• 1000

Hintergrund des Stresstests

Es ist ein Novum, das angesichts zunehmender Gefahren aber absehbar war: Die Europäische Zentralbank (EZB) stellt 2024 zum ersten Mal die Widerstandsfähigkeit der von ihr beaufsichtigten Institute in Europa auf den Prüfstand. Angesichts der Bedrohungslage ist der erste Cyber-Stresstest anberaumt. Der offizielle Name:  „Cyber Resilience Stress Test 2024“. Dieser wird durchgeführt, weil  die Bedeutung von Cyber- und IKT-Risiken (Informations- und Kommunikationstechnologie) für das operationelle Risikomanagement und die Fähigkeit von Banken, Dienstleistungen für ihre Kund:innen zu erbringen, stetig wächst.

Der Cyber-Stresstest wird die operationale Widerstandsfähigkeit der Kernbankensysteme gegenüber schwerwiegenden, aber plausiblen Cyber-Sicherheitsereignissen bewerten. Zu diesem Zweck fordert der Stressttest, dass die Banken die Auswirkungen und Folgen eines solchen Szenarios auf ihre Organisation identifizieren und darüber an die Aufsicht berichten. Außerdem berichten die Banken über bestehende Reaktions- und Wiederherstellungsmaßnahmen, die im Ernstfall aktiviert würden, um einen kritischen Cyber-Sicherheitsvorfall zu überstehen und die Leistungserbringung für Kunden und Partner wiederherzustellen.

Eine zentrale Herausforderung, die der Stresstest an die Banken stellt, liegt in der übergreifenden Zusammenarbeit, die zur Bewältigung des Szenarios notwendig ist, aber auch die Ermittlung der wirtschaftlichen Auswirkungen konfrontiert die Banken mit zusätzlichen Schwierigkeiten.

Die Ergebnisse des Stresstests werden in den aufsichtlichen Überprüfungsprozess SREP 2024 einfließen, vor allem in Form von Bewertungen der operationellen Risiken und qualitativen Anforderungen.

Peter Hertlein

Peter Hertlein

Director, Financial Services, IT Compliance & Cyber Security

KPMG AG Wirtschaftsprüfungsgesellschaft
+49 911 5973-3068 Peter Hertlein Telefonnummer
Angebotsanfrage (RfP) einreichen

Methodik, Elemente und Ablauf

Die genaue Methodik des Tests gibt die EZB erst am 22. November 2023 bekannt. Eckpunkte stehen allerdings schon fest. So werden die knapp 110 betroffenen Banken einen umfangreichen Fragebogen zu den potenziellen Auswirkungen eines hypothetischen Cyber-Angriffsszenarios beantworten müssen. Ihre Angaben müssen die Geldhäuser durch entsprechende Evidenzen belegen.

In Bezug auf das Szenario ist bereits bekannt, dass es sich um einen Vorfall in Zusammenhang mit dem Kernbanksystem und der zugehörigen Datenbanken handeln wird. Das Kernbanksystem ermöglicht es den Core Business Lines und den kritischen Funktionen der Banken, Ergebnisse zu generieren. Es  bildet die primäre Quelle für Finanzinformationen. Kommen mehrere Systeme in Frage, wird das System mit der höchsten Geschäftskritikalität ausgewählt.

Der Test ist zweistufig aufgebaut und unterscheidet einen vereinfachten und einen erweiterten Ansatz: Im vereinfachten Ansatz müssen alle Institute innerhalb von zwei Monaten den Fragebogen ausfüllen, entsprechende Nachweise erbringen und eine Cyber-Vorfallsmeldung an die EZB geben. 

Vereinfachter Ansatz

Der Fragebogen dient als Hauptkommunikationskanal mit der Aufsicht und umfasst insgesamt 478 Fragen, die sich in offene und geschlossene Fragen aus sechs Themengebieten gliedern:

  • Allgemeine Daten
  • Impact-Analyse
  • Response
  • Recovery
  • Wirtschaftliche Auswirkungen
  • Evidenzen

Die Beantwortung des Fragebogens muss durch entsprechende Nachweise belegt werden. Diese bestehen aus Richtlinien und Verfahren des Instituts zur Regelung  relevanter Teile der Reaktions- und Wiederherstellungsprozesse. 

