Contact
QR code for the current URL

Story Box-ID: 1269878

S&P Unternehmerforum GmbH Feringastr. 12 A 85774 Unterföhring bei München, Germany http://www.sp-unternehmerforum.de
Contact Ms Anna Tatar +49 89 45242970113
Company logo of S&P Unternehmerforum GmbH

Kritische IT-Prozesse im Finanzsektor

Zentrale Erkenntnisse aus der S+P Compliance Services Studie 2025

(PresseBox) (Unterföhring bei München, )
Die neue Studie von S+P Compliance Services und führenden Branchenspezialisten bestätigt: Für Banken und Finanzdienstleister stehen bestimmte IT-Prozesse besonders im Fokus der Cyber-Resilienz. Besonders relevant sind Identity & Access Management (IAM), Schwachstellen- und Patch-Management, digitale Schnittstellen sowie Cloud-Security und das Auslagerungsmanagement externer IT-Dienstleister.

Ergänzt werden diese Kernprozesse durch Security Incident and Event Management (SIEM) sowie ein schlüssiges Vulnerability Management – beides grundlegende Elemente eines modernen Resilienzkonzepts, das regulatorische Anforderungen und aktuelle Bedrohungslagen konsequent adressiert.

Diese zentralen Bereiche geben den Takt für Entscheider im Finanzsektor vor und stehen im Mittelpunkt aktueller Prüfungsfeststellungen und Handlungsempfehlungen aus der S+P Studie.

Doch warum sind genau diese Prozesse so entscheidend? Und welche Maßnahmen setzen Banken, Versicherungen und Wertpapierinstitute weltweit um, um ihre Resilienz zu stärken? In diesem Beitrag findest du die Antworten – praxisnah, international vergleichend und mit den Empfehlungen führender Aufsichtsbehörden wie BaFin, EBA, EZB, FCA, OCC und NIST.

Identity & Access Management (IAM)

IAM ist das Herzstück der IT-Sicherheit. Laut Lünendonk/KPMG stufen 88% der global befragten Finanzdienstleister diesen Bereich als kritisch ein. Kein Wunder: Unbefugter Zugriff ist einer der häufigsten Einfallstore für Cyberangriffe.
  • Cloud & On-Premises: Ob deine Systeme in der Cloud oder lokal laufen – ohne ein strukturiertes Rollen- und Berechtigungskonzept riskierst du Datenabflüsse, Sabotage oder Insider-Angriffe.
  • Zero Trust-Ansatz: Moderne IAM-Systeme setzen zunehmend auf Zero Trust: Jeder Zugriff muss einzeln geprüft und autorisiert werden – unabhängig davon, ob er intern oder extern erfolgt.
  • Regulatorische Perspektive: Die EBA Guidelines on ICT and Security Risk Management sowie die BAIT-Novelle betonen explizit die Notwendigkeit eines robusten IAM.
Best Practice: Multi-Faktor-Authentifizierung (MFA), Privileged Access Management (PAM) und kontinuierliche Überprüfung der Berechtigungen.

Schwachstellen- und Patch-Management

Schwachstellen sind das Einfallstor Nummer eins. Ob selbstentwickelte Software, externe API-Schnittstellen oder Third-Party-Tools – jedes ungepatchte System kann zum Risiko werden.
  • Regelmäßige Penetrationstests: Viele Finanzunternehmen führen bereits vierteljährliche Tests durch, die in die DORA-Vorgaben integriert sind.
  • Zeitnahe Updates: Studien zeigen, dass erfolgreiche Angriffe oft auf Schwachstellen basieren, für die längst ein Patch verfügbar gewesen wäre.
  • Automatisiertes Vulnerability Management: Systeme wie SIEM oder Security Orchestration Tools übernehmen heute zunehmend die automatische Erkennung und Priorisierung von Schwachstellen.
Praxisrelevanz: Für dich bedeutet das: Stelle sicher, dass deine Patch-Management-Prozesse nicht nur dokumentiert, sondern auch nachweislich gelebt werden.

