Digitale Technologien bilden seit Jahrzehnten das Rückgrat des Finanzsektors. Dass die entsprechenden Systeme dieses Rückgrats gegen Bedrohungen von außerhalb, aber auch innerhalb der eigenen Organisation geschützt werden müssen, ist eine Binsenweisheit. Umso schockierender wirkt die Entwicklung der Bedrohungen für jene Systeme, wenn man sie in konkrete Zahlen fasst: Im Jahr 2022 lag die wöchentliche Anzahl an Cyberattacken in der Finanzbranche bei durchschnittlich 1.131 Angriffen – wohlgemerkt für jede einzelne Organisation. Diese Anzahl erscheint für sich bereits exorbitant hoch. Noch alarmierender ist allerdings der 52-prozentige Anstieg gegenüber dem Vorjahr.

Die gestiegenen Risiken in der Informations- und Kommunikationstechnologie (IKT) sind hinreichend bekannt. Auf europäischer Ebene fehlten bis vor Kurzem allerdings sowohl für Finanzunternehmen als auch für IKT-Drittdienstleiter einheitliche Regelungen zur Stabilisierung der digitalen, operativen Resilienz. Mit Einführung des Digital Operational Resilience Act, kurz DORA, soll sich dies ändern. In diesem Teil der zweiteiligen Serie wird zunächst beleuchtet, was DORA ist und welche Ziele die Richtlinie verfolgt. Der zweite Teil widmet sich den konkreten praktischen Auswirkungen für Finanzunternehmen und erläutert, wie Finaplus der Richtlinie im Rahmen des Wealth-as-a-Service-Ansatzes begegnet – auch im Kontext der ISO 27001-Zertifizierung.

Ein wichtiges Ziel: Einheitliche Cybersicherheitsstandards für den Finanzmarkt

Regulatorik kann und muss oft Verbote beinhalten. Je nach Schwere der gesellschaftlichen Auswirkungen können diese Verbote ein enges Korsett sein und von betroffenen Wirtschaftsakteuren als Hindernis gesehen werden. Dies ist vor allem der Fall, wenn beispielsweise lediglich ein Teilmarkt reguliert wird und Akteuren außerhalb dieses Teilmarkts so ein Wettbewerbsvorteil zu entstehen scheint. Die Ziele von DORA lesen sich allerdings deutlich anders und lassen erahnen, dass sich jener regulatorische Ansatz als Chance und weniger als Bürde verstehen lässt:

• Stärkung der Wettbewerbsfähigkeit und Innovationskraft: Durch die Schaffung eines sicheren digitalen Umfelds sollen Finanzunternehmen ermutigt werden, neue Technologien zu erforschen und zu implementieren.
• Vereinheitlichung von Standards: Ein einheitlicher Rahmen für Cybersicherheit und IKT-Risikomanagement soll die Zusammenarbeit und den Wettbewerb im Binnenmarkt fördern.
• Regulierung von Cybersicherheit: Eine sektorweite Regulierung soll ein hohes Maß an Sicherheit in allen Finanzinstitutionen sicherstellen.
• Digitale Betriebsstabilität: Im Falle eines IKT-bedingten Vorfalls soll der Geschäftsbetrieb schnell und effizient wiederhergestellt werden können.

Der Begriff des Finanzmarkts ist dabei sehr weit gefasst, denn grundsätzlich gilt DORA, bis auf wenige Ausnahmen, für alle regulierten Finanzunternehmen in der EU – IKT-Drittdienstleister inbegriffen. Vergleicht man den Kreis der betroffenen Unternehmen mit anderen Richtlinien, beispielsweise den beiden Leitlinien der European Banking Authority (EBA) für das Management von IKT- und Sicherheitsrisiken oder für Auslagerungen, ist dieser deutlich größer. So gelten die Anforderungen nicht nur für Kreditinstitute, Versicherungen und Wertpapierunternehmen, sondern für alle Unternehmen mit Finanzbezug wie Zahlungsinstitute, Kapitalverwaltungsgesellschaften, Anbieter von Kryptodienstleistungen, Ratingagenturen und die angesprochenen IKT-Drittdienstleister. Einzelne Ausnahmen, wie beispielsweise im Bereich der Förderinstitute, können national definiert werden.

