In Deutschland sieht die Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin) sicherheitsrelevante IT-Vorfälle im Finanzsektor, insbesondere bei Zahlungsdienstleistern, als "überwiegend hausgemacht". Aber auch Cyber-Angriffe können gravierende Auswirkungen haben. Konzentrationen bei der Auslagerung von IT-Dienstleistungen verstärken dieses Risiko.
2023 wurden der Bafin rund 235 Zahlungsvorfälle gemeldet - binnen Jahresfrist ein Anstieg um 17,5 Prozent. Dieser Wert liegt jedoch unter dem Höchstwert aus dem Jahr 2021. Bei rund 5,1 Prozent der Vorfälle handelt es sich um Sicherheitsvorfälle (DDoS-Attacken, Phishing), welche wie in den vorherigen Jahren nur einen geringen Teil der Meldungen ausmachen.
Mit 94,9 Prozent handelte es sich bei einem Grossteil der Meldungen um Betriebsvorfälle. Solche Vorfälle sind auf interne, operationelle Fehler zurückzuführen - vor allem Prozess- und Systemfehler, die Ursache für rund 78 Prozent der Vorfälle sind. "Für eine hohe operationelle Resilienz ist nicht nur ein starker Schutz gegenüber externen Angriffen sehr wichtig. Unternehmen müssen auch ihre eigenen Systeme und Prozesse im Griff haben", so die Bafin.
Die Relevanz von Auslagerungsunternehmen für die IT-Resilienz des Finanzsektors wird laut der Bonner Behörde auch mit Blick auf die gemeldeten Zahlungsvorfälle deutlich. So lag die Ursache für einen gemeldeten Zahlungsvorfall im Jahr 2023 in rund 40 Prozent der Fälle nicht beim Finanzinstitut selber, sondern bei einem seiner Dienstleister.
Die Mehrheit der Vorfälle beeinflusst die Verfügbarkeit zahlungsbezogener Dienste, wie das Online- oder Mobile-Banking, oder verzögert das Transferieren von Beträgen. Seltener betroffen sind die anderen drei Schutzziele. Dies dürfte auch daran liegen, dass das Meldewesen nur auf Zahlungsvorfälle ausgerichtet ist, für die die Verfügbarkeit eine wesentliche Messgröße ist.