Cloud-Security und Outsourcing

Immer mehr Banken setzen auf Cloud-Lösungen – von der Kundenplattform bis hin zum kompletten Core Banking. Doch 58% der Unternehmen sehen in der Nutzung externer Dienstleister erhöhte Risiken.
  • Shared Responsibility: Auch wenn der Cloud-Anbieter für die Infrastruktur sorgt, liegt die Verantwortung für die Daten- und Zugriffssicherheit weiterhin bei dir.
  • Regulatorische Anforderungen: Die BaFin verlangt detaillierte Auslagerungsregister und ein klares Third-Party-Risikomanagement. Die EBA Outsourcing Guidelines machen ähnliche Vorgaben.
  • UK-Praxis: Die FCA fordert von kritischen Dienstleistern Resilienzberichte, die den Behörden vorzulegen sind.
Empfehlung: Implementiere ein Vendor Risk Management Framework, das kontinuierliche Kontrollen und Notfallpläne für deine wichtigsten Dienstleister umfasst.

Security Incident and Event Management (SIEM)

Cyberangriffe lassen sich nicht immer verhindern – entscheidend ist die schnelle Erkennung und Reaktion.
  • 90% der Finanzinstitute investieren in SIEM-Lösungen, die sicherheitsrelevante Ereignisse in Echtzeit erkennen und dokumentieren.
  • Integration mit SOAR: Moderne SIEM-Systeme werden oft mit Security Orchestration, Automation and Response (SOAR) kombiniert, um Vorfälle automatisiert zu bearbeiten.
  • Internationale Standards: In den USA gilt das NIST Cybersecurity Framework als Grundlage für Incident Detection und Response.
Praxisnutzen: Mit einem SIEM schaffst du nicht nur Sicherheit, sondern erfüllst auch regulatorische Pflichten zur Meldung von IT-Störungen (z. B. DORA, MaRisk AT 7.3).

Business Continuity und Recovery

Wenn es hart auf hart kommt, zählt nur eines: Wie schnell bist du wieder handlungsfähig?
  • DORA verpflichtet Finanzunternehmen zu regelmäßigen Krisenübungen und definiert klare Recovery Time Objectives (RTO).
  • EZB-Stresstests simulieren großflächige Cyberangriffe auf Banken. Wer hier nicht bestehen kann, riskiert aufsichtsrechtliche Maßnahmen.
  • Deloitte-Studien zeigen: Unternehmen mit getesteten BCM-Plänen sind bis zu 50% schneller im Wiederanlauf.
Tipp für dich: Lege nicht nur Pläne in der Schublade ab, sondern teste sie realistisch – mit Tabletop Exercises, Red Team-Übungen und Recovery-Tests.

Weltweit wichtigste Maßnahmen zur Risikobegrenzung

1. Ganzheitliches IT-Risikomanagement
  • Verknüpfe alle IT-Risiken mit deinem Enterprise Risk Management.
  • Berücksichtige MaRisk, BAIT, DORA und die EBA Guidelines.
  • Internationale Best Practice: FFIEC Cybersecurity Assessment Tool (USA).
2. Regelmäßige Security Audits
  • Penetrationstests und Red Team Exercises sind Standard.
  • UK: CBEST-Tests unter realistischen Bedingungen.
  • DORA: Verpflichtende Threat-Led Penetration Testing (TLPT).
3. Automatisierung und Monitoring
  • Nutze integrierte Plattformen für Monitoring, Orchestrierung und Incident Response.
  • KI-gestützte Systeme helfen, Anomalien frühzeitig zu erkennen.
4. Steigerung des Budgets
  • 64,8% der Unternehmen erhöhen ihre IT-Security-Ausgaben.
  • Spitzeninstitute investieren bis zu 10% des Gesamtbudgets in Cyber- und IT-Risikomanagement.
5. Kultur & Top-Management Commitment
  • Setze auf ein klares Tone from the Top.
  • Rolle des Chief Resilience Officer gewinnt an Bedeutung.
  • Internationale Studien zeigen: Engagement auf Vorstandsebene halbiert die Reaktionszeit bei Krisen.
6. Notfall- und Krisenmanagement
  • Entwicklung von BCM-Plänen.
  • Durchführung von Krisenübungen.
  • Definition von Recovery-Zielen (RTO, RPO).
Internationale Perspektive: UK & USA

