BlackAUT-Pionier FMA
Die österreichische Finanzmarktaufsicht (FMA) ist vorgeprescht und hat bereits zwei Empfehlungsrichtlinien für Blackout-Prävention und -Schadensbegrenzung herausgebracht.
Verursachte das Thema „Blackout“ im Kino oder bei der Lektüre einschlägiger Belletristik wohliges apokalyptisches Schauern, so hat die Unverfänglichkeit spätestens mit der Invasion der Ukraine durch russische Truppen und die Sorge um kontinentweise Versorgungsengpässe rund um Erdgas ein Ende gefunden. Kaum war das Thema aus den Schlagzeilen verschwunden, kam der 28. April 2025. Auf der Iberischen Halbinsel brach das Stromnetz zusammen, es gingen buchstäblich die Lichter aus. Bei Redaktionsschluss galten regional begrenzte Stromausfälle in Süden Spaniens als Initialpunkt eines kaskadenartigen Zusammenbruchs. Zwischenzeitlich gab es Spekulationen um Terror- oder Hackerangriffe.
Während an erster Stelle natürlich die Sorge um das physische Wohl der Bevölkerung und die Aufrechterhaltung lebensnotwendiger Infrastruktur stehen, darf in einem zweiten Schritt die Frage nach potenzielle Verwerfungen im Finanzmarkt gestellt werden. Hier gibt es drei mögliche Fragestellungen. Erstens: Sind börsennotierte Unternehmen gegen Blackout-Risiken gefeit? Zweitens: Sind es die Dienstleister – also Banken, Börsen oder Asset Manager? Und drittens: Gibt es entsprechende Regularien und Vorgaben?
Die ernüchternde Antwort auf die Fragen 1 und 2: Man weiß es nicht. Ein Regelwerk gibt es nur rudimentär. Dieses läuft auf die DORA-Verordnungen hinaus, die seit Beginn des Jahres greifen, den Spezialfall „Blackout“ aber nur indirekt umfassen. Interessant wäre in diesem Zusammenhang, wie die Finanzmarktaufsichtsbehörden bei dem Thema aufgestellt sind. Hinsichtlich der Thematik lässt sich von Seiten der Bafin ein kurz aufflackerndes Interesse bemerken, bei den sechs Hauptrisiken für 2025 (siehe QR-Code zu „Risiken im Fokus der BaFin 2025“ übernächste Seite) wird „Blackout“ jedoch nicht gesondert erwähnt – der bedeutungsnächste Begriff ist „Cybercrime“.
FMA als Vorreiterin
Bemerkenswerterweise hat im Kontrast dazu die österreichische Finanzmarktaufsicht (FMA) hat dieses Thema aktiv aufgegriffen und im Jahr 2022 ein Blackout Maturity Level Assessment für den österreichischen Pensionskassensektor durchgeführt. Die Initialzündung kam dabei von Stanislava Saria, Abteilungsleiterin für Querschnittsthemen und Informationsmanagement der Versicherungsaufsicht und der Pensionskassenaufsicht. „Mir ist keine andere Aufsichtsbehörde bekannt, die die Vorbereitung auf das Blackout-Szenario evaluiert hat“, meint die Expertin und führt aus: „Für mich war das einfach ein logischer Bestandteil unseres Cyber-Security-Toolkits, das wir in der Versicherungs- und Pensionskassenaufsicht seit 2018 aufgebaut haben, um die Widerstandsfähigkeit der Unternehmen gegenüber Cyberbedrohungen und Betriebsstörungen überprüfen zu können. Und es zeigte sich auch, dass uns auch der europäische Gesetzgeber später recht gegeben hat – und 2024 das Szenario von weitverbreiteten Stromausfällen in den Katalog von Szenarien aufgenommen hat, die Finanzunternehmen in ihren IKT-Reaktions- und Wiederherstellungsplänen berücksichtigen müssen.“ Hier spielt die FMA-Spezialistin auf die DORA an – dazu später mehr.
