Suchoptionen
Startseite Medien Wissenswertes Forschung und Publikationen Statistiken Geldpolitik Der Euro Zahlungsverkehr und Märkte Karriere
Vorschläge
Sortieren nach
  • PRESSEMITTEILUNG

EZB schließt Stresstest zur Cyberresilienz ab

26. Juli 2024

  • Mit dem Stresstest wurde untersucht, wie Banken auf einen schwerwiegenden, aber plausiblen Cybersicherheitsvorfall reagieren und sich von diesem erholen würden
  • 109 Banken wurden getestet, 28 davon wurden umfangreicheren Tests unterzogen
  • Die Ergebnisse fließen in den aufsichtlichen Überprüfungs- und Bewertungsprozess 2024 der EZB ein

Die Europäische Zentralbank (EZB) hat heute ihren Stresstest zur Cyberresilienz abgeschlossen, mit dem untersucht wurde, wie Banken auf einen schwerwiegenden, aber plausiblen Cybersicherheitsvorfall reagieren und sich von diesem erholen würden. Insgesamt hat der Stresstest gezeigt, dass die Banken über Reaktions- und Wiederherstellungsrahmen verfügen, in manchen Bereichen aber noch Verbesserungsbedarf besteht. Die Ergebnisse fließen in den aufsichtlichen Überprüfungs- und Bewertungsprozess 2024 (Supervisory Review and Evaluation Process – SREP) ein und haben den Banken geholfen, sich der Stärken und Schwächen ihrer Rahmen für die Cyberresilienz besser bewusst zu werden.

Die Untersuchung startete im Januar 2024 und basierte auf einem fiktiven Stresstestszenario, in dem alle präventiven Maßnahmen versagen und die Datenbanken der Kernsysteme der jeweiligen Bank stark von einem Cyberangriff betroffen sind. Bei dem Stresstest ging es daher vor allem darum, wie die Banken auf einen Cyberangriff reagieren und sich davon erholen würden, und nicht darum, wie sie ihn verhindern würden.

Eine der Aufsichtsprioritäten des SSM für die Jahre 2024-2026 der EZB besteht darin, Mängel in den Rahmen für die operationelle Resilienz der beaufsichtigten Banken aufzudecken und zu beheben, darunter auch solche, die sich aus Cyberrisiken ergeben. Grund hierfür ist die jüngste Zunahme von Cybervorfällen, die beaufsichtigte Banken der EZB gemeldet haben und zum Teil auf wachsende geopolitische Spannungen und Herausforderungen im Zusammenhang mit der Digitalisierung des Bankensektors zurückzuführen sind.

An dem Stresstest waren 109 direkt von der EZB beaufsichtigte Banken beteiligt. Alle Banken mussten einen Fragebogen ausfüllen und Unterlagen einreichen, die von der Aufsicht ausgewertet wurden. Gleichzeitig wurde eine Stichprobe von 28 Banken für umfangreichere Tests ausgewählt. Die Banken der Stichprobe mussten einen echten IT-Wiederherstellungstest durchführen und nachweisen, dass dieser erfolgreich war. Außerdem wurden sie vor Ort von Mitarbeitenden der Aufsicht besucht. Die Stichprobe deckte verschiedene Geschäftsmodelle und geografische Standorte ab. So sollte das Bankensystem des Euroraums insgesamt widergespiegelt und eine hinreichende Abstimmung auf andere Aufsichtsaktivitäten sichergestellt werden.

Um die Reaktion der Banken auf das Szenario zu testen, mussten diese zeigen, inwieweit sie in der Lage sind,

  • ihre Krisenreaktionspläne einschließlich interner Krisenmanagementverfahren und Geschäftsfortführungspläne zu aktivieren;
  • mit allen externen Interessengruppen wie Kunden, Dienstleistern und Strafverfolgungsbehörden zu kommunizieren;
  • eine Analyse durchzuführen, um zu ermitteln, welche Dienstleistungen wie betroffen sind;
  • Abhilfemaßnahmen umzusetzen einschließlich Workarounds, die der Bank helfen, ihren Geschäftsbetrieb während der für die vollständige Wiederherstellung der IT-Systeme benötigten Zeit weiterzuführen.

Um untersuchen zu können, ob die Banken in der Lage sind, sich von dem Szenario zu erholen, mussten diese zeigen, inwieweit sie in der Lage sind,

  • ihre Wiederherstellungspläne zu aktivieren, was auch die Wiederherstellung gesicherter Daten und die Abstimmung mit kritischen Drittanbietern, wie auf den Vorfall reagiert werden soll, beinhaltete;
  • sicherzustellen, dass die betroffenen Bereiche wiederhergestellt werden und funktionieren;
  • gewonnene Erkenntnisse umzusetzen, beispielsweise durch Überarbeitung ihrer Reaktions- und Wiederherstellungspläne.

Die EZB möchte die von ihr beaufsichtigten Banken weiterhin dabei unterstützen, ihre Rahmen für die Cyberresilienz zu stärken. Daher wird sie die Banken weiter dazu anhalten, konsequent auf die Erfüllung der aufsichtlichen Erwartungen hinzuarbeiten, indem sie unter anderem sicherstellen, dass sie über angemessene Geschäftsfortführungs-, Kommunikations- und Wiederherstellungspläne verfügen, die ein ausreichend breites Spektrum von Cyberrisikoszenarien berücksichtigen sollten. Banken sollten außerdem in der Lage sein, die Ziele zu erreichen, die sie sich selbst in Bezug auf die Wiederherstellung gesetzt haben. Sie sollten Abhängigkeiten von kritischen IKT-Drittanbietern richtig bewerten und die direkten und indirekten Verluste aus einem Cyberangriff adäquat schätzen können.

Die Stresstestergebnisse fließen in den SREP 2024 ein, bei dem die individuellen Risikoprofile der Banken bewertet werden. Bei dem Stresstest zur Cyberresilienz geht es nicht um das Kapital der Banken, und die Ergebnisse haben daher auch keine Auswirkungen auf die Säule-2-Empfehlung. Die Aufsicht hat jeder Bank eine individuelle Rückmeldung gegeben und wird diese mit der jeweiligen Bank entsprechend weiterverfolgen. In einigen Fällen haben die Banken bereits Verbesserungen vorgenommen oder sie beabsichtigen, die beim Stresstest festgestellten Mängel zu beheben.

Medienanfragen sind an Clara Martín Marqués zu richten (Tel. +49 69 1344 17919).

Anmerkung

KONTAKT

Europäische Zentralbank

Generaldirektion Kommunikation

Nachdruck nur mit Quellenangabe gestattet.

Ansprechpartner für Medienvertreter
Whistleblowing