsicht BaFin eine zentrale nationale Meldestelle für entsprechende Zwischenfälle aufgebaut werden, die Berichte entgegennimmt und weiterverteilt. Damit entfielen Doppelstrukturen.

Derzeit ist die EZB zuständig im Fall von Angriffen auf bedeutende Institute, sofern die Attacken schwerwiegend genug sind und bestimmte Kriterien und Schwellenwerte erfüllen. Die unter Aufsicht der BaFin stehenden weniger bedeutenden Akteure müssen hingegen Attacken der nationalen Finanzaufsicht mitteilen. Wichtige Häuser, die kritische Dienstleistungen zur Versorgung der Bevölkerung zum Beispiel mit Bargeld, Zahlungs­verkehr, Wertpapiergeschäften und Versicherungen bereitstellen, müssen Zwischenfälle zudem an das Bundesamt für Sicherheit in der Informationstechnik (BSI) berichten.