Im Großen und Ganzen lässt sich jedenfalls feststellen: Die Pensionskassen haben ihre Hausaufgaben gemacht. Drei Viertel der Institute nennen das Blackout-Szenario explizit in ihrer Business Continuity Policy im Bereich der Informations- und Kommunikationstechnologie (IKT). Die Hälfte der Häuser hat darüber hinaus dedizierte Notfallpläne für den Fall eines lang anhaltenden Stromausfalls ausgearbeitet – inklusive Schnittstellenregelungen zu externen IT-Dienstleistern und abgestuften Eskalationsszenarien. Besonders positiv hervorzuheben ist, dass in nahezu allen Unternehmen ein Notfallstab vorgesehen oder ableitbar ist. Hier handelt es sich um einen strukturellen Vorteil, wenn es um rasches Handeln unter Stressbedingungen geht. Und doch zeigt sich bei genauerem Hinsehen: Die Durchführung regelmäßiger Notfallübungen hinkt hinterher. Nur rund 40 Prozent der Pensionskassen testen ihre Blackout-Pläne in realistischer Form. Auch externe Stakeholder wie IT-Provider oder kritische Lieferanten sind bislang selten eingebunden.
Ein wichtiger Aspekt im Assessment betrifft die sogenannte Bewältigungsphase, also die Reaktion auf den Eintritt eines Blackouts. Die FMA stellt fest, dass knapp zwei Drittel der Kassen klare Auslösekriterien für den Ernstfall definiert haben. Auch die physische Verfügbarkeit von Notfallplänen – etwa in Papierform vor Ort – ist bei vielen gegeben. Immerhin: Drei Viertel der Institute haben ihre IKT-Infrastruktur so konzipiert, dass kritische Systeme ohne physische Schäden heruntergefahren oder im Notbetrieb weitergeführt werden können. Doch auch hier stößt man an Grenzen: Mehr als die Hälfte der Pensionskassen geht davon aus, im Blackout-Fall keinen laufenden Betrieb aufrechterhalten zu müssen.
Am deutlichsten wird der Handlungsbedarf im dritten Themenkomplex: beim Wiederanlaufen und bei der Wiederherstellung nach einem Stromausfall. Nur knapp 40?Prozent der Pensionskassen verfügen über strukturierte Pläne zur Wiederaufnahme des Geschäftsbetriebs.
Neben dem organisatorischen Assessment hat die FMA auch legistische Vorschläge formuliert. So sei etwa die Möglichkeit einer Fristerstreckung bei regulatorischen Meldeverpflichtungen gesetzlich nicht ausreichend geregelt. Auch Informationspflichten gegenüber Anwartschafts- und Leistungsberechtigten wären im Blackout-Fall nur eingeschränkt erfüllbar. Eine temporäre Aussetzung oder Nachholung dieser Pflichten könnte hier Klarheit schaffen. Die FMA regt daher an, gesetzliche Grundlagen zu schaffen, die eine automatische Fristunterbrechung in außergewöhnlichen Situationen ermöglichen.
Ausweitung des Assessments
Im Jahr 2023 hat die Finanzmarktaufsicht das Blackout Maturity Level Assessment auch auf den österreichischen Versicherungssektor ausgeweitet. Die Ergebnisse zeigen: Auch die Versicherungsunternehmen haben sich mit dem Thema strukturiert auseinandergesetzt – und zwar im Durchschnitt sogar etwas umfassender als die Pensionskassen im Jahr davor. Der höchste Reifegrad wurde im Bereich Bewältigung & Reaktion erreicht, dicht gefolgt von Vorbereitung. Am schwächsten schnitten – wenig überraschend, da neu im Fragebogen – die Aspekte des Kundenumgangs ab.
Erhöhtes Risikobewusstsein
Im direkten Vergleich mit dem Pensionskassensektor 2022 liegen die Reifegrade der Versicherer in den Kernbereichen durchweg leicht höher. Dies ist unter anderem auf die erhöhte Aufmerksamkeit nach den politischen Energieunsicherheiten und auf eine intensivere Branchenkommunikation zurückzuführen. Gleichzeitig fällt auf: Bei den Notfallplantests ist der Rückstand noch größer als im Pensionskassensektor. Hier testet nur etwa ein Fünftel der Unternehmen regelmäßig. Bei der Frage nach dem Wiederanlaufen des Geschäftsbetriebs nach einem Stromausfall zeigt sich ein ähnliches Muster: Pläne existieren vielerorts, aber die operative Detaillierung, etwa zur Priorisierung von Prozessen oder zum Umgang mit Lieferkettenausfällen, ist oft noch unzureichend ausgearbeitet.
