Konzentrationsrisiko nach DORA — Wenn ein Anbieter zu wichtig wird
Was ICT-Konzentrationsrisiko bedeutet, warum DORA es reguliert und wie Sie es in Ihrem Institut identifizieren.
Was ist ICT-Konzentrationsrisiko?
Konzentrationsrisiko entsteht, wenn ein Finanzunternehmen in kritischen Bereichen von einem einzelnen ICT-Dienstleister oder einer kleinen Gruppe von Dienstleistern abhängig ist.
DORA adressiert dieses Risiko explizit: Artikel 29 Absatz 2 verpflichtet Finanzunternehmen, bei der Vergabe von ICT-Dienstleistungen das Konzentrationsrisiko zu berücksichtigen.
Warum Konzentrationsrisiko ein reales Problem ist
Die Theorie klingt abstrakt. Die Praxis ist es nicht.
Beispiel 1: Cloud-Konzentration Wenn Ihr Kernbankensystem, Ihre E-Mail, Ihre Dokumentenverwaltung und Ihr CRM alle bei einem Cloud-Provider laufen — was passiert bei einem mehrstündigen Ausfall? Bei einem mehrtägigen? Die Antwort für viele kleine Institute: Stillstand.
Beispiel 2: Software-Monokultur Ein bestimmter Anbieter von Kernbanksystemen bedient einen Grossteil der Sparkassen. Wenn bei diesem Anbieter ein gravierender Sicherheitsvorfall eintritt, betrifft das nicht ein Institut, sondern Hunderte gleichzeitig.
Beispiel 3: Beratungsabhängigkeit Ein einziger IT-Dienstleister betreut Ihre gesamte IT-Infrastruktur — Administration, Security, Entwicklung. Wenn dieser Dienstleister ausfällt oder die Beziehung endet, fehlt das gesamte IT-Know-how.
Als ich bei der Bank, die ich aufgebaut habe, die Konzentrations-Analyse durchgeführt habe, war das Ergebnis ernüchternd: Drei Anbieter waren für über 80% unserer kritischen ICT-Leistungen verantwortlich. Das war kein bewusster Entscheid, sondern das Ergebnis von gewachsenen Strukturen und pragmatischen Einzelentscheidungen.
Was DORA verlangt
Bewertungspflicht
Bei jeder Entscheidung über die Vergabe von ICT-Dienstleistungen müssen Sie prüfen:
- Entsteht oder verstärkt sich ein Konzentrationsrisiko?
- Welche Auswirkungen hätte ein Ausfall dieses Anbieters?
- Gibt es alternative Anbieter für diese Leistung?
Dokumentationspflicht
Konzentrationsrisiken müssen:
- Identifiziert und dokumentiert sein
- In der Risikobewertung berücksichtigt werden
- Der Geschäftsleitung berichtet werden
Maßnahmenplanung
Wo Konzentrationsrisiken bestehen, erwartet die Aufsicht Maßnahmen:
- Exit-Strategien für kritische Anbieter
- Diversifikationspläne (wo realistisch)
- Notfallpläne für den Ausfall konzentrierter Anbieter
Konzentrationsrisiko identifizieren: Praktischer Ansatz
Schritt 1: Anbieter-Abhängigkeitsanalyse
Erstellen Sie eine Matrix: Welcher Anbieter unterstützt welchen Geschäftsprozess?
| Anbieter | Kernbanking | Zahlungsverkehr | Dokumenten-Mgmt | IT-Security | |
|---|---|---|---|---|---|
| Anbieter A | X | X | |||
| Anbieter B | X | X | X | ||
| Anbieter C | X | X |
Wenn ein Anbieter in mehreren kritischen Spalten auftaucht, haben Sie ein Konzentrationsrisiko.
Schritt 2: Kritikalitäts-Gewichtung
Nicht jede Konzentration ist gleich riskant. Bewerten Sie:
- Impact bei Ausfall: Wie schwer wäre der Ausfall? (Stillstand vs. Einschränkung)
- Ersetzbarkeit: Wie schnell können Sie wechseln? (Tage vs. Monate)
- Marktkonzentration: Gibt es überhaupt Alternativen?
Schritt 3: Bewertung auf Ebene des Finanzsektors
DORA geht über das einzelne Institut hinaus: Auch systemische Konzentrationsrisiken — wenn viele Institute vom selben Anbieter abhängen — sind relevant. Die European Supervisory Authorities (ESAs) können sogenannte “kritische ICT-Drittdienstleister” benennen, die dann einer direkten Überwachung unterliegen.
Der ehrliche Blick: Was Sie tun können — und was nicht
Nicht jedes Konzentrationsrisiko lässt sich eliminieren. Wenn es nur einen oder zwei Anbieter für Ihr Kernbankensystem gibt, können Sie nicht einfach “diversifizieren”.
Was Sie aber tun können:
- Transparenz schaffen: Wissen, wo die Konzentrationen liegen
- Exit-Fähigkeit sicherstellen: Verträge so gestalten, dass ein Wechsel möglich ist
- Notfallpläne haben: Was tun bei einem längeren Ausfall des konzentrierten Anbieters?
- Risiko dokumentiert akzeptieren: Wo Konzentration unvermeidlich ist, dies bewusst entscheiden und dokumentieren
Die Aufsicht erwartet keine risikofreie IT-Landschaft. Sie erwartet, dass Sie Ihre Risiken kennen, bewerten und bewusst steuern.
Konzentrationsrisiko im Register of Information
Das Register of Information ist das zentrale Werkzeug, um Konzentrationsrisiken sichtbar zu machen. Wenn alle Anbieter, Verträge und ICT-Leistungen verknüpft erfasst sind, lässt sich auf einen Blick erkennen, wo Abhängigkeiten bestehen.
Ohne ein strukturiertes Register bleiben Konzentrationsrisiken oft unsichtbar — bis ein Ausfall sie offenlegt.
Nächste Schritte
- Register of Information — das Werkzeug, um Konzentrationen sichtbar zu machen
- Lieferantenrisiken bewerten — systematische Risikobewertung inkl. Konzentration
- BaFin-Prüfung vorbereiten — was die Aufsicht zum Thema Konzentration sehen will