© Lens/556518320-stock.adobe.com
6. Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen ↑
Die Unternehmen des Finanzsektors lagern immer mehr IT-Dienstleistungen an spezialisierte Anbieter aus. Vor allem Auslagerungen an Cloud-Anbieter haben hierbei stetig an Relevanz gewonnen. Auslagerungen bieten viele Vorteile: Auslagernde Unternehmen profitieren von niedrigeren Kosten und können sich besser auf ihr Kerngeschäft konzentrieren. Hinzu kommt: Dienstleister bieten aufgrund ihrer Spezialisierung viele Services effizienter und zum Teil auch sicherer an, als es den auslagernden Unternehmen möglich wäre.
Auslagerungen führen allerdings zu einer zunehmenden Verflechtung und damit einhergehenden Konzentrationsrisiken, die den Finanzsektor verwundbarer machen können. Das gilt insbesondere dann, wenn eine geringe Anzahl spezialisierter IT-Dienstleister ihr Angebot für eine Vielzahl von Unternehmen des Finanzsektors zur Verfügung stellt. Diese Problematik kann sich durch Weiterverlagerungen der Dienstleister auf eine Kette von weiteren Dienstleistern verschärfen.
Auswirkungen auf Vielzahl von Unternehmen
Infolge der Konzentration auf wenige Anbieter können bereits einzelne Störungen gravierende Auswirkungen auf den Finanzsektor haben. Besonders problematisch ist dies bei kritischen Prozessen, von denen die Funktionsfähigkeit der Unternehmen des Finanzsektors abhängt. Kommt es zu einer Störung bei einem Dienstleister, wirkt sich diese – unabhängig von ihrer Ursache – unter Umständen nennenswert auf eine Vielzahl beaufsichtigter Unternehmen aus.
Dies kann so weit gehen, dass die Unternehmen des Finanzsektors vorübergehend oder dauerhaft nicht mehr diese Dienstleistungen nutzen können. Ein kurzfristiger Ersatz des Dienstleisters ist häufig nicht möglich, insbesondere, weil hochspezialisierte IT-Dienstleister keine identischen Produkte anbieten. Selbst wenn ein Wechsel des Dienstleisters technisch möglich ist, nimmt er daher zumindest Zeit in Anspruch. Viele Unternehmen sind also faktisch an ihre spezialisierten IT-Dienstleister gebunden, insbesondere dann, wenn sie deren Software nutzen. Einmal entstandene Abhängigkeiten lassen sich daher nur schwer zurückdrehen (vgl. Risiken im Fokus 2024).
Zusätzlich können Konzentrationsrisiken durch Weiterverlagerungen der Dienstleister auf eine Kette von weiteren Dienstleistern entstehen (Subdelegation). Die daraus resultierenden Abhängigkeiten und Risiken kennen die auslagernden Unternehmen des Finanzsektors oft nicht. Sie können daher kaum gegensteuern.
Jede zweite Auslagerung ist nicht wiedereingliederbar
Diese Abhängigkeiten gehen auch aus der Auslagerungsdatenbank der BaFin hervor. Mehr als die Hälfte der anzeigepflichtigen Unternehmen gibt unter anderem an, ihre ausgelagerten IT-Dienstleistungen nicht wieder selbst erbringen zu können. Mehr als zwei Drittel der Unternehmen, die diese Angabe gemacht haben, gibt zudem an, die IT-Dienstleistung gar nicht oder nur schwer auf einen anderen IT-Dienstleister übertragen zu können.
Grundsätzlich greifen Finanzunternehmen beim Einsatz von IT-Dienstleistern auf verschiedene Services zurück. Am häufigsten handelt es sich dabei um Datenspeicherung, Anwendungsdienste und Dienstleistungen im Zusammenhang mit Softwareentwicklung (siehe Abbildung 11).
Abbildung 11: Kategorien der am häufigsten genutzten IT-Dienstleistungen
Quelle: BaFin-eigene Darstellung, Stand: 1. Dezember 2024
Störungen bei CrowdStrike zeigen Verwundbarkeiten auf
Welche Konsequenzen Abhängigkeiten von IT-Dienstleistern haben können, zeigte im Juli 2024 der Fall CrowdStrike: Ein fehlerhaftes Update eines IT-Sicherheits-Tools bei dem US-amerikanischen Hersteller für Informationssicherheit und Cybersicherheitstechnologie CrowdStrike führte zu einer weltweiten IT-Störung. Das Sicherheits-Tool war bei zahlreichen weiteren IT-Diensten im Einsatz, etwa bei Microsoft Windows, und führte dort zu Abstürzen.
