Wenn bei den Banken das Licht ausgeht
Einen landesweiten, länger anhaltenden Blackout schließen die zuständigen Experten weitgehend aus. Dennoch diskutiert auch die Finanzbranche, wie man sich auf so ein Extremszenario vorbereiten kann. Sie stellt Forderungen an die Politik – zu Recht?
Nicht jeder Stromausfall ist ein Blackout. Stromausfälle sind in der Regel kurzfristig und auf jeden Fall regional begrenzt. Von einem Blackout spricht man dagegen, wenn großflächig der Strom ausfällt. Dann besteht eine große Gefahr, dass dieser länger anhält. Die Energieversorger arbeiten stetig daran, dass ein solches Szenario ausgeschlossen werden kann. So werden Teilnetze über unterschiedliche Strombrücken miteinander verbunden, die Stromerzeugungsanlagen kontinuierlich überwacht und bei einer Störung die größten Verbraucher in der Industrie zwangsgetrennt. Sollten die Netze tatsächlich einmal zusammenbrechen, sollen Notfallpläne dazu beitragen, einen schnellen Neustart zu gewährleisten.Die Schlagzeilen von der Energiekrise und Äußerungen mancher Landes- und Bundespolitiker, die ihre politische Agenda mit dem Schüren von Ängsten vorantreiben wollen, haben bereits Früchte getragen: Rund 40 Prozent der Bundesbürger haben sehr große Sorge, dass es in den kommenden sechs Monaten zu Stromausfällen kommt.
Behörden warnen seit langem
Möglicherweise wurden die Verantwortlichen in Politik und Wirtschaft aufgeschreckt durch die Ankündigung der Zentralbank der Ukraine. Diese bereitet sich auf einen möglichen Blackout vor – hier besteht eine reale Gefahr durch den ständigen Beschuss des russischen Militärs, das gezielt die Infrastruktur des Landes aufs Korn nimmt. Schon jetzt müssen viele Gebiete mit stundenlangen Stromabschaltungen zurechtkommen.
Hierzulande waren Befürchtungen im Zusammenhang mit der Abschaltung der letzten Kernkraftwerke und mangelnder Alternativen aufgekommen. Doch nicht nur ein Auseinanderklaffen von Stromproduktion und -bedarf könnte zu einem Zusammenbruch der Netze führen. Auch Hackerangriffe sind eine reale Bedrohung. Seit Monaten warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) alle deutschen Unternehmen, insbesondere solcher der kritischen Infrastruktur, dass die Gefährdungslage in Bezug auf Cyberangriffe seit dem Beginn des Ukraine-Krieges stark angestiegen ist.
Schon 2011 hatte eine Technikfolgenabschätzung des Deutschen Bundestages sich mit dem Szenario eines großräumigen und langandauernden Ausfalls der Stromversorgung befasst (Download). Darin war auch den Finanzdienstleistungen ein eigener Abschnitt gewidmet, mit einer kurzen Beschreibung der Folgen eines längeren Stromausfalls:
Viele Banken, die nach dem Eintritt des Stromausfalls noch geöffnet bleiben, schließen nach einigen Tagen. Da auch die Geldautomaten ausgefallen sind, droht die Bargeldversorgung der Bevölkerung zu kollabieren. Es ist anzunehmen, dass es hierdurch und durch den Ausfall elektronischer Zahlungsmöglichkeiten in Geschäften und Banken mit der Zeit zu Unmut und teils zu aggressiven Auseinandersetzungen kommt, da es für die Bevölkerung keine Bezahlmöglichkeiten mehr gibt.”
Ein Organisations- und Logistikkonzept sowie ein erweitertes Sicherheitskonzept sollten von der Deutschen Bundesbank und weiteren Organisationen des Bevölkerungsschutzes erarbeitet werden, empfahlen die Studienautoren bereits vor mehr als zehn Jahren.
Nun berichtet das Handelsblatt, dass aktuell deutsche Finanzbehörden an Notfallplänen arbeiten, um die Branche für einen längeren Stromausfall zu wappnen. Dort sieht man anscheinend Handlungsbedarf. Das Handelsblatt zitiert einen Behördenvertreter, der nicht namentlich genannt werden wollte, mit der Aussage:
Die Banken hierzulande sind aus Sicht der Aufsichtsbehörden für eine solche Krisensituation nicht ausreichend vorbereitet.“
Diskussion um KRITIS
Darüber hinaus gebe es aus Kreisen der Wertdienstleister und der Deutschen Kreditwirtschaft (DK) die Forderung, dass die Bargeldversorgung – darunter auch die Geldtransportdienstleister –, Rechenzentren und Zahlungsverkehr zur kritischen Infrastruktur zu zählen, die vorrangigen Zugang zu Treibstoff und Telekommunikationsdienstleistungen bekommt.
