Kritische IT-Prozesse im Finanzsektor
Zentrale Erkenntnisse aus der S+P Compliance Services Studie 2025

Unterföhring bei München, 19.10.2025 (PresseBox) - Die neue Studie von S+P Compliance Services und führenden Branchenspezialisten bestätigt: Für Banken und Finanzdienstleister stehen bestimmte IT-Prozesse besonders im Fokus der Cyber-Resilienz. Besonders relevant sind Identity & Access Management (IAM), Schwachstellen- und Patch-Management, digitale Schnittstellen sowie Cloud-Security und das Auslagerungsmanagement externer IT-Dienstleister.

Ergänzt werden diese Kernprozesse durch Security Incident and Event Management (SIEM) sowie ein schlüssiges Vulnerability Management – beides grundlegende Elemente eines modernen Resilienzkonzepts, das regulatorische Anforderungen und aktuelle Bedrohungslagen konsequent adressiert.

Diese zentralen Bereiche geben den Takt für Entscheider im Finanzsektor vor und stehen im Mittelpunkt aktueller Prüfungsfeststellungen und Handlungsempfehlungen aus der S+P Studie.

Doch warum sind genau diese Prozesse so entscheidend? Und welche Maßnahmen setzen Banken, Versicherungen und Wertpapierinstitute weltweit um, um ihre Resilienz zu stärken? In diesem Beitrag findest du die Antworten – praxisnah, international vergleichend und mit den Empfehlungen führender Aufsichtsbehörden wieBaFin, EBA, EZB, FCA, OCCundNIST.

Identity & Access Management (IAM)

IAMist das Herzstück der IT-Sicherheit. Laut Lünendonk/KPMG stufen88% der global befragten Finanzdienstleisterdiesen Bereich als kritisch ein. Kein Wunder:Unbefugter Zugriffist einer der häufigsten Einfallstore für Cyberangriffe.

• Cloud & On-Premises:Ob deine Systeme in der Cloud oder lokal laufen – ohne ein strukturiertes Rollen- und Berechtigungskonzept riskierst du Datenabflüsse, Sabotage oder Insider-Angriffe.
• Zero Trust-Ansatz:Moderne IAM-Systeme setzen zunehmend aufZero Trust: Jeder Zugriff muss einzeln geprüft und autorisiert werden – unabhängig davon, ob er intern oder extern erfolgt.
• Regulatorische Perspektive:DieEBA Guidelines on ICT and Security Risk Managementsowie dieBAIT-Novellebetonen explizit die Notwendigkeit eines robusten IAM.

Best Practice:Multi-Faktor-Authentifizierung (MFA), Privileged Access Management (PAM) und kontinuierliche Überprüfung der Berechtigungen.

Schwachstellen- und Patch-Management

Schwachstellensind das Einfallstor Nummer eins. Obselbstentwickelte Software, externeAPI-SchnittstellenoderThird-Party-Tools– jedes ungepatchte System kann zum Risiko werden.

• Regelmäßige Penetrationstests:Viele Finanzunternehmen führen bereitsvierteljährliche Testsdurch, die in die DORA-Vorgaben integriert sind.
• Zeitnahe Updates:Studien zeigen, dass erfolgreiche Angriffe oft auf Schwachstellen basieren, für die längst ein Patch verfügbar gewesen wäre.
• Automatisiertes Vulnerability Management:Systeme wie SIEM oder Security Orchestration Tools übernehmen heute zunehmend dieautomatische Erkennung und Priorisierungvon Schwachstellen.

Praxisrelevanz:Für dich bedeutet das: Stelle sicher, dass deine Patch-Management-Prozessenicht nur dokumentiert, sondern auchnachweislich gelebtwerden.

Cloud-Security und Outsourcing

Immer mehr Banken setzen aufCloud-Lösungen– von der Kundenplattform bis hin zum kompletten Core Banking. Doch58% der Unternehmensehen in der Nutzung externer Dienstleistererhöhte Risiken.

• Shared Responsibility:Auch wenn der Cloud-Anbieter für die Infrastruktur sorgt, liegt die Verantwortung für dieDaten- und Zugriffssicherheitweiterhin bei dir.
• Regulatorische Anforderungen:DieBaFinverlangt detaillierteAuslagerungsregisterund ein klaresThird-Party-Risikomanagement. DieEBA Outsourcing Guidelinesmachen ähnliche Vorgaben.
• UK-Praxis:DieFCAfordert von kritischen DienstleisternResilienzberichte, die den Behörden vorzulegen sind.

Empfehlung:Implementiere einVendor Risk Management Framework, das kontinuierliche Kontrollen und Notfallpläne für deine wichtigsten Dienstleister umfasst.

Security Incident and Event Management (SIEM)

Cyberangriffe lassen sich nicht immer verhindern – entscheidend ist dieschnelle Erkennung und Reaktion.

• 90% der Finanzinstitute investieren in SIEM-Lösungen, die sicherheitsrelevante Ereignisse in Echtzeit erkennen und dokumentieren.
• Integration mit SOAR:Moderne SIEM-Systeme werden oft mitSecurity Orchestration, Automation and Response (SOAR)kombiniert, um Vorfälle automatisiert zu bearbeiten.
• Internationale Standards:In den USA gilt dasNIST Cybersecurity Frameworkals Grundlage für Incident Detection und Response.

Praxisnutzen:Mit einem SIEM schaffst du nicht nur Sicherheit, sondern erfüllst auch regulatorische Pflichten zurMeldung von IT-Störungen(z. B. DORA, MaRisk AT 7.3).

Business Continuity und Recovery

Wenn es hart auf hart kommt, zählt nur eines:Wie schnell bist du wieder handlungsfähig?