90 % und steigend: Die Frist rückt näher

Der erste Entwurf von DORA wurde bereits im September 2020 veröffentlicht. Der zeitgleich publizierte Zeitplan sollte es den zur Umsetzung verpflichteten Unternehmen ermöglichen, sich schrittweise auf die kommenden Anforderungen vorzubereiten und gleichzeitig den laufenden Betrieb aufrechtzuerhalten.

Dennoch stehen zahlreiche Finanzunternehmen aktuell erst am Anfang der Umsetzung, was für diese ein nicht zu unterschätzendes Problem darstellt: Bereits ab 17. Januar 2025 findet die Verordnung und die Regulatory und Implementing Technical Standards (RTS/ITS) vollumfänglich Anwendung. Weshalb tut sich die Branche mit der Umsetzung so schwer?

Neuland für IKT-Drittdienstleister

Wie bereits angesprochen, gilt DORA explizit auch für IKT-Drittdienstleister. In der Vergangenheit galt dies nicht für viele Verordnungen. Die letzten großen für das Wealth Management relevanten Regulierungen wie MiFID II oder die Offenlegungsverordnung betrafen primär Finanzdienstleister. Selbstverständlich waren auch einige IKT-Dienstleister von deren Auswirkungen betroffen, allerdings nur indirekt durch die Bereitstellung der Softwareunterstützung für die von diesen Verordnungen betroffenen Geschäftsprozesse. Vor allem nicht-kritische IKT-Dienstleister, obgleich sie nicht direkt von der Aufsicht überwacht werden, stehen damit vor umfangreichen, die gesamte Organisation betreffende Anforderungen, ohne entsprechende Erfahrung mit der Umsetzung solcher vorweisen zu können.

Darüber hinaus ist KI im Zusammenhang mit den Anforderungen, die DORA mitbringt, ein zweischneidiges Schwert. Auch bei Finaplus befinden sich KI-Lösungen in der Entwicklung, die Unterstützung bei der Implementierung regulatorischer Anforderungen wie DORA leisten. Allerdings birgt KI auch neue Möglichkeiten, Sicherheitslücken auszunutzen und ist damit für Cyberkriminelle ein wichtiges Werkzeug. Dieser Aspekt, der vor allem mit der Verbreitung von ChatGPT Ende 2022 – also mitten im DORA-Umsetzungsprozess – an Relevanz gewann, muss in diesem ebenfalls berücksichtigt werden und erhöht damit die Komplexität deutlich.

Zieht man an dieser Stelle ein Zwischenfazit, überwiegt der Eindruck, DORA würde – trotz der Wichtigkeit seiner Ziele – ein schlecht zu rechtfertigendes Maß an Komplexität in Finanzunternehmen und deren IKT-Drittdienstleister tragen. Ein Blick auf die Details verrät allerdings, wo der Fokus von DORA liegt und hilft, einen grundlegenden Rahmen zur Identifizierung überarbeitungsbedürftiger Systeme und Prozesse abzustecken.

DORA im Detail

Die am 27. Dezember 2022 im Amtsblatt der EU veröffentlichte Verordnung „Digital Operational Resilience for the Financial Sector and Amending Regulations“ (EU-Verordnung 2022/2554) liest sich zunächst sperrig und wenig konkret: Es soll ein detaillierter, umfassender und einheitlicher Aufsichtsrahmen mit dem Ziel der Verbesserung der digitalen, operativen Widerstandsfähigkeit von EU-Finanzunternehmen, einschließlich IKT-Drittdienstleistern, geschaffen werden. Dieser Rahmen soll Unternehmen zu einem optimierten Management von IKT-Risiken befähigen, um so die Anfälligkeit für IKT-Störungen und Cyberbedrohungen entlang der gesamten Wertschöpfungskette zu mindern. Die Bewältigung von IKT-Risiken inklusive IKT-Drittparteienrisiken soll dabei nicht nur durch quantitative Maßnahmen wie Kapitalunterlegungen für operative Risiken erfolgen, sondern explizit durch gezielte qualitative Maßnahmen unterstützt werden.

