FSB erhöht Druck: Banken müssen Cyberangriffe offenlegen

Die globale Finanzbranche steht am Scheideweg: Während Regulatoren mit Nachdruck mehr Transparenz bei Cyberangriffen fordern, zögern Banken und Versicherer weiterhin, Vorfälle vollständig offenzulegen. Die Angst vor Reputationsschäden und rechtlichen Konsequenzen wiegt offenbar schwerer als regulatorische Vorgaben – doch die Zeit des Schweigens läuft ab.

Der Financial Stability Board (FSB) verschärfte diese Woche den Ton gegenüber den G20-Staaten erheblich. In einem am 20. November veröffentlichten Schreiben mahnte FSB-Chef Andrew Bailey die “dringende Notwendigkeit” an, globale Standards gegen steigende Cyberrisiken konsequenter umzusetzen. Einen Tag später folgte eine gezielte Überprüfung der Niederlande, die das europäische Finanzzentrum zu schärferen Meldepflichten auffordert.

Der Konflikt spitzt sich zu: Regulatoren verlangen Echtzeitdaten, um systemische Ansteckungen zu verhindern. Finanzinstitute sehen in vollständiger Offenlegung hingegen ein existenzielles Risiko.

82 Prozent der befragten Finanzorganisationen gaben an, im vergangenen Jahr Opfer von Datenlecks oder Hackerangriffen geworden zu sein — und neue Regeln wie DORA und die verschärften FSB-Empfehlungen erhöhen jetzt den Druck auf Banken. Das kostenlose E‑Book “Cyber Security Awareness Trends” fasst praxisnah zusammen, welche Maßnahmen sofort wirken, wie Sie Meldeprozesse strukturieren und Haftungsrisiken minimieren — ohne Rekrutierungsaufwand. Jetzt kostenlosen Cyber-Security-Report herunterladen

Der FSB markiert mit seinen jüngsten Stellungnahmen einen Wendepunkt. Die am 21. November veröffentlichte Länderprüfung fordert die niederländischen Behörden explizit auf, “steigende Risiken durch Cyberangriffe und operative Vorfälle” entschlossener anzugehen. Trotz erzielter Fortschritte bleibe die Lücke zwischen Anspruch und Wirklichkeit zu groß.

“Die Vernetzung des globalen Finanzsystems bedeutet, dass ein verschwiegener Ausfall in einem Land rasch über Grenzen hinweg eskalieren kann”, heißt es in den FSB-Dokumenten. Die Botschaft ist unmissverständlich: Die Ära freiwilliger oder halbherziger Compliance geht zu Ende. Der Fokus verlagert sich von der Standardsetzung zur rigorosen Durchsetzung.

Diese Offensive kommt zu einem kritischen Zeitpunkt. Seit Januar 2025 gilt in der EU der Digital Operational Resilience Act (DORA) in vollem Umfang. Das Gesetz schreibt strikte Meldefristen vor – doch die Umsetzung stockt, weil Banken operativen Aufwand gegen regulatorische Anforderungen abwägen.

Die verschwiegene Krise

Die Zahlen sprechen eine klare Sprache: 82 Prozent der befragten Finanzorganisationen gaben in einer Anfang November veröffentlichten Studie des Datensicherheitsunternehmens Blancco zu, im vergangenen Jahr Opfer von Datenlecks oder Hackerangriffen geworden zu sein. Offizielle Meldungen? Deutlich seltener.

Was hält Institute vom Melden ab?

• Vertrauensverlust: Banken fürchten Kundenabwanderung nach öffentlichen Eingeständnissen
• Börsenreaktionen: Aktienkurse börsennotierter Institute brechen regelmäßig nach Breach-Bekanntgaben ein
• Klagewellen: Die Offenlegung löst häufig Sammelklagen und zusätzliche Bußgelder aus

“Finanzinstitute stecken in der Zwickmühle”, erklärt ein Branchenkenner. “Man verlangt schnellere Transparenz, doch der Markt bestraft genau das. Solange es keinen Schutzraum für den Austausch von Bedrohungsinformationen gibt, bleibt Schweigen die sicherere Option.”

Industrie wehrt sich gegen Regulierungsflut

Die Finanzbranche kämpft zurück. Branchenverbände argumentieren durchgängig, dass überstürzte Meldepflichten die Abwehr von Angriffen behindern – Ressourcen fließen in Papierkram statt in Schadensbegrenzung.

Diese Spannung dokumentiert ein am 14. November erschienener EZB-Bericht zur Bankenaufsicht. Obwohl sich die gemeldeten Cybervorfälle zwischen 2022 und 2024 mehr als verdoppelt hätten, räumt die Europäische Zentralbank ein, dass “die Regulierung an Umfang zunimmt” und Bereiche “ungerechtfertigter Komplexität” identifiziert werden müssten.

In den USA eskalierte der Konflikt bereits früher: Der amerikanische Bankenverband reichte formal Beschwerde gegen die scharfen SEC-Melderegeln ein. Die Begründung? Sie widersprächen vertraulichen Meldepflichten zum Schutz kritischer Infrastruktur.

2026: Das Jahr der Wahrheit?

Die Konfrontation wird sich verschärfen. Das FSB-Schreiben an die G20 vom 20. November deutet an, dass “konsequente Umsetzung” vereinbarter Reformen oberste Priorität haben wird. Nationale Aufsichtsbehörden dürften bald von Ermutigung zu Durchsetzung mit empfindlichen Strafen übergehen.

Marktbeobachter erwarten die nächste Regulierungswelle beim Lieferantenrisiko. Da viele jüngere Angriffe über Drittanbieter und Softwarehersteller erfolgten, werden Banken künftig wohl für die Cybersicherheit ihrer gesamten Lieferkette haften müssen.

Die FSB-Botschaft könnte klarer nicht sein: Schweigen ist keine Sicherheitsstrategie mehr. Je ausgefeilter und systemischer Cyberbedrohungen werden, desto schneller schwindet die Fähigkeit der Finanzbranche, ihre Verwundbarkeit zu verbergen. Bleibt die Frage: Wann kippt das Kalkül endgültig zugunsten der Transparenz?

PS: Angesichts strenger Meldepflichten und steigender Lieferkettenrisiken suchen viele Institute nach pragmatischen Schutzmaßnahmen und klaren Umsetzungs-Schritten. Der Gratis-Report “Cyber Security Awareness Trends” beschreibt konkrete Maßnahmen für Mittelstand und Großbanken, erklärt relevante Gesetzesänderungen und zeigt, wie Sie Meldeprozesse rechtssicher aufbauen. Holen Sie sich praxisnahe Checklisten und Handlungsanweisungen. Jetzt Gratis-Report und Checklisten anfordern