Knapp zwei Monate verbleiben den von der Europäischen Zentralbank (EZB) überwachten Banken noch, um sich auf den ersten Cyberstresstest der EZB-Aufseher vorzubereiten. Das Szenario, dem sich die rund 110 betroffenen Institute vom 2. Januar an stellen müssen, ist im Detail noch unbekannt, klar ist nur, dass es sich um eine schwerwiegende Cyberattacke auf das Kernbankensystem handeln wird.

„Die Banken haben zwei Monate Zeit, um 478 Fragen zu beantworten“, weiß Peter Hertlein, Director im Financial Services von KPMG. Und nicht nur das, sie müssten auch Nachweise liefern, die ihre Antworten belegen und Cybervorfallsmeldungen abgeben. Fest stehe: „Der Test bindet viele Kapazitäten und Experten in den Banken.“

Neben diesen Aufgaben, die zum vereinfachten Ansatz des Stresstests gehören (Lighter Assessment) und von allen Banken gestemmt werden müssen, gibt es laut Hertlein und KPMG-Senior-Managerin Elvira Niedermeier noch einen vertieften Ansatz (In-Depth Exercise). Diesem sehen sich 20 Kreditinstitute gegenüber. Deren Aufgabe ist es den beiden Experten zufolge, IT-Wiederherstellungstests nach den simulierten Attacken auszuführen und Protokolle als Nachweise vorzulegen, die später von Aufsehern vor Ort überprüft würden. „In IT-Recovery-Tests müssen sie demonstrieren, dass sie in der Lage sind, das Kernbankensystem wiederherzustellen“, führt Niedermeier aus.

Welche Institute zu den 20 gesondert geprüften gehören, ist nicht bekannt. Es handelt sich nach Einschätzung von Niedermeier und Hertlein nicht notwendigerweise nur um die größten, komplexesten und am stärksten vernetzten Finanzakteure Europas.

Die vereinfachte Variante des „Cyber Resilience Stress Test 2024“ soll zwei Monate dauern und am 29. Februar mit der Einreichung der beantworteten Fragebögen und der Nachweise enden. Die vertiefte Variante werde hingegen inklusive Vor-Ort-Validierung bis zum 30. April in Anspruch nehmen.

Die Resultate des Stresstests sollen in den aufsichtlichen Überprüfungs- und Bewertungsprozess (SREP) der EZB einfließen, der den Umgang der Banken mit Risiken bewertet und der etwaige Aufsichtsmaßnahmen zur Folge hat. „Die Institute müssen sich auch selbst bewerten“, sagt Hertlein. „Das Ganze fließt in das SREP-Verfahren ein, das heißt, wenn jemand den Stresstest nicht gut meistert oder systematische Lücken offenbart, könnte das die Aufsicht beispielsweise mit einer Sonderprüfung auf den Plan rufen.“

Es handele sich aber nicht nur um eine Cyberübung, macht Niedermeier deutlich, sondern unter anderem auch um eine Betrachtung der wirtschaftlichen Auswirkungen auf den Geschäftsbetrieb und um das Zusammenspiel mit dem Risikomanagement. „Was viele Häuser überrascht, ist, dass dieser Test die gesamten Geschäftsabläufe einbezieht, also etwa auch die IT-Serviceprovider der Banken, wenn diese für den Test relevante Services erbringen. Man muss also nicht nur die eigene IT beherrschen, sondern weil es ein End-to-End-Test ist, muss man auch beweisen, die Dienstleister steuern zu können.“

Als Szenarien können sich die Berater eine Ransomware-Attacke vorstellen, also die Verschlüsselung von Daten, einen Ausfall des Zahlungssystems oder des IT-Dienstleisters. Das erste Szenario könne auch dahingehend weitergedacht werden, dass infolge eines Cyberangriffs nicht mehr auf die eigenen Daten vertraut werden dürfe. „So könnten Zahlungen, Kontaktdaten oder Kontoverbindungen vertauscht und verfälscht sein“, sagt Hertlein. Erschwert werde den Banken die Arbeit durch den Zeitpunkt des Übungsbeginns: „Es ist wirklich ein Cyberstresstest“, betont Hertlein, „denn das Startdatum am 2. Januar fällt in die Urlaubs- und in die Jahresabschlusszeit bei den Banken, was eine zusätzliche Herausforderung darstellt.“ 

Dennoch wird nach Ansicht des KPMG-Experten der Komplexitätsgrad auf mittlerem Niveau liegen. „Der Test ist nicht trivial, sonst wäre er kein Stresstest. Er wird aber auch nicht zu komplex sein, andernfalls wäre eine Auswertung zu schwierig.“ Sicher sind sich Hertlein und Niedermeier, dass Cyberstresstests in der Aufsichtstätigkeit zur Regel werden. „Es wird keine Einmalübung sein“, befindet etwa die KPMG-Senior-Managerin.