Darüber hinaus wird mit DORA erstmalig ein Rechtsrahmen für die direkte Überwachung von kritischen IKT-Drittdienstleistern (insbesondere großen Anbietern von Cloud-Computing-Diensten) geschaffen. Als EU-Verordnung und damit verbindlicher, unmittelbar wirkender Rechtsakt ist DORA direkt, ohne weitere Umsetzung nationaler Rechtsvorschriften, am 16. Januar 2023 in Kraft getreten. Ab diesem Zeitpunkt hatten Finanzunternehmen 24 Monate Zeit, um alle aufsichtlichen Anforderungen umzusetzen. Ergänzend wurden weitere Konkretisierungen in Form von technischen Regulierungsstandards (RTS/ITS) durch die European Supervisory Authorities (ESAs) veröffentlicht.

In Summe ergeben sich vor allem fünf Bereiche, die zur Identifikation potenzieller Ansatzpunkte dienen können:

• IKT-Risikomanagement
• Management des IKT-Drittparteienrisikos
• Meldung IKT-bezogener Vorfälle
• Testen der digitalen, operativen Resilienz
• Informationsaustausch zwischen Finanzunternehmen

IKT-Risikomanagement: Eine deutliche Ausweitung

Entsprechend der Logik vieler Verordnungen mit Sicherheitsrelevanz fordert DORA von Finanzunternehmen die Einrichtung einer unabhängigen Kontrollfunktion für das IKT-Risikomanagement. Diese Funktion soll sich auf die eingesetzten Technologien und die datenbezogenen Sicherheitsziele konzentrieren. Zu den Kernanforderungen gehören:

• Technologische Resilienz: Die Verwendung von zuverlässigen und ausreichend dimensionierten IKT-Systemen, Protokollen und Tools muss sichergestellt werden.
• Awareness und Weiterbildung: Es sollen Schulungsprogramme zur Sensibilisierung für IKT-Sicherheit entwickelt werden, die für alle Mitarbeitenden inklusive der Geschäftsleitung verpflichtend sind.
• Kommunikationsstrategien: Für das Auftreten eines IKT-bezogenen Vorfalls müssen Pläne für die interne und externe Kommunikation entwickelt werden.

Management des IKT-Drittparteienrisikos: Ein neuer Schwerpunkt

Das Management des IKT-Drittparteienrisikos ist ein zentraler Aspekt von DORA. Es umfasst die Überwachung und Bewertung von Risiken, die durch die Nutzung von IKT-Dienstleistungen Dritter entstehen. Unternehmen müssen folgende Aspekte berücksichtigen:

• Risikoanalysen durchführen: Vor Vertragsabschluss und während der gesamten Vertragslaufzeit sind Risikoanalysen durchzuführen, um jederzeit einen möglichst aktuellen Überblick über potenziell zu hohe bzw. gestiegene Risiken zur Verfügung zu haben.
• Due-Diligence-Prüfungen vornehmen: Um die Eignung und Zuverlässigkeit von Dienstleistern zu bewerten, muss eine auf verschiedenen Kriterien beruhende Due-Diligence-Prüfung vorgenommen werden. Neben organisatorischen Aspekten fließen auch wirtschaftliche Kriterien mit ein, da auch diese ein Indikator für die Eignung eines Dienstleisters sein können.
• Ausstiegsstrategien entwickeln: Für den Fall, dass die Zusammenarbeit mit einem IKT-Drittdienstleister beendet werden muss, sind tragfähige Exit-Strategien zu entwickeln. Neben dem Ausstieg des alten Dienstleisters müssen diese auch die Übergabe an einen neuen Dienstleister, die Abschaltung von Diensten oder auch deren potenzielles Insourcing einschließen.

