Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat für das Jahr 2026 eine Reihe von Risiken identifiziert, welche die Stabilität und Funktionsfähigkeit des Finanzsektors aufgrund der fortschreitenden Digitalisierung und verschiedener geopolitischer Umbrüche herausfordern können. Ungeachtet der bestehenden stabilen Ertragskraft vieler Finanzakteure wird eine vorausschauende und robuste Risikovorsorge unerlässlich.

Die BaFin hebt insbesondere Risiken durch mögliche Marktkorrekturen, Kreditausfälle im Firmen- und Gewerbeimmobilienbereich, zunehmende Cyber-Vorfälle sowie Schwachstellen im Bereich Geldwäscheprävention und Terrorismusfinanzierung hervor. Ein zentrales Risiko stellt dabei das steigende Konzentrationsrisiko bei der Auslagerung von IKT-Dienstleistungen dar.

Warum Finanzunternehmen verstärkt auf externe IKT-Dienstleister setzen

IKT-Drittdienstleister ermöglichen Finanzunternehmen die Implementierung einer flexiblen und skalierbaren IKT-Infrastruktur, unterstützen sie bei der effizienten Nutzung vorhandener Ressourcen und fördern Innovationen. Aufgrund dieser Vorteile haben sich IKT-Drittdienstleister fest in der Wertschöpfungskette etabliert. Dies zeigt sich insbesondere im zunehmenden Einsatz von Public-Cloud-Angeboten. Durch die vermehrte Nutzung eines zentralen IKT-Drittdienstleisters bzw. der Nutzung einiger weniger Mehrmandaten-Dienstleister kommt es zu Konzentrationen und kritischen Abhängigkeiten.

Wenn ein Ausfall zur Gefahr wird: systemische Risiken durch Abhängigkeiten

Solche kritischen Abhängigkeiten zeigen sich bereits bei lediglich vorübergehenden Ausfällen und Zugangsproblemen zu den IKT-Dienstleistungen. Sofern die IKT-Dienstleistung eine kritische oder wichtige Funktion unterstützt, kann bereits ein kurzzeitiger Ausfall dieser IKT-Dienstleistung weitreichende Konsequenzen für das Finanzunternehmen mit sich bringen. Der Begriff „Vendor-Lock-in“ beschreibt dabei das Problem, dass aufgrund mangelnder alternativer Ausweichmöglichkeiten ein Wechsel des IKT-Drittdienstleisters meist weder spontan noch mit Vorlauf möglich ist. Solche Ausfälle bei IKT-Drittdienstleistern stellen dabei keine Seltenheit dar, wie beispielsweise der CrowdStrike-Fall im Sommer 2024 und der Ausfall bei der Cloud-Plattform Azure von Microsoft im Oktober 2025 zeigen. Hinzu kommt, dass viele der zentralen IKT-Drittdienstleister außerhalb der EU ansässig sind, beispielsweise in den USA, Japan, Großbritannien oder Indien. Dies verschärft das Risiko geopolitisch bedingter Störungen und wirft grundlegende Fragen des Datenschutzes und der regulatorischen Anforderungen hinsichtlich der IKT-Sicherheit auf.

Regulatorische Reaktionen und Risikomanagement

Um dieser wachsenden Abhängigkeit des europäischen Finanzmarkts entgegenzuwirken, hat der europäische Gesetzgeber den Digital Operational Resilience Act (DORA) als spezifisches Überwachungsregime für die kritischen IKT-Drittdienstleister eingeführt. Dennoch obliegt es den Finanzunternehmen selbst, bereits vor Abschluss der entsprechenden Verträge mögliche Risiken aus der Abhängigkeit von IKT-Dienstleistungen zu identifizieren und zu beurteilen.

Fazit: Verantwortung bleibt bei den Finanzunternehmen

Ungeachtet der neuen Überwachungsmechanismen liegt die Verantwortung weiterhin bei den Finanzunternehmen selbst. Vor diesem Hintergrund reagieren Finanzunternehmen zunehmend mit strategischen Anpassungen. Beispiele hierfür sind die Rückführung ausgelagerter Aktivitäten (Insourcing) oder die Einführung von Multi-Vendor-Strategien, um auf diese Weise Abhängigkeiten zu reduzieren. DORA verlangt angesichts dieser Entwicklungen eine kontinuierliche Bewertung und Überwachung von IKT-Drittparteienrisiken über den gesamten Lebenszyklus einer IKT-Dienstleistung hinweg. DORA stärkt somit zwar den regulatorischen Rahmen, doch die praktische Umsetzung bleibt Aufgabe der Finanzunternehmen.