Das will die Europäische Zentralbank (EZB) mit ihrem ersten Single Supervisory Mechanism (SSM) Cyber Stress Test herausfinden. „Und dafür ist es höchste Zeit“, sagen Elvira Niedermeier und Peter Hertlein von KPMG AG Wirtschaftsprüfungsgesellschaft.
Ein nur in groben Zügen absehbares Szenario, ein enger Zeitplan, ein Fragebogen mit 478 Fragen und bislang nur wenig Erfahrung bei der Durchführung: Die Aufsicht stellt die Banken und auch sich selbst vor eine Mammutaufgabe. „Mit ihrem geplanten Cyber Stresstest will die EZB das europäische Bankensystem an seine Cyber-Belastungsgrenzen bringen“, sagt Elvira Niedermeier, Senior Managerin bei KPMG im Bereich Financial Services. Und tatsächlich: Die Anforderungen, die mit dem Stresstest einhergehen, reichen noch über die bisherigen Vorgaben der Bankenaufsicht an die Cybersicherheit von Finanzinstituten hinaus. Die Banken bereiten sich deshalb schon jetzt auf den Test vor – und das mit noch einigen unbekannten Sachverhalten, wie das tatsächliche Testszenario. Wie geht das?
„Eines ist klar: Eine lückenlose Vorbereitung über alle Ebenen hinweg ist Grundvoraussetzung, um für den Stresstest gewappnet zu sein“, weiß Peter Hertlein, Director im Bereich Financial Services und Experte für IT-Compliance und Cyber-Security bei KPMG. Zwei Monate haben die Institute Zeit, um den Test durchzuführen. Für Banken bedeutet das nicht nur, frühzeitig einen Zeitplan zu entwickeln und Ressourcen zu stellen. Es geht auch darum, wichtige interne und externe Ansprechpartner zu identifizieren und zum richtigen Zeitpunkt in den Prozess zu integrieren. Dabei sind neben dem Business Continuity Management (BCM) und dem IT Service Continuity Management (IT-SCM) auch die Fachbereiche, das Risikomanagement, die Informationssicherheit und ggf. das Auslagerungsmanagement betroffen, „Es braucht eine funktionsübergreifende Zusammenarbeit zwischen den verschiedenen ‚Lines of Defense‘, aber auch zwischen Finanzinstituten und IT-Dienstleistern im Falle einer Auslagerung“, so Hertlein.