Ziel des Artikels
Auf den Seiten des Genossenschaftsverbandes Bayern bin ich auf einen Artikel über die geplante EU-Verordnung „Digital Operational Resilience Act“, kurz DORA, gestoßen.
Bei DORA handelt es sich um eine geplante Verordnung der EU-Kommission, welche die Cyber-Resilienz im Finanzwesen stärken soll. Der Genossenschaftsverband kritisiert, dass DORA den Verbundstrukturen der Genossenschaften nicht ausreichend Rechnung trägt. Gerade für „kleinere und mittlere Banken wird es dadurch schwerer, Synergien in der IT-Entwicklung zu nutzen und ihre IT-Sicherheit zu stärken“[1]. Weiterhin bemängelt der Genossenschaftsverband Bayern, dass die Verordnung deutlich über die geplante Harmonisierung aller diesbezüglichen Regelungen und Gesetze hinaus geht und unverhältnismäßig sei. Die Banken unterliegen bereits sehr strengen aufsichtsrechtlichen Regelungen, z. B. den EBA-Leitlinien oder den BaFin-Standards[2].
Dieser Artikel möchte anhand des Outsourcings die Kritikpunkte beleuchten.
Was ist DORA?
Die Europäische Kommission beschreibt in ihrem Presse-Artikel „Digitalisierung des Finanzsektors: Modern und kostengünstig bezahlen“ die Ziele von DORA:
„Mit dem heute vorgeschlagenen Rechtsakt zur digitalen Betriebsstabilität (Digital Operational Resilience Act – DORA) soll sichergestellt werden, dass alle Teilnehmer am Finanzsystem die erforderlichen Sicherheitsvorkehrungen getroffen haben, um Cyberangriffe und andere Risiken abzumildern. Durch diese Rechtsvorschrift werden alle Unternehmen verpflichtet, dafür Sorge zu tragen, dass sie jeder Art von Störungen und Bedrohungen standhalten können, die mit Informations- und Kommunikationstechnologien (ITK) zu tun haben.“[3].
DORA und Outsourcing
Anhand des Outsourcings möchte ich untersuchen, ob DORA gerade für kleinere und mittlere Banken verhältnismäßig ist, die genossenschaftlich organisiert sind. Das gleiche kann auch für die Sparkassen-Finanzgruppe gelten. Zwar besitzen beide Institutsgruppen durchaus Unterschiede, sind sich jedoch in der Abgrenzung von Groß- und Direktbanken sehr ähnlich.
Das „Chapter V“ der Vorordnung beschäftigt sich mit dem „Managing of ICT Third Party-Risk“ und in der „Section 1“ werden die „Key principles for a sound management of ICT Third Party Risk“ beschrieben[4].
Der Artikel 25 beinhaltet Regelungen, wie Finanzinstitute die Risiken von ausgelagerten IT Services managen sollen. Mit Verweis auf Artikel 5 Absatz 9 (g) wird auf die Verfolgung einer „Multi-Vendor-Strategie“ Bezug genommen: „(…) defining a holistic ICT multi-vendor strategy at entity level showing key dependencies on ICT third-party service providers and explaining the rationale behind the procurement mix of third-party service providers“[5]. Hierzu später mehr.
Absatz 4 beschreibt die Verpflichtung, dass Finanzunternehmen ein Register führen müssen, dass alle vertraglichen Vereinbarungen über die Nutzung von ITK-Dienstleistern enthalten soll. Finanzinstitute müssen jährlich an die zuständigen Behörden berichten und auf Antrag das komplette „Register of Information“ zur Verfügung stellen.
Die Folgeabsätze beinhalten Regelungen zur Risikoermittlung, Vertragsbeziehung mit Drittanbietern, Durchführung von Audits bei ITK-Dienstleistern und Erstellung von Exit-Strategien, falls ein ITK-Dienstleister aus welchen Gründen auch immer seinen Verpflichtungen nicht mehr nachkommen kann.
Im Artikel 26 ab Seite 54 beinhaltet Vorschriften, die Finanzinstitute bei Abschluss von Verträgen mit ITK-Dienstleistern beachten sollen. Die Finanzunternehmen sollen die Auswirkungen berücksichtigen, die eine Vertragsbeziehung mit einem ITK-Dienstleister zur Folge haben kann.
Die Finanzinstitute müssen Vorteile und Nachteile abwägen, ob sie sich vertraglich an einen Dienstleister binden, der nur sehr schwer ausgetauscht werden kann oder ob sie eine Multi-Vertrags-Strategie mit demselben oder weiteren Drittanbietern verfolgen[6].
Anhand der einzelnen oben beschriebenen Beispiele wird deutlich, dass die Finanzinstitute mit dieser Verordnung Verpflichtungen zu einer umfangreichen Risikoanalyse bezüglich des Outsourcings erfüllen sowie umfangreichen Dokumentations- und Offenlegungsverpflichtungen nachkommen müssen. Darüber hinaus soll eine Strategie, die auf eine Austauschbarkeit von ITK-Dienstleistern und Verfolgung multivertraglicher Beziehungen zu ITK-Dienstleistern abzielt, die Sicherstellung der Services, die Informationssicherheit und die Business Continuity erhöhen. Der Genossenschaftsverband Bayern beschreibt in seinem Positionspapier, dass DORA von den Banken eine „Mehranbieter-Strategie“ verlangt, welche die Institute verpflichtet, „Abhängigkeiten bei der IT-Auslagerung an eine oder wenige Dienstleister offenzulegen und die Zusammenstellung von Dienstleistern zu erläutern“[7].
