Die BaFin moniert in ihrem Bericht Risi­ken im Fokus 2025 die zuneh­men­de Abhän­gig­keit der Ban­ken von IT-Dienstleistern.

Die Aus­la­ge­rung von IT-Dienst­leis­tun­gen im Finanz­sek­tor, ins­be­son­de­re im Bereich der Cloud-Diens­te, brin­ge zwar Vor­tei­le wie Kos­ten­ein­spa­run­gen und Effi­zi­enz­stei­ge­run­gen mit sich, füh­re aber auch zu wach­sen­den Kon­zen­tra­ti­ons­ri­si­ken und Ver­flech­tun­gen, die den Finanz­sek­tor anfäl­li­ger machen können.

Beson­ders pro­ble­ma­tisch ist laut BaFin, dass vie­le Finanz­un­ter­neh­men von weni­gen spe­zia­li­sier­ten IT-Dienst­leis­tern abhän­gig sind, was bei Stö­run­gen weit­rei­chen­de Fol­gen haben kann. Mehr als die Hälf­te der anzei­ge­pflich­ti­gen Unter­neh­men gibt an, aus­ge­la­ger­te IT-Dienst­leis­tun­gen nicht wie­der selbst erbrin­gen zu kön­nen, und ein Wech­sel zu ande­ren Anbie­tern ist oft schwie­rig oder unmög­lich. Die­se Abhän­gig­kei­ten wer­den durch geo­po­li­ti­sche Risi­ken noch ver­schärft, ins­be­son­de­re wenn Dienst­leis­ter im außer­eu­ro­päi­schen Aus­land ansäs­sig sind. 

Um die­se Risi­ken zu über­wa­chen, sam­melt die BaFin seit Ende 2022 Infor­ma­tio­nen zu wesent­li­chen Aus­la­ge­run­gen von Finanz­un­ter­neh­men. Durch­schnitt­lich wur­den etwa elf wesent­li­che Aus­la­ge­run­gen pro Unter­neh­men gemel­det, wobei jede vier­te bis fünf­te eine IT-Aus­la­ge­rung ist. Die BaFin nutzt die­se Daten für sek­tor­über­grei­fen­de Ana­ly­sen und zur Visua­li­sie­rung der Bezie­hun­gen zwi­schen Finanz­un­ter­neh­men und Dienstleistern. 

Trotz der Risi­ken neh­men die Aus­la­ge­run­gen wei­ter zu, ins­be­son­de­re auf IT-Mehr­man­dan­ten-Dienst­leis­ter. Der euro­päi­sche Digi­tal Ope­ra­tio­nal Resi­li­ence Act (DORA) ver­langt daher eine umfas­sen­de Ein­schät­zung und Über­wa­chung der Dritt­par­tei­en­ri­si­ken im IT-Bereich. 

Finanz­un­ter­neh­men müs­sen ein geziel­tes Risi­ko­ma­nage­ment betrei­ben, um die Risi­ken zu mini­mie­ren und die ope­ra­ti­ve Sta­bi­li­tät und Sicher­heit zu gewährleiste