Meldung IKT-bezogener Vorfälle: Ein standardisierter Prozess

DORA standardisiert die Meldung von IKT-bezogenen Vorfällen. Finanzunternehmen müssen Vorfälle klassifizieren und schwere Vorfälle an die zuständige Aufsichtsbehörde melden. Dies trägt dazu bei, dass die Behörden und der Finanzsektor als Ganzes aus Vorfällen lernen und ihre Abwehrmaßnahmen verbessern können. Letztlich wird hierdurch auch die Weiterentwicklung der bestehenden regulatorischen Anforderungen gefördert.

Testen der digitalen, operativen Resilienz: Ein Schlüsselelement von DORA

Alle Finanzunternehmen sind verpflichtet, ihre IKT-Systeme regelmäßig zu testen. Dies umfasst sowohl Basistests als auch fortgeschrittene Tests wie Threat-Led Penetration Testing (TLPT) für systemrelevante Unternehmen. Diese Tests sind entscheidend, um Schwachstellen zu identifizieren und zu beheben.

Informationsaustausch zwischen Finanzunternehmen: Gemeinsam stärker

DORA fördert den freiwilligen Austausch von Informationen über Cyberbedrohungen zwischen Finanzunternehmen. Dies soll die operative Resilienz des Sektors stärken und ein Bewusstsein für aktuelle Bedrohungen schaffen.

DORA legt fest, was eigentlich Standard sein sollte

Im Grunde bedingt schon die Wichtigkeit von Finanzunternehmen für das Funktionieren des wirtschaftlichen Zusammenlebens eine erhöhte Resilienz gegenüber Bedrohungen – auch solcher, die aus IKT-bezogenen Schwachstellen herrühren. DORA schafft demnach keine neuen Anforderungen, sondern standardisiert nur solche, deren Erfüllung im Rahmen der Geschäftstätigkeit in einer so relevanten Branche ohnehin zu empfehlen ist. Was Unternehmen konkret für die Umsetzung tun müssen und wie Finaplus DORA umsetzt, wird in Teil 2 näher erläutert.

Mit PSplus und FinaSoft haben sich im April 2023 zwei der etabliertesten Anbieter für Wealth-Management-Software zusammengetan. Dieser Schritt erscheint logisch, arbeiten doch beide Unternehmen schon seit Jahren eng zusammen und ergänzen sich im kompetitiven Markt der Software für die Vermögensverwaltung optimal. Dass dieser Schritt als Gelegenheit genutzt wurde, zum noch schnelleren Ausbau der eigenen Marktstellung den Schulterschluss mit einem strategischen Investor zu suchen, ist ebenfalls wenig überraschend. Was bedeutet das nun aber – ganz konkret – für Finaplus-Kunden?

