FINMA sensibilisiert 18.07.2025, 09:41 Uhr

Konzentrationsrisiko bei IT-Outsourcing

Outsourcing ist im Finanzsektor etabliert, birgt jedoch Risiken: Laut FINMA erfolgen ein Drittel der Cyberangriffe auf Banken und Versicherer über Drittanbieter. Der Risikomonitor 2024 mahnt zu erhöhter Wachsamkeit bei ausgelagerten IT- und Geschäftsprozessen.
Die FINMA sensibilisiert in ihrem Risikomonitor 2024 für Outsourcing-Risiken.
(Quelle: Shutterstock/TippaPatt)
Das Konzept von Outsourcing bei Banken und Versicherungen besteht bereits seit längerem. Erste Vorgaben dazu gab es für Banken schon vor der Jahrtausendwende, als insbesondere IT- und Business Process (BPO) Leistungen oft noch gemeinschaftlich durch Kooperationen erbracht wurden. Die FINMA sensibilisiert in ihrem Risikomonitor 2024 für Outsourcing-Risiken. Die Tatsache ist, dass ein Drittel der an die FINMA gemeldeten Cyberangriffe auf Finanzinstitute indirekt über Drittparteien erfolgen.
Der technologische Fortschritt und der Einzug von Cloud-Diensten sowie die Komplexität und der vorherrschende Fachkräftemangel im IT-Bereich haben zu einer verstärkten Auslagerung von IT-Leistungen geführt. Bei den Banken haben per Ende 2018 74 % einen Teil des IT-Betriebs an Dritte ausgelagert – per Ende 2023 ist dies bei 82 % der Banken und rund 55 % der Versicherungen der Fall. Entsprechend lagern auch Versicherungen, die ihre IT bisher häufig selbst betrieben haben, ihre IT-Infrastruktur, und damit die Grundlage vieler geschäftskritischer Prozesse, zunehmend an einen Dritten aus.
“Die Abhängigkeit des Schweizer Finanz­marktes zu einzelnen Dienstleistern hat sich stark erhöht.„
Marc Friedli

Akzeptanz von Cloud-Lösungen steigt

Insbesondere die Cloud-Nutzung hat in den letzten Jahren sowohl bei Banken als auch bei Versicherungen weiter stark zugenommen. Die Public Cloud kommt gar für die Speicherung und Verarbeitung von sensitiven Kundendaten zum Einsatz. Wie die von der FINMA in ihrem Risikomonitor 2024 publizierten Zahlen zeigen, hat sich die Anzahl Banken und Versicherungen, die eine wesentliche Funktion im Sinne des FINMA-Rundschreibens 2018/3 «Outsourcing» in eine Public Cloud ausgelagert haben, innert zwölf Monaten verdoppelt. Es wird mit einem weiteren starken Anstieg gerechnet und es kann davon ausgegangen werden, dass in einigen Jahren die grosse Mehrheit der Finanzinstitute zumindest Teile ihrer IT-Infrastruktur aus einer Public Cloud beziehen.
“Die Cloud-Nutzung hat sowohl bei Banken als auch bei Versiche­rungen weiter stark zugenommen.„
Marc Friedli
Dadurch entsteht eine signifikante Konzentration bei der Erbringung von wichtigen oder gar kritischen Funktionen. Neben den bekannten Public Cloud Providern bestehen auf dem Schweizer Markt weitere Konzentrationen bei einzelnen Dienstleistern, die Leistungen für zahlreiche Banken und Versicherungen erbringen. Dies bringt zum einen grosse Vorteile in der Professionalisierung und Skalierung mit sich, zum anderen führt es dazu, dass sich die Abhängigkeit des Schweizer Finanzmarktes zu einzelnen Dienstleistern stark erhöht.
Eidgenössische Finanzmarktaufsicht
Die eidgenössische Finanzmarktaufsicht, kurz FINMA, hat als unabhängige Behörde den gesetzlichen Auftrag, Finanzmarktkunden – namentlich Gläubiger, Anleger und Versicherte – sowie die Funktionsfähigkeit der Finanzmärkte zu schützen.
Die FINMA bewilligt und überwacht Finanzmarktteilnehmer und greift wo nötig korrigierend ein. Ihr kommt zudem die Aufgabe zu, auf technischer Stufe zu regulieren.
Primäres Ziel der Überwachungstätigkeit der FINMA ist, dafür zu sorgen, dass die Beaufsichtigten finanziell stabil sind und ihren Verhaltenspflichten nachkommen. Damit werden die Gläubiger, Anleger und Versicherten sowie das Finanzsystem als Ganzes geschützt.
An ihrem Hauptsitz in Bern sowie in Zürich beschäftigt die FINMA durchschnittlich 600 Personen. Ihr Betriebsaufwand, der von den Beaufsichtigten finanziert wird, liegt bei rund 145 Millionen Franken. Angesichts der Grösse und Bedeutung der Schweizer Finanzbranche ist die FINMA im internationalen Vergleich eine schlanke Behörde.

Systemische Konzentration als Risiko für den Finanzplatz

Auch wenn die einzelnen Institute für die Sicherstellung der Geschäftskontinuität verantwortlich sind, und diese im Rahmen eines angemessenen «Business Continuity Managements» umsetzen, kann dies eine Störung nicht vollständig verhindern. Während sich bei einer verteilten Leistungserbringung eine Störung nur auf ein Institut auswirkt, führt die Konzentration bei Outsourcing-Dienstleistern dazu, dass sich eine Störung gleichzeitig auf die Geschäftsfähigkeit zahlreicher Institute auswirken und letztlich zu einem Problem für den gesamten Schweizer Finanzmarkt führen kann. Diesem Risiko der systemischen Konzentration wird derzeit sowohl international als auch in der Schweiz besondere Aufmerksamkeit geschenkt und es werden Ansätze zur Risikominderung diskutiert oder bereits umgesetzt. Auch wenn viele Risiken durch eine Professionalisierung der Anbieter reduziert werden können, muss das Risiko der «Auslagerung und Abhängigkeit von Dritten» sowohl auf Instituts- als auch auf Finanzmarktebene angemessen gehandhabt werden.
Der Autor
Marc Friedli
Senior Specialist Über­wachung für operationelle, Cyber- und IT-Risiken FINMA
Artikel drucken
Marc Friedli
Das könnte Sie auch interessieren
Finanzierung
ChatGPT-Firma holt sich 40 Milliarden Dollar bei Investoren
 
01.04.2025
Finanzierungsrunde
Spitch öffnet sich für neue Investoren
 
25.03.2025
Augmented FinOps
Cloud-Kosten im Griff behalten
 
18.08.2024
Innovation
490 Millionen Franken für die Schweizer Innovationsförderung
 
29.04.2024