Alarmstufe Rot bei Cyberangriffen – Wann Finanzdienstleister wirklich melden müssen. Digitale Angriffe sind längst keine Ausnahme mehr – doch viele Finanzunternehmen zögern mit der Meldung. Die BaFin zieht nun die Zügel an: Welche Pflichten gelten und was droht bei Verstößen?
Die Finanzwelt digitalisiert sich in rasantem Tempo – und mit ihr die Angriffsflächen. Ob Cyberattacke, Systemausfall oder Datendiebstahl: Störungen der Informations- und Kommunikationstechnologie (IKT) sind nicht mehr hypothetische Risiken, sondern tägliche Realität. Laut einer aktuellen Erhebung der Europäischen Zentralbank meldeten europäische Banken im Jahr 2023 über 2.400 sicherheitsrelevante IKT-Vorfälle – ein Anstieg von fast 40 Prozent gegenüber dem Vorjahr.
Auch in Deutschland schlagen die Aufseher Alarm. Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) verschärft ihre Anforderungen: Wer heute ein Finanzinstitut führt, muss nicht nur über Firewalls und Backups nachdenken, sondern vor allem über Meldepflichten. Denn wer gravierende IT-Störungen zu spät oder gar nicht anzeigt, riskiert empfindliche Sanktionen – bis hin zur persönlichen Haftung der Geschäftsleitung.
Doch was genau ist meldepflichtig? Wer entscheidet über die Schwere eines IKT-Vorfalls? Und wie greifen nationale Regeln mit europäischen Vorgaben wie DORA (Digital Operational Resilience Act) ineinander?
Dr. Thomas Schulte, erfahrener Rechtsanwalt, zu Hause im Finanz- und Kapitalmarktrecht in Berlin, beobachtet die Entwicklung mit kritischem Blick: „Die BaFin macht deutlich, dass IKT-Sicherheit nicht nur technische, sondern auch rechtliche Verantwortung bedeutet. Viele Unternehmen unterschätzen die juristischen Folgen mangelhafter Incident-Response-Prozesse.“
Vor diesem Hintergrund stellt sich für viele Akteure eine zentrale Frage: Wie lässt sich digitale Resilienz rechtssicher gestalten – und was passiert, wenn die Technik versagt, aber niemand informiert?
In einer Welt, in der Sekunden zählen und Daten Milliarden wert sein können, wird das Versäumnis einer IKT-Meldung schnell zum Aufsichtsverstoß. Die Einhaltung regulatorischer Meldepflichten ist deshalb keine Kür mehr – sondern zwingende Pflicht für jede seriöse Marktteilnehmerin im Finanzsektor.
Regulatorischer Hintergrund und gesetzliche Pflichten
Im Zentrum steht die ordnungsgemäße Meldung sogenannter IKT-Vorfälle. Ein IKT-Vorfall ist laut Definition der Europäischen Bankaufsichtsbehörde (EBA) ein Ereignis, das die Informationssysteme, Netzwerke, Anwendungen oder Daten eines Unternehmens beeinträchtigt und Sicherheits-, Vertraulichkeits- oder Betriebsrisiken auslöst.
Dr. Schulte betont: „Gemäß § 54b Kreditwesengesetz (KWG) und den auf dessen Grundlage erlassenen Verwaltungsvorschriften der BaFin sind Unternehmen verpflichtet, erhebliche IKT-Vorfälle unverzüglich zu melden.“
Die Meldung dieser Vorfälle erfolgt grundsätzlich über das MVP-Portal (Melde- und Veröffentlichungsplattform) der BaFin. Sollte dieses Portal jedoch nicht zur Verfügung stehen, sieht die Aufsichtsnorm eine alternative Vorgehensweise vor.
Beschreibung der Meldealternativen
In jenen Ausnahmefällen, in denen das MVP-Portal im Zeitpunkt des Vorfalls nicht erreichbar ist, dürfen Unternehmen auf alternative Kommunikationsmittel zurückgreifen. In dem zuvor zitierten Blog wird ausdrücklich darauf hingewiesen, dass die Meldung vorübergehend per E-Mail an IKT-Vorfall@bafin.de gesendet werden kann.
