Die Europäische Zentralbank (EZB) hat die Cyber-Resilienztests abgeschlossen, die die Fähigkeit von 109 Banken untersuchten, auf ein schwerwiegendes und potenzielles, mit Cyber-Sicherheit verbundenes Ereignis zu reagieren und sich davon zu erholen, berichtete die Kroatische Nationalbank (HNB).
Die Stresstests begannen im Januar 2024 und beinhalteten ein hypothetisches Szenario, in dem alle präventiven Maßnahmen versagten und ein Cyberangriff die Datenbanken der Kernsysteme aller Banken erheblich beeinträchtigte. Somit bewerteten die Tests nicht die Fähigkeit der Banken, einen Cyberangriff zu verhindern, sondern vielmehr ihre Fähigkeit, auf einen Cyberangriff zu reagieren und sich davon zu erholen, betonte die HNB.
Die Identifizierung und Behebung von Mängeln in den operativen Resilienzrahmen der beaufsichtigten Banken, einschließlich derjenigen, die aus Cyberrisiken resultieren, ist eine der Aufsichtsprioritäten des einheitlichen Aufsichtsmechanismus der EZB für den Zeitraum von 2024 bis 2026. Dies ist auf den jüngsten starken Anstieg der Anzahl von Cybervorfällen zurückzuführen, die von beaufsichtigten Banken an die EZB gemeldet wurden, was teilweise das Ergebnis steigender geopolitischer Spannungen und Herausforderungen bei der Digitalisierung des Bankensektors ist, stellte die Zentralbank fest.
Die Stresstests umfassten 109 Banken, die direkt von der EZB beaufsichtigt werden. Alle Banken mussten einen Fragebogen ausfüllen und Dokumentationen zur Analyse an die Aufsichtsbehörden einreichen. Umfangreichere Tests wurden an einer Stichprobe von 28 Banken durchgeführt, die einen echten IT-Systemwiederherstellungstest durchführen und dessen erfolgreichen Ausgang nachweisen mussten. Ihre Tests umfassten auch die Überprüfung durch die Aufsichtsbehörden in den Räumlichkeiten der Banken. Die Stichprobe umfasste verschiedene Geschäftsmodelle und unterschiedliche geografische Gebiete, um das breitere Bankensystem der Eurozone abzudecken und eine angemessene Koordination mit anderen Aufsichtstätigkeiten sicherzustellen.
Insbesondere mussten die Banken im Rahmen der Bewertung der Reaktionsfähigkeiten auf ein Cyberangriffsszenario nachweisen, dass sie in der Lage waren: Krisenreaktionspläne zu aktivieren, einschließlich interner Krisenmanagementverfahren und Notfallplänen; mit allen externen Interessengruppen zu kommunizieren, wie z.B. Kunden, Dienstleistern und Strafverfolgungsbehörden; Analysen durchzuführen, um zu bestimmen, welche Dienstleistungen betroffen wären und in welcher Weise; Maßnahmen zur Minderung der Folgen zu ergreifen, einschließlich von Übergangslösungen, die ihre Abläufe bis zur vollständigen Wiederherstellung der IT-Systeme erleichtern würden.
Im Rahmen der Bewertung der Wiederherstellungsfähigkeiten aus dem Szenario mussten die Banken nachweisen, dass sie in der Lage waren: Wiederherstellungspläne zu aktivieren, einschließlich der Wiederherstellung von Daten aus Backups und der Abstimmung der Methoden zur Reaktion auf Vorfälle mit wichtigen Drittanbieterdiensten; die Wiederherstellung und Funktionsfähigkeit der betroffenen Bereiche sicherzustellen; erworbene Erfahrungen anzuwenden, wie z.B. die Überprüfung von Reaktions- und Wiederherstellungsplänen.
Wie in der Ankündigung angegeben, zeigten die Stresstests, dass die Banken Reaktions- und Wiederherstellungsrahmen etabliert haben, es jedoch Bereiche gibt, in denen Verbesserungen erforderlich sind. Die Ergebnisse der Tests trugen dazu bei, das Bewusstsein der Banken für die Stärken und Schwächen ihrer Cyber-Resilienzrahmen zu erhöhen und werden im Aufsichtsprüfungs- und Bewertungsprozess im Jahr 2024 berücksichtigt.
