Hintergrund der BaFin, das Forschungsprojekt zu den Wertschöpfungsketten im Finanzsektor bei der Universität Innsbruck in Auftrag zu geben, war es, Entwicklungen künftig aktiver begleiten, Risiken früher erkennen und daraus ableitend ihre Aufsichtspraxis anpassen zu können. Das Forschungsteam der Universität entwickelte drei Szenarien, die es von Banken, Zahlungsdienstleistern und IT-Unternehmen überprüfen ließ. Aus diesen Gesprächen leitete das Forschungsteam ab, welche Folgen die Fragmentierung von Wertschöpfungsketten für den Finanzsektor haben könnte – und was das für die IT-Aufsicht bedeuten würde.
Die drei Szenarien kurz zusammengefasst:
Szenario 1: Durch die Digitalisierung nimmt die Zahl der Schnittstellen zwischen Kreditinstituten und Dritten stetig zu, die IT-Infrastruktur wird dadurch komplexer, potenzielle Angriffsflächen für Cyber-Kriminalität werden mehr.
Szenario 2: Im Zuge der fortschreitenden Technologisierung und des Wettbewerbsdrucks übergeben Finanzinstitute Systeme, Tätigkeiten oder Prozesse an branchenspezifische IT-Dienstleister. Diese wiederum werden Teile an einen dritten IT-Dienstleister auslagern. Dadurch könnte eine zusätzliche Konzentration von IT-Infrastruktur entstehen, über Clouds beispielsweise.
Szenario 3: Über diese Auslagerungen hätten Cloud-Anbieter die Möglichkeit, auf Daten ihrer KundInnen zuzugreifen, was dazu führen könnte, dass sie selbst IT- und Finanzdienste anbieten. Die Produkte und Dienstleistungen würden dann in einem aufsichtsfreien Raum produziert.
Die Universität Innsbruck identifizierte verschiedene Möglichkeiten, wie die IT-Aufsicht den zukünftigen Herausforderungen begegnen könnte.
Anhang einer umfassenden Sektorlandkarte sollen Abhängigkeiten zwischen Finanzinstituten, IT-Dienstleistern und weiteren Akteuren und die dadurch entstehenden Konzentrationsrisiken dargestellt werden. Da sich die Ziele der IT-Aufsicht in Teilen mit denen der Datenschutzbehörden überschneiden, sollte eine engere Zusammenarbeit zwischen den zuständigen Behörden erfolgen, um noch besser beobachten zu können. Außerdem, so das Forschungsteam, habe man mit den PSD2-Schnittstellen bereits ein Instrument, um zu untersuchen, wie Institute mit ihren Dienstleistern interagieren. Über eine Analyse könnten Schnittstellen aufgedeckt werden. Außerdem geht aus dem Forschungsbericht die Empfehlung hervor, die Sicherheit der von den Zahlungsdienstleistern genutzten Zertifikaten für die PSD2-Schnittstellen zu prüfen.
Nun prüft die BaFin die Untersuchungsergebnisse. Eine Landkarte der wesentlichen Dienstleister und Abhängigkeiten wurde bereits vor Projektabschluss anvisiert.