Gute Nachricht für Family Offices, Banken, Vermögensverwalter und Stiftungen

Die Branche sieht sich einer immer komplexeren Landschaft an regulatorischen Anforderungen gegenüber. Zusätzlich werden nicht nur die Vermögensstrukturen der Endkunden komplexer, sondern auch die Fülle an Investitionsalternativen immer größer. Die Folge: Es entstehen immer mehr Insellösungen, die ein konkretes Problem sehr gut lösen, aber einen zusätzlichen Schnittstellenbedarf auslösen. Zudem erhöht sich mit einer steigenden Zahl genutzter Anbieter auch der administrative Aufwand sowohl, was die Nutzung des Produkts angeht, als auch durch die Pflege und operative Durchführung der Geschäftsbeziehung. Die Konsequenz ist der Wunsch nach einem ganzheitlichen Ökosystem, das Reibungsverluste durch die Minimierung dieser Problemfaktoren verringert. Die Finaplus-Plattform setzt genau an dieser Stelle an. Die jahrelange Weiterentwicklung der Finaplus-Plattform – immer in Zusammenarbeit mit unseren Kunden – hat zu einer so umfangreichen Basisfunktionalität geführt, dass für die meisten Anwendungsfälle bereits die passende Lösung bereitsteht. Die darüber hinaus angebotene Modulvielfalt ermöglicht zudem eine echte native Einbindung weiterer Funktionalitäten, durch die die Nutzererfahrung – unabhängig vom konkret genutzten Funktionsumfang – völlig reibungslos bleibt. Natürlich lassen sich nicht alle Nutzungsszenarien zu 100 % antizipieren und eine neue Systemlandschaft wird selten von Null auf implementiert, wodurch sich zwangsläufig Schnittstellenbedarf zu externen Systemen und Diensten ergibt. Auch hier erweist sich sowohl der hohe Reifegrad der Finaplus-Plattform als auch unser reichhaltiger Erfahrungsschatz als großer Vorteil: Durch die kontinuierliche Ergänzung neuer und Weiterentwicklung bestehender Schnittstellen zu einer Vielzahl externer Dienste kann in nahezu allen Use-Cases die Notwendigkeit des Absprungs zu Diensten von Drittanbietern vermieden werden. Selbstverständlich ändern sich die Nutzungsbedarfe allerdings im Laufe der Zeit und die eingerichtete Lösung wird an der ein oder anderen Stelle vielleicht zu groß oder zu klein. Auch diesem Umstand trägt die Finaplus-Plattform Rechnung.

Wealth-as-a-Service als neuer Standard

Die bisher am Markt für Wealth-Management-Software unerreichte Lösungsbreite stellt immer nur eine Option zur Nutzung, aber nie einen Zwang dar. Die Einstiegsbarrieren in die Finaplus-Welt sind damit denkbar niedrig, gleichzeitig gestaltet sich auch die Erweiterung um zusätzliche Funktionalitäten und Anbindungen an Drittsystem sehr einfach. Diese Herangehensweise ergibt sich aus einer denkbar einfachen Logik: Genau wie der einzelne Kunde jeweils bestimmt, was der Finanzdienstleister leisten muss, bestimmt der Finanzdienstleister jeweils, was die Software leisten muss. Eine Anforderung zeigt sich hier bei allen Nutzern gleichermaßen:

Das Kerngeschäft soll durch Software unterstützt, nicht gehemmt werden. Selbstverständlich muss Wealth-Management-Software allen relevanten regulatorischen Anforderungen genügen und die Vermögensstrukturen aller Kunden abbilden können. Allerdings muss auch die Nutzbarkeit, neudeutsch Usability, gegeben sein. Dabei geht es um mehr als nur optisch ansprechende Oberflächen. Software muss Arbeitsabläufe effizienter machen und ihren Nutzern als Werkzeug zur Verfügung stehen und keine Hürde sein. Dieser konsequente Fokus darauf, das Kerngeschäft der Nutzer effektiver, effizienter und angenehmer zu gestalten ist unsere ureigene Definition von Wealth-as-a-Service. Dieser Ansatz geht somit deutlich weiter als klassische Software-as-a-Service (kurz: SaaS): Es geht nicht nur darum, Software zur Verfügung zu stellen, bei denen sich der Nutzer keine Gedanken um die technischen Aspekte wie Wartung oder Infrastruktur machen muss. Es geht darum, die Kernfunktionalität Wealth Management nach diesem Grundsatz zur Verfügung zu stellen. Diese nahtlose, fast beiläufige Nutzererfahrung entsteht durch das Zusammenspiel von Funktionalität, UI-/UX-Design und reibungsloser technischer Umsetzung. Während der Vermögensverwalter beispielsweise einen Rebalancing-Vorschlag erarbeitet und dafür seine eigene Portfolioansicht in der gerade benötigten Detailtiefe nutzt, sichtet der Kunde sein Gesamtportfolio in der nativen App. Dabei wird er daran erinnert, dass die Frist zur Bestätigung der Kenntnisnahme eine Pflichtdokuments ausläuft. Seine Frage zu einem eigenen Optimierungsvorschlag hinterlegt er einfach als Notiz - direkt für den Vermögensverwalter sichtbar. All das geschieht auf beiden Seiten immer mit der Gewissheit, dass alle relevanten regulatorischen Vorgaben eingehalten werden.

