Cyber-Stresstests für Banken: Zwei Ansätze im Fokus

Angesichts zunehmender Cyber-Vorfälle analysiert die BIZ die Ansätze von Aufsichtsbehörden für Cyber-Stresstests bei Banken. Zwei Hauptmethoden – firmen- oder systemfokussiert – haben sich etabliert.

Vulnerabilitäten aufdecken, Resilienz stärken

Die zunehmende Häufigkeit, Komplexität und potenzielle Auswirkung von Cyber-Vorfällen hat Aufsichtsbehörden dazu veranlasst, Cyber-Stresstests durchzuführen.

Diese Tests sollen die Widerstandsfähigkeit von Banken und des gesamten Sektors gegenüber operativen Störungen, wie Cyberangriffen, verbessern.

Sie bieten sowohl den Behörden als auch den Finanzinstituten wertvolle Vorteile, indem sie Schwachstellen identifizieren, Reaktions- und Wiederherstellungsmechanismen stärken und in einigen Fällen sogar die Auswirkungen solcher Störungen auf die Finanzstabilität aufzeigen.

Aus jüngsten Übungen gehen zwei unterschiedliche Ansätze hervor: firmen- oder systemfokussierte Cyber-Stresstests.

Die Wahl des Ansatzes ist entscheidend und muss die institutionellen Gegebenheiten sowie die Ziele des Stresstests widerspiegeln, um eine konsistente Durchführung zu gewährleisten.

Kontinuierliche Verbesserungen und die Offenlegung methodischer Aspekte können das Bewusstsein schärfen und Best Practices etablieren.

Die relative Neuheit dieser Tests bedeutet jedoch, dass die Erfahrungen noch begrenzt sind und die Offenlegung aufgrund der Vertraulichkeit der Ergebnisse stark eingeschränkt ist.

Operative Fähigkeit statt Bilanzzahlen

Cyber-Stresstests unterscheiden sich grundlegend von traditionellen Solvenz- oder Liquiditätsstresstests.

Ihr Fokus liegt auf der operativen Fähigkeit von Finanzinstituten und des gesamten Systems, auf einen Cyber-Vorfall zu reagieren und sich davon zu erholen.

Im Gegensatz zu finanziellen Stresstests, die Verluste quantifizieren, geht der Cyber-Stresstest davon aus, dass präventive Maßnahmen versagt haben.

Er bewertet die Incident Response und Recovery.

Aufgrund seines qualitativen Charakters und des Fehlens eines einzelnen quantitativen Indikators wird er oft als 'Szenario-basiertes Testen' bezeichnet.

Diese Übungen sind keine 'Bestanden/Nicht bestanden'-Tests, sondern dienen als wichtige Lerngelegenheiten.

Sie helfen, Schwachstellen in den Reaktionsstrategien zu identifizieren und die Eignung der Maßnahmen zu reflektieren.

Die gewonnenen Erkenntnisse sind auch für andere Schocks der operativen Resilienz relevant.

Lernchance statt Prüfungsdruck

Die relative Neuheit von Cyber-Stresstests und die begrenzte Offenlegung ihrer Ergebnisse unterstreichen die Notwendigkeit einer raschen Weiterentwicklung.

Obwohl sie keine Pass/Fail-Übungen sind, bieten sie unschätzbare Lernmöglichkeiten zur Stärkung der operativen Resilienz.

Eine verstärkte Standardisierung und Transparenz der Methodik sind entscheidend, um diese wichtigen Instrumente effektiver zu machen und ihre Akzeptanz im Finanzsektor zu erhöhen.