·
·
·
RSS
Startseite
Erste Bilanz zu „schwerwiegenden IKT-Vorfällen“ im Finanzsektor
9.6.2026 – 2025 wurden in der EU 3.383 „größere“ IKT-Vorfälle registriert. Das berichten die drei EU-Finanzmarktaufsichtsbehörden Eba, Esma und Eiopa. Abseits von Ausreißern, hielten sich die Folgen in Summe in Grenzen. Die Behörden legen den Instituten jedoch nahe, in puncto Cybersicherheit die höchsten Standards einzuhalten. IKT-Risiken seien zunehmend grenzüberschreitend und untereinander verwoben.
- Symbolbild (Bild: Getty Images/Unsplash)
Mit 17. Jänner 2025 ist die EU-Verordnung über die digitale operationale Resilienz im Finanzsektor („Digital Operational Resilience Act“, kurz „Dora“) anwendbar geworden.
Ihr Grundgedanke ist, „ein hohes gemeinsames Niveau an digitaler operationaler Resilienz zu erreichen“, indem sie „einheitliche Anforderungen für die Sicherheit von Netzwerk- und Informationssystemen, die die Geschäftsprozesse von Finanzunternehmen unterstützen“, festlegt.
Das damit verbundene Meldesystem für schwerwiegende „IKT-bezogene Vorfälle“ soll eine schnellere und besser koordinierte Reaktion bei grenzüberschreitenden und miteinander vernetzten Vorfällen ermöglichen. Dies soll auch die Widerstandsfähigkeit des EU-Finanzsystems festigen.
Die Verordnung sieht weiters vor, dass die europäischen Aufsichtsbehörden jährlich in anonymisierter und aggregierter Form über schwerwiegende IKT-bezogene Vorfälle berichten.
| Quelle: EUR-Lex |
| […] ein von dem Finanzunternehmen nicht geplantes Ereignis bzw. eine entsprechende Reihe verbundener Ereignisse, das bzw. die die Sicherheit der Netzwerk- und Informationssysteme beeinträchtigt und nachteilige Auswirkungen auf die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Daten oder auf die vom Finanzunternehmen erbrachten Dienstleistungen hat; |
3.383 schwerwiegende Vorfälle
Am Mittwoch haben die drei EU-Finanzmarktaufsichtsbehörden – für Banken (Eba), Wertpapier-Markt (Esma) sowie Versicherung und betriebliche Pensionen (Eiopa) – den ersten Bericht dieser Art veröffentlicht.
Demnach wurden von 17. Jänner bis Ende 2025 insgesamt 3.383 schwerwiegende IKT-Vorfälle registriert. Dies entspreche 0,18 Vorfällen pro Institut, das der Dora unterliegt.
Davon habe rund ein Drittel (31 Prozent) grenzüberschreitende Auswirkungen gehabt. Dies unterstreiche die zunehmende Vernetzung durch geteilte Infrastrukturen und Dienste.
Auswirkungen alles in allem begrenzt
Andererseits seien die Auswirkungen auf Kunden und Transaktionen im Allgemeinen überwiegend begrenzt gewesen. In fast 60 Prozent der Fälle habe es keine Auswirkungen auf Kunden oder nur geringfügige, mit weniger als 1.000 Betroffenen, gegeben.
Einige wenige Vorfälle betrafen mehr als eine Million Kunden. Generell betreffen größere Vorfälle ganz überwiegend – mit rund 2.100 Fällen – den Kreditsektor, mit großem Abstand gefolgt vom Zahlungssektor mit über 500 Fällen. In der Versicherungsbranche waren es etwas über 200 Fälle.
Der Bericht geht davon aus, dass die Dominanz des Kredit- und Zahlungssektors in diesem Befund darauf zurückzuführen ist, dass es hier eine größere Kundenbasis gibt, die in hoher Frequenz von diesen Diensten Gebrauch macht.
Systemausfälle und externe Ereignisse
Systemausfälle und externe Ereignisse waren die Haupttreiber schwerwiegender IKT-Vorfälle. Für die Behörden unterstreicht dieser Umstand die Notwendigkeit
- eines robusten Drittanbieter-Risikomanagements,
- einer wirksamen Aufsicht über ausgelagerte Dienste sowie
- eine enge Abstimmung mit Dienstleistern während der Reaktion auf Vorfälle und deren Behebung.
Lediglich 10 Prozent der gemeldeten Vorfälle standen mit Cybersicherheit im Zusammenhang. Dennoch sei entscheidend, dass Finanzinstitute „die höchsten Cybersicherheitsstandards einhalten“, um mit dem potenziellen Einsatz hochleistungsfähiger KI-gestützter Werkzeuge Schritt halten zu können.
Den betroffenen Instituten haben die Vorfälle in der Regel offenbar nur in Grenzen Kosten verursacht. Fast 40 Prozent gaben an, es seien keine oder nur geringfügige Kosten von weniger als 1.000 Euro entstanden. Bei 15 Prozent fehlten diesbezügliche Angaben.
Erkennung, Reaktion, Schutz
Dass die Auswirkungen solcher Vorfälle insgesamt nur begrenzte Effekte zeitigten, könne verschiedene Ursachen haben, heißt es in dem Bericht.
So könnten eine rechtzeitige Erkennung der Vorfälle und eine relativ rasche Antwort darauf dazu beigetragen haben, die Folgen einzudämmen, bevor es zu weitreichenden Störungen kommt.
Zweitens könnten sich die vorhandenen Schutzvorrichtungen der Institute als wirksam erwiesen haben, Ansteckungseffekte selbst in einem Umfeld starker Vernetzung abzuschwächen.
Für die Eiopa verdeutlichen die Ergebnisse die „zunehmende systemische Dimension von IKT-Risiken“ sowie die Bedeutung von Widerstandsfähigkeit und Aufsicht für eine Stärkung des Finanzsektors dahingehend, künftige Vorfälle zu verhindern, abzufedern und sich davon zu erholen.
Links
- Joint Report on major ICT-related incidents in 2025 (Eiopa)
- Verordnung über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act, Dora) (EUR-Lex)
Artikel drucken
Kopierfreundliche Version
Leserbrief schreiben
Nutzungsrechte erhalten
Per E-Mail weiterleiten
Ihre Leserbriefe können für andere Leser eine wesentliche Ergänzung zu unserer Berichterstattung sein. Bitte schreiben Sie Ihre Kommentare unter den Artikel in das dafür vorgesehene Eingabefeld.
Die Redaktion freut sich auch über Hintergrund- und Insiderinformationen, wenn sie nicht zur Veröffentlichung unter dem Namen des Informanten bestimmt ist. Wir sichern unseren Lesern absolute Vertraulichkeit zu! Schreiben Sie bitte an redaktion@versicherungsjournal.at.
Allgemeine Pressemitteilungen erbitten wir an meldungen@versicherungsjournal.at.
Der VersicherungsJournal Newsletter informiert Sie von montags - freitags über alle wichtigen Themen der Branche.
Ihre Vorteile
- Alle Artikel stammen aus unserer unabhängigen Redaktion
- Die neuesten Stellenangebote
- Interessante Leserbriefe