Aufgrund der weltweiten Verbreitung des Tools betraf der Vorfall viele Nutzerinnen und Nutzer, Unternehmen und Systeme und führte zu teils gravierenden Einschränkungen im Geschäftsbetrieb. Auch kritische Infrastruktur wie Flughäfen, Krankenhäuser und Energiekonzerne waren betroffen, der deutsche Finanzsektor hingegen kaum.
Zwar normalisierte sich die Lage innerhalb weniger Tage, und der Vorfall stellt kein Risiko für den Finanzmarkt dar. Grundsätzlich können solche Vorfälle aber schwerwiegende Folgen haben. Transparenz über die Verflechtungen auf dem Finanzmarkt ist daher für die BaFin wichtig, um abschätzen zu können, welches Ausmaß ein Vorfall haben könnte.
Geopolitische Risiken verschärfen Probleme
Gerade bei IT-Auslagerungen wird der Finanzmarkt von wenigen Anbietern beherrscht, die teils im außereuropäischen Ausland sitzen. Konzentrieren marktbeherrschende Dienstleister ihre Aktivitäten auf bestimmte Sparten oder Regionen, entstehen zusätzliche Risiken. Dies kann zum Beispiel bei Sanktionen gegen einen Staat der Fall sein, bei protektionistischen Maßnahmen durch einen Staat oder bei politischen Unruhen in einer Region. Das beträfe alle Unternehmen, die dortige Dienstleistungen nutzen. Der ohnehin schwierige Wechsel zu einem Alternativanbieter wäre nicht möglich. Dies kann sich negativ auf den gesamten Finanzmarkt auswirken.
Das Thema Datensouveränität gewinnt zunehmend an Bedeutung. Große Cloud-Hyperscaler haben in den vergangenen Jahren damit begonnen, Finanzunternehmen mit der „Sovereign Cloud“ die Speicherung und Verarbeitung der Daten innerhalb bestimmter geografischer Grenzen anzubieten. Das Ziel: eine stärkere räumliche, systemseitige und personelle Trennung von Mutterkonzernen, die ihren Sitz in Drittstaaten haben. Einen gänzlichen Schutz vor geopolitischen Risiken bietet dieser Ansatz in den meisten Fällen jedoch nicht.
Überwachung systemrelevanter IT-Dienstleister auf nationaler Ebene
Für die Aufsicht ist ein Überblick über die Verflechtungen in der Auslagerungslandschaft des deutschen Finanzsektors wichtig, um die operationelle Resilienz digitaler Systeme des Finanzmarktes zu stärken. Deshalb holt die BaFin seit Ende 2022 von den Finanzunternehmen Informationen zu (wesentlichen) Auslagerungen ein – und zwar unabhängig von den ausgelagerten Prozessen oder Produkten. Seither haben der Aufsicht ca. 2.200 beaufsichtigte Unternehmen etwa 24.000 (wesentliche) Auslagerungen angezeigt. Das sind im Durchschnitt etwa elf wesentliche Auslagerungen pro Unternehmen. Durchschnittlich handelt es sich dabei in jedem vierten bis fünften Fall um eine IT-Auslagerung.
Abbildung 12: Anzahl der durchschnittlich an die BaFin gemeldeten Auslagerungen
Quelle: BaFin-eigene Darstellung, Stand: 1. Dezember 2024
Die Daten aus der Auslagerungsdatenbank verwendet die BaFin für sektorübergreifende Analysen – insbesondere, um Konzentrationen bei einzelnen Dienstleistern zu erkennen. Sie kann so unter anderem die Beziehungen zwischen den Finanzunternehmen und den Dienstleistern auf dem deutschen Finanzmarkt visualisieren. Dadurch werden Auffälligkeiten transparent. Sie kann aber auch einen einzelnen Dienstleister oder ein einzelnes Finanzunternehmen in den Fokus nehmen und dessen Auslagerungen analysieren.