„Diese Ausnahme ist kein Freifahrtschein für unsichere Kommunikation“, mahnt Dr. Schulte und ergänzt: „Die verwendete E-Mail-Kommunikation muss gesichert sein – etwa durch Verschlüsselung oder Signatur. Sensible Informationen wie etwa Daten von Kunden oder technische Details zum Angriffsszenario dürfen keinesfalls ungeschützt übermittelt werden.“
Verfügt das betroffene Unternehmen über keinerlei Zugriff auf seine E-Mail-Infrastruktur – etwa in Folge eines großflächigen Ransomware-Angriffs – ist ausnahmsweise auch eine telefonische Erstmeldung zulässig. Hierfür hat die BaFin die Nummer +49 228 4108 4999 eingerichtet.
Doch auch in diesen Fällen gilt der Grundsatz: Die formgerechte elektronische Meldung über das MVP ist „sobald wie möglich“ nachzureichen. Diese Regelung unterstreicht die Bedeutung eines funktionierenden Notfallkonzepts in den einzelnen Unternehmen.
Meldung als Teil des Compliance-Managements
Die Pflicht zur Meldung von IKT-Vorfällen ist keine isolierte Norm, sondern Bestandteil des übergeordneten Compliance-Systems eines regulierten Finanzunternehmens. Der Gesetzgeber verlangt, dass Unternehmen geeignete organisatorische Vorkehrungen treffen, um Risiken zu erkennen, zu analysieren, zu bewerten und zu melden.
Rechtsanwalt Dr. Schulte erläutert: „Eine ordnungsgemäße Meldepraxis im Bereich der IKT-Infrastruktur ist nicht nur Ausdruck technischer Reife, sondern auch juristisch zwingend. Wer dies vernachlässigt, riskiert empfindliche Sanktionen – bis hin zum Entzug der Betriebserlaubnis.“
Dies gelte insbesondere im Lichte des § 25a KWG, der die Anforderungen an eine ordnungsgemäße Geschäftsorganisation regelt. Dieser Paragraph ist ein zentrales Element der Aufsichtspraxis und verpflichtet Institute ausdrücklich zur Implementierung angemessener Vorkehrungen zur Steuerung ihrer Risiken – einschließlich IKT-Risiken.
Die Rolle der BaFin im digitalen Zeitalter
Dr. Schulte wendet sich an Finanzunternehmen mit dem Hinweis, dass die Rolle der Bundesanstalt für Finanzdienstleistungsaufsicht längst über die klassische Banken- und Versicherungsaufsicht hinausgehe. Die Digitalisierung der Finanzwelt zwingt die Aufsicht zu einer aktiven Rolle bei der Überwachung technischer Infrastrukturen und IT-Sicherheitskonzepte.
„Der Gesetzgeber hat erkannt, dass Cybersicherheit Teil der Finanzstabilität ist. Ein ungeplanter Systemausfall oder ein gravierender IT-Sicherheitsvorfall kann destabilisierend auf das gesamte Finanzsystem wirken“, so Dr. Schulte.
Daher ist die Zusammenarbeit zwischen Aufsicht und beaufsichtigten Unternehmen bei der Meldung von Vorfällen keine lästige Pflicht, sondern ein gelebtes Element krisenfester Marktregulierung.
Technische Sicherheiten sind kein Schutz vor juristischer Verantwortung
Dr. Schulte weist im weiteren Verlauf darauf hin, dass selbst die beste technische Infrastruktur nicht vor der juristischen Pflicht entbindet, IKT-Vorfälle zu melden. Es handelt sich nicht um eine Gefälligkeit gegenüber der Behörde, sondern um eine gesetzlich verankerte Pflicht, deren Verletzung auch zu bußgeldbewährten Maßnahmen führen kann.
„Ich habe es in der Praxis immer wieder erlebt, dass Unternehmen sich auf ihre internen IT-Abteilungen verlassen und das juristische Meldewesen hintenanstellen. Das ist ein gefährlicher Fehler“, warnt Dr. Schulte. „Das Gesetz kennt keine Ausrede – wer nicht meldet, handelt ordnungswidrig.“
Praktische Hinweise für Unternehmen
Aus Sicht des erfahrenen Juristen ist es unabdingbar, dass Unternehmen ihren Meldeprozess in Notfallszenarien vorher festlegen – etwa durch Notfallhandbücher, interne Richtlinien oder Awareness-Schulungen.