Mobile-too statt mobile-first

Im Retail-Banking geht der Trend – das machen vor allem Neobroker und Direktbanken vor – deutlich in Richtung mobile-first. Teilweise ist der Vorsprung in der Usability der mobilen gegenüber den Desktoplösungen so groß, dass fast von mobile-only gesprochen werden kann: Nutzer sollen Angebote möglichst ausschließlich mobil nutzen. In der Softwareentwicklung führt dies zu einer Bündelung von Entwicklungsressourcen in diesem Bereich, was zu sehr ausgereiften mobilen, aber eher stiefmütterlich behandelten Desktoplösungen führt. Im Wealth Management kann und darf nicht auf ein ausgereiftes Desktop-Interface verzichtet werden. Allerdings können mobile Wealth-Management-Anwendungen gerade im Bereich Usability viel von ihren Retail-Pendants lernen. Die laufende Entwicklung der neuen Finaplus-App bei gleichzeitiger Weiterentwicklung der Desktopzugänge berücksichtigt die Wealth-as-a-Service-Herangehensweise daher in besonderem Maße. Es soll eine zeit-, orts- und geräteunabhängige Nutzung ermöglicht werden, bei der sowohl eine konzentrierte, dedizierte, als auch eine subtile, beiläufige Nutzung möglich wird und beide Nutzererfahrungen gleichermaßen positiv sind.

Noch mehr Zeit für das Wesentliche mit Business-Process-Outsourcing (BPO) auf Abruf

Bei aller reibungslosen Nutzung und nahtlosen Zusammenspiel der Funktionen der Finaplus-Plattform untereinander und der Anbindungen an Drittanbieterdienste bleiben manche Dinge nach wie vor Handarbeit. Die händische Durchführung vieler Geschäftsprozesse bindet Ressourcen und schafft Potenzial für vermeidbare Reibungsverluste. Die Lösung dieses Problems liegt auf der Hand: Outsourcing. Den Wealth-as-a-Service-Gedanken konsequent weitergeführt bedeutet das für Finaplus-Kunden, dass sie sich bei zahlreichen Geschäftsprozessen auf unseren BPO-Service verlassen können. Dabei genießen unsere Kunden vor allem drei wesentliche Vorteile. Zunächst sind einzelne Services flexibel zu- und abbuchbar, womit sich unser BPO-Service jederzeit an die Gegebenheiten jedes einzelnen Kunden anpasst. Darüber hinaus bietet unser BPO-Service eine Vielzahl verschiedener Geschäftsprozesse, die, analog der Lösungsbreite der Finaplus-Plattform, die Bedürfnisse der meisten Vermögensverwalter vollständig abdeckt. Bestandsabgleiche der Konto- und Wertpapierseite, portfoliobezogene Stammdatenpflege oder auch die Abbildung komplexer Kapitalmaßnahmen sind dabei nur ein kleiner Auszug aus dem gesamten Lösungsspektrum. Nicht minder wichtig: Als Nutzer der Finaplus-Plattform profitieren Kunden von Leistungen aus einer Hand. Denn egal, wie nutzerfreundlich und ausgereift eine Softwarelösung ist – besser als ihr Entwickler kennt sie niemand. Nutzer des BPO-Service arbeiten somit im wahrsten Sinne des Wortes mit einer Full-Service-Plattform.

Was ändert sich nun für Finaplus-Kunden? Operativ zunächst nichts, es ist kein Zutun erforderlich. Allerdings zementiert die Gründung von Finaplus unseren Anspruch, der führende Anbieter für echtes Wealth-as-a-Service zu sein und gibt unseren Kunden schwarz auf weiß die Gewissheit, dass die Weiterentwicklung der Finaplus-Plattform immer unter einer Prämisse steht: Für den Kunden, mit dem Kunden.