Die BaFin analysiert die Auslagerungsverflechtungen unter bestimmten Risikogesichtspunkten. Dazu gehören zum Beispiel die Ersetzbarkeit des Auslagerungsunternehmens und deren Dauer, die Verarbeitung personenbezogener Daten und der Einsatz für zeitkritische Prozesse im Finanzunternehmen (siehe Abbildung 13). Übergeordnetes Ziel ist es, die operative Stabilität und Sicherheit der von ihr beaufsichtigten Unternehmen und insbesondere deren Technologieplattformen zu stärken – und damit auch den gesamten Finanzmarkt.
Die Grafik zeigt einen Netzwerkgraphen. Dieser bildet als Knoten bzw. Punkte die Aufsichtsobjekte und Dienstleister ab. Die Linien zwischen den Punkten repräsentieren die Geschäftsbeziehungen dieser Unternehmen untereinander.
Abbildung 13: Verflechtungsanalyse nach Risikogesichtspunkten
Auf Grundlage der Auslagerungsanzeigen hat die BaFin mit einem Risikomodell durchschnittliche Risikoklassen zu den Geschäftsbeziehungen ermittelt, die zur Kanteneinfärbung geführt haben: rot steht für höheres Risiko, grün steht für geringeres Risiko.
Quelle: BaFin-eigene Darstellung, Stand: 1. Dezember 2024
Aus der Abbildung 13 geht zum Beispiel hervor, dass die Genossenschaftsbanken und Sparkassen eng mit den Dienstleistern ihres jeweiligen Verbunds verknüpft sind. Kapitalverwaltungsgesellschaften hingegen sind untereinander stark verbunden und beauftragten vergleichsweise viele unterschiedliche Auslagerungsnehmer.
Die BaFin kann aber auch einen einzelnen Dienstleister oder ein einzelnes Finanzunternehmen in den Fokus nehmen und dessen Auslagerungen analysieren.
Abbildung 14: Auslagerungsbeziehungen einzelner Unternehmen des Finanzsektors
In dieser Grafik sind neben Aufsichtsobjekten und Dienstleistern auch Subdienstleister enthalten. Da die gemeldeten Daten keine Risikoeinschätzung der Geschäftsbeziehungen zwischen Dienstleistern und Subdienstleistern erlauben, sind die betroffenen Kanten hier grau gefärbt.
Quelle: BaFin-eigene Darstellung, Stand: 1. Dezember 2024
Gutes Risikomanagement zentral
Auch die Unternehmen des Finanzsektors nehmen die Konzentrationsrisiken mit ihrem Risikomanagement in den Blick (vgl. Risiken im Fokus 2024). Sie sind sich insbesondere der mit IT-Auslagerungen einhergehenden Risiken bewusst. Manche Unternehmen werden sensibler und holen ihre ausgelagerten Aktivitäten und Prozesse wieder ins Unternehmen zurück (Insourcing). Andere erwägen eine Multi-Vendor-Strategie.
Insgesamt nehmen jedoch die Auslagerungen weiter zu – vor allem auf IT-Mehrmandanten-Dienstleister. Angesichts der zahlreichen Vorteile insbesondere von IT-Auslagerungen ist dies nachvollziehbar. Allerdings steigen hierdurch auch die Risiken für den Finanzmarkt. Entscheidend ist, dass Finanzunternehmen sich durch ein gezieltes Risikomanagement absichern und Risiken weitestgehend minimieren.
Vor diesem Hintergrund verlangt der europäische Digital Operational Resilience Act (DORA) eine Einschätzung und Überwachung der Drittparteienrisiken, die aus der Nutzung von Informations- und Kommunikationstechnologie (IKT) entstehen – und zwar während des gesamten Lebenszyklus der Nutzung.
Bereits vor Vertragsabschluss sollen die Finanzunternehmen, die IT-Dienstleistungen von Dritten beziehen wollen, eine Risikobewertung vornehmen. Darin sollen sie zum Beispiel berücksichtigen, wie abhängig sie von dem jeweiligen IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen könnten. Um die IKT-Drittparteienrisiken strukturiert zu managen, müssen die Finanzunternehmen ihre IKT-Vertragsbeziehungen in ein Informationsregister eintragen.