Die genossenschaftliche Idee
Im Gabler Wirtschaftslexikon können wir nachlesen, dass die Genossenschaft „eine Gesellschaft von nicht geschlossener Mitgliederzahl mit dem Zweck, den Erwerb oder die Wirtschaft ihrer Mitglieder oder deren soziale oder kulturelle Belange mittels gemeinschaftlichen Geschäftsbetriebs zu fördern“ ist[8].
Wichtige Vertreter waren Friedrich Wilhelm Raiffeisen (1818-1888), der den ersten wohltätigen Hilfsverein gegründet hat mit dem Ziel, die notleidende ländliche Bevölkerung zu unterstützen[9].
Zur gleichen Zeit kam Hermann Schulze-Delitzsch mit einer Hilfsaktion den in Not geratenen Handwerken zu Hilfe[10].
Im Jahr 1893 entwickelten die Gründer des Genossenschaftsverbandes Bayern die Idee und das Modell von Raiffeisen weiter. In der Chronik des Genossenschaftsverbandes Bayern ist nachzulesen, dass sie einen regional eigenständigen bayerischen Verband gründeten, der zugunsten der Ortsgenossenschaften übergeordnete Funktionen übernehmen sollte[11]. Weiter ist nachzulesen, dass damit die “(…) Landwirte, Kaufleute und Geistlichen nach dem genossenschaftlich verankerten Prinzip der Subsidiarität (…) handelten. Das bedeutet: „Was die Genossenschaft in ihrer dezentralen Struktur nicht leisten kann, übernimmt die nächsthöhere Organisationsebene.“.
Ergebnis und Ausblick
Betrachtet man die Anforderungen von DORA, besonders unter dem Blickwinkel der „Mehranbieter-Strategie“ und dem Genossenschaftlichen Prinzip wird deutlich, dass DORA der Idee und den Zielen der genossenschaftlichen Finanzgruppe nicht gerecht wird. Die genossenschaftliche Finanzgruppe besitzt eine seit langem bewährte Arbeitsteilung über die Fiducia & GAD IT AG. Diese wird durch DORA infrage gestellt und ist für den Verbund auch nicht zielführend. Sie wird vom Genossenschaftsverband Bayern in seinem Positionspapier zu DORA deshalb zurecht kritisiert[12].
Meines Erachtens dürfte diese Problematik genauso auf die Sparkassenorganisation zutreffen, die eine ähnliche Struktur aufweist und deren hauptsächlicher IT-Dienstleister mit der Finanz Informatik GmbH & Co. KG gestellt wird.
Der Genossenschaftsverband Bayern weist meines Erachtens in seinen Kernforderungen zurecht darauf hin, dass IT-Auslagerungen von Banken im Verbund erhalten bleiben sollen und sich die Verordnung auf die Aufsicht von EU-weit tätigen Cloud-Anbieter konzentrieren soll. Eine pauschale Verschärfung für alle Finanzinstitute ist nicht zielführend[13].
Um jedoch trotzdem auf die Richtlinie möglichst gut vorbereitet zu sein, bietet es sich an, bei den Instituten neben den MaRisk Normen wie die ISO 27001 in angemessener Art und Weise einzuführen, welche bereits wesentliche und wichtige Aspekte der Informationssicherheit beinhaltet.
Quellen
[3] WEBER, „Digitalisierung des Finanzsektors“, https://ec.europa.eu/germany/news/20200924-digitalisierung-finanzsektor_de.
[4] „COM-2020-595-F1-EN-MAIN-PART-1.pdf“, Seite 51ff, https://ec.europa.eu/transparency/regdoc/rep/1/2020/EN/COM-2020-595-F1-EN-MAIN-PART-1.PDF.
[5] „COM-2020-595-F1-EN-MAIN-PART-1.pdf“, Seite 35, https://ec.europa.eu/transparency/regdoc/rep/1/2020/EN/COM-2020-595-F1-EN-MAIN-PART-1.PDF.
[6] „COM-2020-595-F1-EN-MAIN-PART-1.pdf“, Seite 54, https://ec.europa.eu/transparency/regdoc/rep/1/2020/EN/COM-2020-595-F1-EN-MAIN-PART-1.PDF.
[8] „Gabler Wirtschaftslexikon“, https://wirtschaftslexikon.gabler.de/definition/genossenschaft-35232
[9] „Gabler Wirtschaftslexikon“, https://wirtschaftslexikon.gabler.de/definition/raiffeisen-45369
[10] „Gabler Wirtschaftslexikon“, https://wirtschaftslexikon.gabler.de/definition/schulze-delitzsch-42834
[11] „GVB Chronik Online 125“, Seite 8, https://www.gv-bayern.de/gvb-chronik/chronik/html5.html#/8.