Diese Aussagen müssen allerdings verwundern – denn tatsächlich wird das Finanz- und Versicherungswesen bereits als einer von zehn Wirtschaftssektoren in der Definition KRITIS des BSI geführt (Webseite). Was konkret darunter fällt, wird in §7 der BSI-Kritisverordnung ausgeführt. Demnach sind kritische Dienstleistungen im Sinne des BSI-Gesetzes:
- die Bargeldversorgung;
- der kartengestützte Zahlungsverkehr;
- der konventionelle Zahlungsverkehr;
- der Handel mit Wertpapieren und Derivaten sowie die Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften;
- Versicherungsdienstleistungen und Leistungen der Sozialversicherung sowie der Grundsicherung für Arbeitsuchende.
Das schlägt sich auch an anderer Stelle nieder. So verweist das BSI beispielsweise auf branchenspezifischen Sicherheitsstandards (B3S) für die Finanzbranche. Diese sind bislang allerdings recht dünn gesät: es gibt einen für gesetzliche Kranken- und Pflegeversicherer und einen eigenen der Allianz Deutschland AG. Banken oder Finanzdienstleister haben bislang keine solchen gemeinsamen Sicherheitsstandards erarbeitet. Eine KRITIS-Sektorstudie Finanz- und Versicherungswesen (Download) ist zwar ebenfalls vorhanden, doch die wurde letztmals im Dezember 2015 aktualisiert.
NACHTRAG: Der Bundesverband deutscher Banken e.V. weist darauf hin, dass Banken solche Standards in die „Bankaufsichtlichen Anforderungen an die IT – BAIT“ (Webseite) integriert haben. Somit könnten sie die KRITIS-Anforderungen und die finanzsektorspezifischen Anforderungen der BaFin optimal harmonisieren. Die BAIT wurden im August 2021 aktualisiert, dabei wurde unter anderem ein Kapitel zum IT-Notfallmanagement ergänzt.
Bargeld lacht
„Bargeld ist das, was funktioniert, wenn nichts anderes mehr funktioniert“ – so der Claim des ESTA (European Security Transport Association). Doch wie bereits erwähnt, drohen im Falle eines Blackouts Einschränkungen bei der Bargeldversorgung und in der Folge Unruhen in der Bevölkerung. Diese Erkenntnis hat auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) aufgegriffen und auf seiner Seite zum Finanz- und Versicherungswesen der Bargeldversorgung einen besonderen Stellenwert eingeräumt.
Das BBK verweist dazu sowohl auf die genannten Ressourcen des BSI, als auch auf ein sehr aktuelles Projekt, das 2020 gestartet wurde und noch nicht abgeschlossen ist. Unter dem Titel „Resilienz der Bargeldversorgung – Sicherheitskonzepte für Not und Krisenfälle“ (BASIC) wird in einem Verbundprojekt unter Leitung der Deutschen Bundesbank ein Sicherheitsrahmenkonzept entwickelt, das den Anspruch erhebt, alle Akteure des Bargeldkreislaufs und ihre Schnittstellen untereinander zu berücksichtigen (Webseite).
Beide Seiten gefordert
Tatsächlich gibt es also bereits einiges an Konzepten, Notfallplänen und Vorgaben, die das Finanzwesen im Fall des Falles schützen sollen. Ein Fokus lag dabei stets auf der Cybersicherheit, obwohl auch Aspekte wie Resilienz und Verfügbarkeit mit berücksichtigt sind. Die Forderung nach Aufnahme in den KRITIS-Kreis läuft insofern ins Leere, als dass dies bereits passiert ist. Man muss sich dementsprechend die Frage stellen, inwieweit die Branche dies bereits berücksichtigt und umsetzt.
Andererseits gibt es natürlich auch Nachholbedarf auf Seiten der Politik. Dort müssen Strategien und Konzepte dringend auf Aktualität geprüft und angepasst werden. Das gilt sowohl für die technische Infrastruktur, die sich in den vergangenen Jahren stark verändert hat, als auch für mögliche Gefahrenlagen aus der derzeitigen politischen Lage. hj
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/147826
Schreiben Sie einen Kommentar