UK – FCA & NCSC
  • Verwundbarkeit: Besonders gefährdet sind Zahlungsverkehrs- und Handelsplattformen.
  • Pflichtmaßnahmen: Tabletop Exercises, Incident Reporting und Resilienzberichte.
  • CBEST-Tests: Realistische Penetrationstests sind verpflichtend für Banken und Versicherer.
  • Die FCA erwartet von Finanzunternehmen eine dokumentierte Cyber-Risiko-Strategie, regelmäßige Risikoanalysen und Penetrationstests sowie ein robustes Incident-Management mit direkter, zeitnaher Meldung schwerwiegender Ereignisse an die Aufsicht.
  • Operational Resilience ist Top-Priorität: Seit 31. März 2025 müssen Banken, Zahlungsdienstleister und Versicherungen nachweisen, dass sie schwerwiegende Störungen identifizieren, Impact-Toleranzen dokumentieren, regelmäßig testen und End-to-End-Abhängigkeiten wie Cloud-Provider und Outsourcing-Partner abbilden können.
  • Die FCA betont bei Cyber-Vorfällen die Bedeutung von Lessons Learned (z. B. CrowdStrike-Outage 2024) und fordert die Integration von Cyber-Risiko und IT-Resilienz als strategisches und direktes Vorstands-Thema, unterstützt durch das Cyber Governance Code of Practice
USA – Federal Reserve, OCC & NIST
  • Kritische Bereiche: IAM, Incident Response und Cloud Security.
  • Frameworks: NIST Cybersecurity Framework und FFIEC Tools sind Standard.
  • Innovation: KI-gestützte Threat Detection ist der effektivste Hebel, um Schäden zu minimieren.
  • Die CISA gibt für Finanzunternehmen verbindliche Leitlinien und Notfall-Direktiven heraus (z. B. Emergency Directive 25-03 zu Cisco Vulnerabilities), die eine umgehende Identifikation, Bewertung und Behebung von Sicherheitslücken in wichtigen Systemen verlangen.
  • Zu den Lessons Learned aus Incident-Response-Engagements gehören: sofortiges Patching, proaktives Bedrohungs-Monitoring, Asset-Inventory und die Dokumentation der eingesetzten Technologie sowie regelmäßige Tabletop-Exercises.
  • CISA arbeitet eng mit anderen US-Behörden (OCC, Federal Reserve, FFIEC) und internationalen Partnern zusammen, gibt strategische Ziele zur Resilienz und zur Qualität der Sicherheitsdaten vor und stellt umfangreiche Ressourcen für Cyber-Performance, Trainings und sektorübergreifendes Risk-Sharing bereit.
Fazit – Dein Fahrplan

Du siehst: Kritische IT-Prozesse sind kein Randthema, sondern der Kern der Finanz-Resilienz.
Wenn du dich heute auf die Bereiche IAM, Patch-Management, Cloud-Security, SIEM und BCM konzentrierst, erfüllst du nicht nur regulatorische Anforderungen, sondern sicherst auch die Zukunftsfähigkeit deines Unternehmens.

Deine To-Dos:
  • Überprüfe dein IAM-System – ist Zero Trust wirklich umgesetzt?
  • Setze ein automatisiertes Vulnerability Management auf.
  • Dokumentiere und kontrolliere deine Cloud-Dienstleister.
  • Investiere in SIEM + SOAR.
  • Teste deine Krisenpläne realistisch.
  • Verankere Cyber-Resilienz in deiner Unternehmenskultur.

Website Promotion

Website Promotion
The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.
Important note:

Systematic data storage as well as the use of even parts of this database are only permitted with the written consent of unn | UNITED NEWS NETWORK GmbH.

unn | UNITED NEWS NETWORK GmbH 2002–2025, All rights reserved

The publisher indicated in each case (see company info by clicking on image/title or company info in the right-hand column) is solely responsible for the stories above, the event or job offer shown and for the image and audio material displayed. As a rule, the publisher is also the author of the texts and the attached image, audio and information material. The use of information published here is generally free of charge for personal information and editorial processing. Please clarify any copyright issues with the stated publisher before further use. In case of publication, please send a specimen copy to service@pressebox.de.