Besonderes Augenmerk verdient der neue Bereich Business Conduct: Nur zehn Prozent der Unternehmen haben bislang erarbeitet, wie sie ihre Kundinnen und Kunden im Vorfeld eines Blackout über betriebliche Abläufe informieren wollen. Auch die Frage nach Leistungsansprüchen bei verzögerten Schadenmeldungen oder Prämienverzug wurde nur vereinzelt behandelt. Immerhin: Rund die Hälfte der Versicherer wissen, welche Leistungen direkt nach einem Blackout priorisiert werden sollten.
In DORA eingeflossen
Während die beiden Blackout-Assessments der FMA die organisatorische Resilienz in Extremsituationen testeten, schafft DORA (Digital Operational Resilience Act) den verbindlichen Ordnungsrahmen, in dem diese Vorsorge dauerhaft zu verankern ist. Ab dem 17. Januar 2025 gilt die Verordnung EU-weit unmittelbar – auch für Versicherungen und Pensionskassen.
Was bislang über Notfallpläne, Wiederanlaufstrategien oder Risikoanalysen geregelt war, wird durch DORA systematisch vertieft und verpflichtend: Blackout-Szenarien, wie sie die FMA in den letzten Jahren konkret abgefragt hat, entsprechen exakt jenem Risikotyp, auf den DORA reagiert. Ob Stromausfall, Telekommunikationskollaps oder der Ausfall von IKT-Drittanbietern – DORA schreibt vor, dass solche systemischen Vorfälle vorab durch angemessene Risikoanalysen identifiziert, durch strukturierte Schutz- und Präventionsmaßnahmen abgefedert, regelmäßige Tests validiert und im Ernstfall durch Notfallpläne operativ bewältigt werden müssen. Besondere Betonung liegt dabei auf der Rolle des Leitungsorgans. Dieses trägt künftig nicht nur Verantwortung für eine formale IKT-Risiko-Policy, sondern muss beispielsweise auch die Wiederherstellungspläne explizit genehmigen und deren Tests freigeben. Krisenkommunikationsstrategien sind ebenso verpflichtend wie eine strukturierte Auseinandersetzung mit IKT-Dienstleistern und deren operativen Auslagerungen. Hierbei handelt es sich um einen Punkt, der in den Blackout-Assessments mehrfach als Schwachstelle identifiziert wurde.
Auch konkretisiert DORA technische Anforderungen, die den Übergang von theoretischer Notfallplanung zur operativen Belastbarkeit markieren: Datenverschlüsselung, automatisierte Schwachstellenscans, Quellcodeprüfungen, Tests der physischen Sicherheit oder Hacking-Risiken.
FMA-Schlussfolgerungen
In der finalen Analyse stellt Saria fest, dass „für Asset Manager und institutionelle Investoren es nicht ausreicht, bloß das Business Continuity Management im Blick zu haben. Vielmehr müssen sie sich auch die Frage stellen, wie stark die Emittenten, die sie in ihrem Portfolio halten, etwa im Hinblick auf die Folgen von Produktionsausfällen oder Lieferkettenunterbrechungen für einen Blackout anfällig sind. Das gehört zur initialen sowie zur Ongoing Due Diligence.“
Zwar habe man gesehen, dass Versicherungen sich schon verstärkt mit entsprechenden Maßnahmen auseinandergesetzt hätten, „ausbaufähig war aber noch die Evaluierung der rechtlichen Implikationen im Bereich Business Conduct. Dazu gehört: Wurde für Blackout-Schäden Deckung übernommen? Werden Leistungen (während eines Blackout) erbracht? Wie werden Leistungen unmittelbar nach einem Blackout priorisiert? Wie wird mit einem Prämienverzug infolge eines Blackouts oder mit einer verzögerten Meldung des Schadens beziehungsweise Versicherungsfalls infolge eines Blackout umgegangen? Werden Kundinnen und Kunden im Vorfeld eines Blackouts über den Geschäftsbetrieb während oder unmittelbar nach einem Blackout informiert?“
Saria hat jedenfalls vor, die „FMA-Blackout-Exercise nach den Pensionskassen und Versicherungsunternehmen auch auf weitere Finanzdienstleister auszurollen: Es ist schließlich nicht nur die finanzielle, sondern auch die operationale Resilienz des Finanzsektors, die immer mehr in den Fokus der Aufsicht rückt“, so die FMA-Expertin.
Hans Weitmayr