Die Institute werden aufgefordert, über das STAR-Portal den ersten Bericht innerhalb von zwei Stunden nach der Entdeckung des Vorfalls gemäß dem vorgestellten Szenario, den Zwischenbericht innerhalb von zehn Arbeitstagen nach dem ersten Bericht und den Abschlussbericht innerhalb von 20 Arbeitstagen nach dem Zwischenbericht zu übermitteln.

Der erweiterte Ansatz betrifft 20 ausgewählte Kreditinstitute und sieht vor, dass die Banken auf das entworfene Szenario zugeschnittene Wiederherstellungstests tatsächlich durchführen. Die Durchführung ist  durch detaillierte Protokolle der Aktivitäten und Ergebnisse nachzuweisen. Die vorgelegten Nachweise werden anschließend von der Aufsicht in einer Vor-Ort-Validierung ausgewertet.

Erweiterter Ansatz

Der erweiterte Ansatz greift das Szenario auf und inkludiert zusätzlich einen IT-Wiederherstellungstest in den geprüften Banken. Dieser verläuft dabei entlang der internen Verfahren der Institute in Ergänzung zum Fragebogen und wird von der Internen Revision oder der 2nd Line of Defense (IT- oder Cyber-Risk) überwacht.

Die Evidenzen des Wiederherstellungstests belegen eine ausreichende Abdeckung der kritischen Systeme und Infrastrukturen und bestätigen, dass die Banken im Ernstfall über die notwendigen Fähigkeiten zum Wiederaufbau verfügen.

Die Vor-Ort-Validierung umfasst die Prüfung des ausgefüllten Fragebogens und des IT-Recovery-Tests durch die Aufsicht.

Der vereinfachte Ansatz des Stresstests beginnt am 2. Januar 2024, woraufhin den Banken zwei Monate zum Beantworten des Fragebogens und zum Einreichen der notwendigen Evidenzen eingeräumt werden. Im Anschluss an die Beendigung des vereinfachten Ansatzes am 29. Februar beginnen der erweiterte Ansatz und die Untersuchung vor Ort. Endzeitpunkt ist der 30. April. Der Stresstest schließt mit einem Beitrag zum SREP und einer Lessons Learned am 30. Juni.

Handlungsfelder und Fahrplan für Vorbereitung und Durchführung

Fahrplan des EZB Cyber Stress Tests

Der Schlüssel zur erfolgreichen Bewältigung des Stresstests liegt in einer adäquaten Vorbereitung. Dabei sollten folgende Handlungsfelder berücksichtigt werden:

  • Zur Vorbereitung sollte möglichst frühzeitig ein Projekt mit den relevanten Vertreter:innen der 1st und 2nd Line aufgesetzt werden
  • Identifizierung zentraler Ansprechpartner:innen und Fachexpert:innen in den Bereichen IT-SCM, BCM, ISMS, IT, Risikomanagement, Finanzcontrolling und weiteren der 1st, 2ndund 3rd. LoD (Lines of Defense) und Aufsetzen von Sensibilisierungsmaßnahmen
  • Im Falle einer Auslagerung sollte eine frühzeitige Kontaktaufnahme und Koordination mit internen und externen (IT-)Dienstleistern erfolgen
  • Status-quo-Analyse der erforderlichen Nachweise im Hinblick auf eine durchgängige Abdeckung möglicher Cyber-Szenarien
  • Identifizierung plausibler und schwerwiegender Testszenarien für kritische Kernbankensysteme
  • Durchführung von Dry Runs, z. B. Tests des Cyber-Meldeverfahrens

So unterstützt Sie KPMG

KPMG verfügt über umfassende fachliche Expertise bezüglich aller relevanten Disziplinen rund um den Cyber-Stresstest. Unsere breitgefächerte Projekterfahrung aus vorangegangenen Stresstests hat uns zudem wertvolle Einblicke und Erkenntnisse verschafft, die uns helfen, Herausforderungen und Anforderungen unserer Kund:innen besser zu verstehen. Mit unserem Vorgehensmodell für den Cyber-Stresstest setzen wir diese Erkenntnisse gezielt ein und entwickeln maßgeschneiderte Lösungen zur Vorbereitung auf den Stresstest:

Analyse der Anforderungen anhand der von der EZB bereitgestellten Informationen (Methodik und Fragebogen) und Gliederung der Anforderungen in Themenfelder. Darauf aufbauend Identifikation von involvierten Funktionen und Bereichen (z.B. IT-SCM, BCM, ISMS, Risikomanagement, Finanzcontrolling) und deren Zuordnung zu Stakeholdern sowie initiale Sensibilisierung.

Erstellen einer Detailbeschreibung des wahrscheinlichen Notfallszenarios basierend auf den vorhandenen Notfallszenarien in der Bank. Der Ansatz für die Berechnung des Economic Impact sowie die Herleitung des Kernbanksystems werden entwickelt und abgestimmt. 

Basierend auf dem Fragebogen werden gemeinsam mit den Stakeholdern in Workshops die möglichen Antworten verprobt. Die Ergebnisse werden als Gap-Analyse entsprechend ihrer Kritikalität in einer Heat Map analysiert und priorisiert. Die Handlungsfelder werden dem Management vorgestellt, um eine Freigabe der Priorisierung zu erhalten und eine gezielte Behandlung der Gaps zur ermöglichen.

Basierend auf den identifizierten und priorisierten Gaps werden Maßnahmen zur kurzfristigen Behandlung umgesetzt und die Stakeholder und Bereiche unterstützt.

Um einen reibungslosen Ablauf des Stresstests zu ermöglichen, unterstützt KPMG die involvierten Parteien bereits im Voraus durch das Schaffen von Awareness bei den involvierten Abteilungen und der Planung des zeitlichen Testablaufs in Form eines Drehbuchs.

Die von KPMG angebotenen Unterstützungsleistungen umfassen neben der Vorbereitung auf den Test zudem die Unterstützung bei Aspekten hinsichtlich der Stresstest-Durchführung:

Wir unterstützen mit Dokumentenanalysen bei der Auswahl geeigneter Evidenzen und beraten zu den Erwartungen der Aufsicht, um einen geeigneten Detailgrad bei den eingereichten Ergebnissen zu erzielen.

In Zusammenarbeit mit Ihren Mitarbeiter:innen leiten wir zudem Workshops an, um die benötigten Kompetenzträger:innen der strategischen und operativen Ebenen zu versammeln und die Inhalte des Fragebogens zielgruppengerecht zu bearbeiten.

In Abhängigkeit vom Szenario der Aufsicht bringen wir zusätzlich unsere Erfahrungen und unserer tiefgehendes Verständnis bezüglich involvierter Systeme und Bereiche ein und unterstützen Sie bei der Identifikation von Maßnahmen.

Bereits während des Tests stellen wir Benchmark-Informationen bereit. Das ermöglicht den Vergleich mit anderen teilnehmenden Banken, national und international, und lässt somit Rückschlüsse hinsichtlich eventueller Auffälligkeiten zu. 

Weitere interessante Inhalte für Sie

EZB-Stresstest zur Cyber-Resilienz: Wie die Vorbereitung gelingt

Im Webcast erläutern wir Methodik, Ablauf und zu berücksichtigende Handlungsfelder. Wir geben Ihnen einen Fahrplan empfohlener Aktivitäten an die Hand und zeigen Ihnen, wie wir Sie bei deren Umsetzung unterstützen können.

Aufgeklappter Laptop
Abonnieren Sie den KPMG-Newsletter „IT Compliance Monitor für die FS-Praxis"

Bestens informiert über Entwicklungen im IT-Compliance- und Security-Umfeld von Banken

Daten, DORA, Dry Run: Fragen und Antworten zum Cyber-Stresstest der EZB

Viele Details sind noch offen – hier kommen die Einschätzungen unserer Expert:innen.

KPMG Webcast – "EZB-Stresstest zur Cyber-Resilienz: Wie die Vorbereitung gelingt"

Unterlagen des Webcasts Live vom 29. September 2023