Noch heuer will die FMA testen, wie sicher die IT-Systeme bei Österreichs Banken sind.
Wien. Das Problem der Cyberkriminalität wird mit der zunehmenden Digitalisierung immer gravierender. Schätzungen sprechen von jährlich 400 bis 500 Milliarden US-Dollar an weltweiten Schäden durch schlagend gewordene IT-Risiken. Die österreichische Kriminalitätsstatistik weist bereits gut 10.000 angezeigte Fälle von Cyberkriminalität aus. Als schwerwiegend bedroht gilt vor allem auch die Finanzbranche. Angesichts des enormen Schadenspotenzials nehmen Regulierung und Aufsicht IT- und Cyberrisiken nun mehr und mehr ins Visier. So auch in Österreich, wo die Finanzmarktaufsicht (FMA) gerade dabei ist, ihren Aktionsradius zu erweitern.
Noch heuer - gegen Ende des Jahres - will die Behörde zusammen mit anderen staatlichen Stellen und mehreren Banken einen Crash-Test in Sachen "IT Security" durchführen. "Es geht um Erkenntnisgewinn" - und darum, ob für die IT-Systeme der heimischen Finanzindustrie Handlungsbedarf bestehe, erklärten die FMA-Chefs Helmut Ettl und Klaus Kumpfmüller am Mittwoch vor Journalisten.
Leitfäden für IT-Sicherheit
In Österreich sei es die erste Sicherheitsübung dieser Art, wie es hieß. Für den Test werden gerade "Krisenszenarien entwickelt". Ettl sprach von einem "Planspiel". In dessen Rahmen sollen Hackerangriffe simuliert werden, die dann allfällige Sicherheitslücken in den IT-Systemen von Finanzinstituten offenlegen.
"Österreich ist, Gott sei Dank, nicht im Zentrum von Cyberattacken größeren Ausmaßes", betonte Ettl mit Blick auf den heimischen Banksektor. Die Probe aufs Exempel wollen die Aufseher jetzt dennoch machen. "Wir wollen feststellen, wie sensibel die Architektur in Österreich ist", sagte Ettl. Konkret soll mit dem Test erhoben werden, wie die Branche auf Hackerangriffe vorbereitet ist, ob die Sicherheitssysteme ausreichen, wo mögliche Schwachstellen sind und wo dann nachzubessern ist.
Kumpfmüller rechnet mit ungefähr zehn Banken, die sich an der geplanten Großübung beteiligen. Ihre Teilnahme erfolgt - anders als bei den regulatorischen Kapital-Stresstests - auf freiwilliger Basis. Bei den Banken gebe es jedenfalls eine hohe Bereitschaft mitzutun.
Unabhängig davon ist die FMA aktuell damit beschäftigt, IT-Sicherheitsleitfäden für die heimische Finanzbranche zu erstellen. Diese sollen mit den Instituten in den kommenden Monaten besprochen werden. Laut Ettl hat die FMA mittlerweile ein eigenes IT-Kompetenzzentrum, das aus zwölf Mitarbeitern besteht (zuletzt hatte sie insgesamt 380 Beschäftigte).
Indes bescheinigt die Finanzmarktaufsicht den Banken in Österreich, heute - knapp zehn Jahre nach der für die Finanzwelt so folgenschweren Lehman-Pleite - stabiler und schockresistenter aufgestellt zu sein als damals. Seit der Finanz- und Bankenkrise (2008) hätten sie ihre Kernkapitalquote auf 15,1 Prozent mehr als verdoppelt. Ebenfalls ein Pluspunkt: Nur noch 4,3 Prozent der Kredite sind notleidend, am Höhepunkt (2012) waren es 8,7 Prozent. Trotzdem pocht die FMA darauf, die Problemkredite weiter zurückzufahren.
Aufsicht über 892 Firmen
2017 hat die FMA 892 Unternehmen (Banken, Versicherer, Pensionskassen und Wertpapierdienstleister) beaufsichtigt, die zusammen Vermögenswerte von 1,335 Billionen Euro verwalten. Daneben hat sie auch den Handel in börsennotierten Wertpapieren beaufsichtigt.