Wie die BaFin vorgeht
- Die BaFin analysiert weiterhin, welche Aktivitäten und Prozesse die Unternehmen des Finanzsektors auf welche Dienstleister ausgelagert haben. Basis sind die sektorweiten Anzeigen von (wesentlichen) Auslagerungen, die seit Ende November 2022 über die elektronische Meldeplattform der BaFin eingehen, sowie Abfragen bei ausgewählten Unternehmen über ihre gesamten Auslagerungen. Die BaFin wird die Datenqualität in der Auslagerungsdatenbank und die Formulare weiter verbessen, mit denen Unternehmen der BaFin ihre Auslagerungen anzeigen.
- Zusätzlich wird die BaFin für ihre Analysen auch die Informationsregister der Finanzunternehmen über alle IKT-Vertragsbeziehungen nutzen. DORA verpflichtet die Unternehmen dazu, solche Register zu führen. Die Informationen beziehen alle IKT-Dienstleistungen ein – unabhängig davon, ob sie kritische oder wichtige Funktionen im Finanzunternehmen unterstützen. Ein Fokus der Informationsregister: Sie machen Verflechtungen und Konzentrationen bei IKT-Dienstleistungen über die gesamte Wertschöpfungskette transparent. Auf dieser Grundlage kann die BaFin zielgerichtet Überwachungsmaßnahmen unmittelbar gegenüber den Dienstleistern anordnen.
- Auf Grundlage ihre Verflechtungsanalysen wird die BaFin 2025 mehr Überwachungsmaßnahmen bei sektorweit tätigen Mehrmandanten-Dienstleistern durchführen. Diese Überwachungsmaßnahmen reichen von Fragebögen zu speziellen Themen über Überwachungsgespräche bis hin zu mehrwöchigen Prüfungen des Dienstleisters.
- Die BaFin nutzt die Auslagerungsdatenbank weiterhin als Frühwarnsystem: Kommt es zu schwerwiegenden Vorfällen bei (Mehrmandanten-) Dienstleistern, warnt die BaFin die Unternehmen des Finanzsektors, die laut der Auslagerungsdatenbank diesen Dienstleister nutzen.
- Die BaFin überwacht schon seit einigen Jahren große, für Unternehmen des Finanzmarkts tätige IT-Mehrmandanten-Dienstleister. Überwachungsmaßnahmen bei sektorweit tätigen IT-Mehrmandanten-Dienstleistern setzt sie anhand eines gestaffelten Überwachungskonzepts fort.
- Auf europäischer Ebene arbeitet die BaFin in Gemeinsamen Untersuchungsteams an der Überwachung kritischer IKT-Drittdienstleister unter DORA mit, die für den deutschen Finanzmarkt relevant sind. Diese Teams werden von den drei europäischen Aufsichtsbehörden EBA, ESMA oder EIOPA geleitet – je nachdem, für welche Branche der IKT-Drittdienstleister schwerpunktmäßig tätig ist. Im Fokus der Überwachung stehen unter anderem die Cloud-Hyperscaler.
- Darüber hinaus wird die BaFin weiter regelmäßig mit Cloud-Dienstleistern über deren technische Entwicklungen und die damit verbundenen aufsichtlichen Erwartungen sprechen.
- Die BaFin beobachtet weiterhin aktuelle politische Entwicklungen und analysiert ihre Auslagerungsdaten, um einzuschätzen, inwiefern sich geopolitische Konflikte auf Auslagerungen der Finanzunternehmen an Dienstleister mit Sitz in Drittstaaten auswirken könnten.
Weitere Artikel aus den Risiken im Fokus
Startseite Risiken im Fokus 2025
Hauptrisiken im Fokus der BaFin
1. Risiken aus Korrekturen an den Immobilienmärkten
2. Risiken aus signifikanten Korrekturen an den internationalen Finanzmärkten
3. Risiken aus dem Ausfall von Unternehmenskrediten
4. Risiken aus Cyber-Vorfällen mit gravierenden Auswirkungen
5. Risiken aus unzureichender Geldwäscheprävention
Bedeutende Trends
1. Digitalisierung
2. Nachhaltigkeit
3. Geopolitische Umbrüche