• DORAverpflichtet Finanzunternehmen zu regelmäßigenKrisenübungenund definiert klareRecovery Time Objectives (RTO).
• EZB-Stresstestssimulieren großflächige Cyberangriffe auf Banken. Wer hier nicht bestehen kann, riskiert aufsichtsrechtliche Maßnahmen.
• Deloitte-Studienzeigen: Unternehmen mit getesteten BCM-Plänen sindbis zu 50% schnellerim Wiederanlauf.

Tipp für dich:Lege nicht nur Pläne in der Schublade ab, sondernteste sie realistisch– mit Tabletop Exercises, Red Team-Übungen und Recovery-Tests.

Weltweit wichtigste Maßnahmen zur Risikobegrenzung

1. Ganzheitliches IT-Risikomanagement

• Verknüpfealle IT-Risiken mit deinem Enterprise Risk Management.
• BerücksichtigeMaRisk, BAIT, DORA und die EBA Guidelines.
• Internationale Best Practice:FFIEC Cybersecurity Assessment Tool(USA).

2. Regelmäßige Security Audits

• Penetrationstests und Red Team Exercisessind Standard.
• UK:CBEST-Testsunter realistischen Bedingungen.
• DORA: VerpflichtendeThreat-Led Penetration Testing (TLPT).

3. Automatisierung und Monitoring

• Nutze integrierte Plattformen fürMonitoring, Orchestrierung und Incident Response.
• KI-gestützte Systeme helfen,Anomalien frühzeitig zu erkennen.

4. Steigerung des Budgets

• 64,8% der Unternehmen erhöhen ihre IT-Security-Ausgaben.
• Spitzeninstitute investierenbis zu 10% des Gesamtbudgetsin Cyber- und IT-Risikomanagement.

5. Kultur & Top-Management Commitment

• Setze auf ein klaresTone from the Top.
• Rolle desChief Resilience Officergewinnt an Bedeutung.
• Internationale Studien zeigen:Engagement auf Vorstandsebene halbiert die Reaktionszeitbei Krisen.

6. Notfall- und Krisenmanagement

• Entwicklung vonBCM-Plänen.
• Durchführung vonKrisenübungen.
• Definition vonRecovery-Zielen(RTO, RPO).

Internationale Perspektive: UK & USA

UK – FCA & NCSC

• Verwundbarkeit:Besonders gefährdet sindZahlungsverkehrs- und Handelsplattformen.
• Pflichtmaßnahmen:Tabletop Exercises, Incident Reporting und Resilienzberichte.
• CBEST-Tests:Realistische Penetrationstests sindverpflichtendfür Banken und Versicherer.
• DieFCAerwartet von Finanzunternehmen eine dokumentierte Cyber-Risiko-Strategie, regelmäßige Risikoanalysen und Penetrationstests sowie ein robustes Incident-Management mit direkter, zeitnaher Meldung schwerwiegender Ereignisse an die Aufsicht.
• Operational Resilience ist Top-Priorität: Seit 31. März 2025 müssen Banken, Zahlungsdienstleister und Versicherungen nachweisen, dass sie schwerwiegende Störungen identifizieren, Impact-Toleranzen dokumentieren, regelmäßig testen und End-to-End-Abhängigkeiten wie Cloud-Provider und Outsourcing-Partner abbilden können.
• Die FCA betont bei Cyber-Vorfällen die Bedeutung von Lessons Learned (z. B. CrowdStrike-Outage 2024) und fordert die Integration von Cyber-Risiko und IT-Resilienz als strategisches und direktes Vorstands-Thema, unterstützt durch das Cyber Governance Code of Practice

USA – Federal Reserve, OCC & NIST

• Kritische Bereiche:IAM, Incident Response und Cloud Security.
• Frameworks:NIST Cybersecurity FrameworkundFFIEC Toolssind Standard.
• Innovation:KI-gestützte Threat Detection ist dereffektivste Hebel, um Schäden zu minimieren.
• DieCISAgibt für Finanzunternehmen verbindliche Leitlinien und Notfall-Direktiven heraus (z. B. Emergency Directive 25-03 zu Cisco Vulnerabilities), die eine umgehende Identifikation, Bewertung und Behebung von Sicherheitslücken in wichtigen Systemen verlangen.
• Zu den Lessons Learned aus Incident-Response-Engagements gehören: sofortiges Patching, proaktives Bedrohungs-Monitoring, Asset-Inventory und die Dokumentation der eingesetzten Technologie sowie regelmäßige Tabletop-Exercises.
• CISA arbeitet eng mit anderen US-Behörden (OCC, Federal Reserve, FFIEC) und internationalen Partnern zusammen, gibt strategische Ziele zur Resilienz und zur Qualität der Sicherheitsdaten vor und stellt umfangreiche Ressourcen für Cyber-Performance, Trainings und sektorübergreifendes Risk-Sharing bereit.

Fazit – Dein Fahrplan

Du siehst:Kritische IT-Prozesse sind kein Randthema, sondern der Kern der Finanz-Resilienz.
Wenn du dich heute auf die BereicheIAM, Patch-Management, Cloud-Security, SIEM und BCMkonzentrierst, erfüllst du nicht nur regulatorische Anforderungen, sondern sicherst auch die Zukunftsfähigkeit deines Unternehmens.

Deine To-Dos:

• Überprüfe dein IAM-System– ist Zero Trust wirklich umgesetzt?
• Setze ein automatisiertes Vulnerability Management auf.
• Dokumentiere und kontrolliere deine Cloud-Dienstleister.
• Investiere in SIEM + SOAR.
• Teste deine Krisenpläne realistisch.
• Verankere Cyber-Resilienz in deiner Unternehmenskultur.