Konzentrationsrisiko bei IT-Outsourcing

Das Konzept von Outsourcing bei Banken und Versicherungen besteht bereits seit längerem. Erste Vorgaben dazu gab es für Banken schon vor der Jahrtausendwende, als insbesondere IT- und Business Process (BPO) Leistungen oft noch gemeinschaftlich durch Kooperationen erbracht wurden. Die FINMA sensibilisiert in ihrem Risikomonitor 2024 für Outsourcing-Risiken. Die Tatsache ist, dass ein Drittel der an die FINMA gemeldeten Cyberangriffe auf Finanzinstitute indirekt über Drittparteien erfolgen.

Der technologische Fortschritt und der Einzug von Cloud-Diensten sowie die Komplexität und der vorherrschende Fachkräftemangel im IT-Bereich haben zu einer verstärkten Auslagerung von IT-Leistungen geführt. Bei den Banken haben per Ende 2018 74 % einen Teil des IT-Betriebs an Dritte ausgelagert – per Ende 2023 ist dies bei 82 % der Banken und rund 55 % der Versicherungen der Fall. Entsprechend lagern auch Versicherungen, die ihre IT bisher häufig selbst betrieben haben, ihre IT-Infrastruktur, und damit die Grundlage vieler geschäftskritischer Prozesse, zunehmend an einen Dritten aus.

Akzeptanz von Cloud-Lösungen steigt

Insbesondere die Cloud-Nutzung hat in den letzten Jahren sowohl bei Banken als auch bei Versicherungen weiter stark zugenommen. Die Public Cloud kommt gar für die Speicherung und Verarbeitung von sensitiven Kundendaten zum Einsatz. Wie die von der FINMA in ihrem Risikomonitor 2024 publizierten Zahlen zeigen, hat sich die Anzahl Banken und Versicherungen, die eine wesentliche Funktion im Sinne des FINMA-Rundschreibens 2018/3 «Outsourcing» in eine Public Cloud ausgelagert haben, innert zwölf Monaten verdoppelt. Es wird mit einem weiteren starken Anstieg gerechnet und es kann davon ausgegangen werden, dass in einigen Jahren die grosse Mehrheit der Finanzinstitute zumindest Teile ihrer IT-Infrastruktur aus einer Public Cloud beziehen.

Dadurch entsteht eine signifikante Konzentration bei der Erbringung von wichtigen oder gar kritischen Funktionen. Neben den bekannten Public Cloud Providern bestehen auf dem Schweizer Markt weitere Konzentrationen bei einzelnen Dienstleistern, die Leistungen für zahlreiche Banken und Versicherungen erbringen. Dies bringt zum einen grosse Vorteile in der Professionalisierung und Skalierung mit sich, zum anderen führt es dazu, dass sich die Abhängigkeit des Schweizer Finanzmarktes zu einzelnen Dienstleistern stark erhöht.

Systemische Konzentration als Risiko für den Finanzplatz

Auch wenn die einzelnen Institute für die Sicherstellung der Geschäftskontinuität verantwortlich sind, und diese im Rahmen eines angemessenen «Business Continuity Managements» umsetzen, kann dies eine Störung nicht vollständig verhindern. Während sich bei einer verteilten Leistungserbringung eine Störung nur auf ein Institut auswirkt, führt die Konzentration bei Outsourcing-Dienstleistern dazu, dass sich eine Störung gleichzeitig auf die Geschäftsfähigkeit zahlreicher Institute auswirken und letztlich zu einem Problem für den gesamten Schweizer Finanzmarkt führen kann. Diesem Risiko der systemischen Konzentration wird derzeit sowohl international als auch in der Schweiz besondere Aufmerksamkeit geschenkt und es werden Ansätze zur Risikominderung diskutiert oder bereits umgesetzt. Auch wenn viele Risiken durch eine Professionalisierung der Anbieter reduziert werden können, muss das Risiko der «Auslagerung und Abhängigkeit von Dritten» sowohl auf Instituts- als auch auf Finanzmarktebene angemessen gehandhabt werden.