„Ein Unternehmen sollte exakt wissen, wer im Krisenfall verantwortlich ist, ob eine Kontaktliste mit den relevanten Behörden existiert, ob aktuelle Berichtsformulare in einer offline zugänglichen Speicherstruktur abrufbar sind. All dies gehört zur juristischen Compliance.“
Das genannte Excel-Template, welches über das MVP verfügbar ist, ist standardisiert und dient einer schnelleren Einordnung des Vorfalls durch die Behörde. Besonders kritisch sei hierbei, so Dr. Schulte, eine vollumfängliche und gleichzeitig zuverlässige Angabe der betroffenen Systeme, Zeitpunkte, möglichen Ursachen sowie der ergriffenen Sofortmaßnahmen.
Notwehr gegen Cyberangriffe ist juristisch fragil
Im Zuge der Zunahme krimineller Cyberangriffe beschäftigen sich Mandanten häufig mit Gegenmaßnahmen gegen Angriffe auf ihre Infrastruktur. Dr. Schulte stellt klar: „Das digitale Hausrecht endet dort, wo eigene Maßnahmen gegen Dritte ausgeführt werden. Eine digitale ‚Gegenschlag‘ ist juristisch hochriskant und in der Regel nicht erlaubt.“
Stattdessen rät der Anwalt zur unverzüglichen Information von Behörden und optimal abgestimmten Incident-Response-Plänen. Unternehmen sollten sich auch klarmachen, dass eine mangelhafte Reaktionsgeschwindigkeit negative Auswirkungen auf Versicherungsverhältnisse, Haftungsfragen und öffentliche Reputation haben kann.
Vorausschauendes Handeln als Zukunftsstrategie
Die zentralen Lehren aus den regulatorischen Rahmenbedingungen lassen sich auf zwei Prinzipien herunterbrechen: Reaktionsfähigkeit und Pflichtbewusstsein. Unternehmen müssen technisch vorbereitet und juristisch geschult sein, um auf IT-Sicherheitsvorfälle rechtskonform reagieren zu können.
„Die Praxis zeigt, dass jene Unternehmen die Angriffe mit den wenigsten Schäden überstehen, die bereits in Friedenszeiten klare Prozesse etabliert haben. Die Pflicht zur Meldung ist dabei nicht nur Werkzeug der Transparenz, sondern auch Teil einer funktionierenden Selbstregulierung“, Dr. Thomas Schulte.
Fazit: Zwischen Regulierung und Resilienz – Recht als Schutzschild in der digitalen Finanzwelt
Die rechtliche Landschaft rund um IT-Sicherheit und digitale Kommunikation ist in Bewegung – und das mit wachsender Geschwindigkeit. Die kommenden Jahre werden durch europäische Regelwerke wie die DORA-Verordnung (Digital Operational Resilience Act) geprägt sein, die nicht nur bestehende Meldepflichten konkretisieren, sondern das Fundament für eine belastbare, europaweit einheitliche Resilienzarchitektur im Finanzsektor legen.
Dabei steht viel auf dem Spiel: Für Unternehmen geht es um mehr als nur regulatorische Compliance – es geht um ihre wirtschaftliche Existenz. Für Verbraucher geht es um das Vertrauen, dass ihre Daten, ihr Kapital und ihre Identität auch in Krisensituationen geschützt sind.
Die Zukunft des Finanzwesens wird digital – aber sie muss auch rechtlich tragfähig sein.
Denn Recht ist kein Hindernis für Innovation – sondern ihr Rahmen. Wer frühzeitig juristisch durchdachte IKT-Sicherheitsprozesse etabliert, schafft nicht nur Schutz gegen Angriffe, sondern auch Sicherheit für Kunden, Investoren und den eigenen Ruf.
„Juristische Beratung im Hinblick auf IT-Sicherheit ist kein Luxus mehr, sondern Pflicht – insbesondere in einer Branche, die auf Vertrauen, Verfügbarkeit und Integrität basiert.“
In diesem Sinne ist die Rechtsentwicklung nicht nur eine Reaktion auf Bedrohungen – sie ist eine Einladung zur Stärkung. Eine Einladung, aus Compliance ein strategisches Instrument zu machen. Eine Einladung, den digitalen Wandel mit Verantwortung zu gestalten. Und eine Einladung, Vertrauen nicht nur zu erwarten – sondern aktiv zu verdienen.
