Rechtsanwalt & Fachanwalt für gewerblichen Rechtsschutz
T (+49) 040 / 7344 086-0
Rechtsanwalt & Spezialist für Kryptorecht & KI-Recht, Zertifizierter Geldwäschebeauftragter (TÜV)
T (+49) 040 / 7344 086-0
Blog News
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat für das Jahr 2025 Risikobereiche genannt, auf die sie sich fokussieren wird. Dabei geht es um Problemfelder für Unternehmen, welche sie aus Erfahrung und Zukunftsprognose als wichtig erachtet. Dabei ist SBS Legal besonders vorbereitet auf die Themen Cyber-Vorfälle mit gravierenden Auswirkungen, Geldwäscheprävention und Konzentrationen bei der Auslagerung von IT-Dienstleistungen.
Die BaFin sieht den Finanzmarkt im Jahr 2024 als insgesamt stabil an. Allerdings habe die Konjunktur geschwächelt und geopolitische Konflikte hätten zugenommen. Dabei zeigen sie sich besorgt, dass 2025 ein hoch herausforderndes Jahr werden könnte.
Die Zahl staatlich initiierter Cyber-Angriffe auf Unternehmen der kritischen Infrastruktur nehme zu, was eben auch die Finanzindustrie betrifft. Da Unternehmen solche Infrastruktur vermehrt auslagern, entstünden gefährliche Konzentrationen und Abhängigkeiten.
Als übergeordnete Trends ordnet die BaFin „Digitalisierung“, „geopolitische Umbrüche“ und „Nachhaltigkeit“ ein. Ihr Risiko-Ausblick fokussiert sich dabei mehr auf konkrete Felder. SBS Legal als moderne Kanzlei behält solche Entwicklungen stets im Blick.
Die Digitalisierung schreitet stetig vor, und so verlagern sich etwaige geopolitische Konflikte zunehmend auf diese Ebene. Ein stetiger Anstieg solcher Fälle wird verzeichnet, wobei in den letzten 20 Jahren jeder fünfte davon den Finanzsektor betraf. Unser Gründungspartner André Schenk und der IT-Sicherheitsexperte Tilo Noack unserer Tochtergesellschaft SBS Data Protect sind auf solche Fälle vorbereitet.
Die BaFin definiert einen Cyber-Vorfall als einen versehentlich oder böswillig herbeigeführter Vorfall, der sich negativ auf die Vertraulichkeit von Daten und die Verfügbarkeit von IT-Systemen oder Netzwerken auswirken kann oder Sicherheitsrichtlinien, Sicherheitsprozesse oder Nutzungsbedingungen verletzt.
Unternehmen im Finanzsektor stellen dabei beliebte Ziele dar, da die Auswirkungen potenziell effektiv für unser Wirtschaftssystem sind. In diesem Zusammenhang ist auch die Auslagerung von wichtigen Bereichen an externe kritische (IT-) Dienstleister besonders wichtig. Sie bilden durch solche Auslagerungen ebenfalls attraktive Angriffsziele und müssen demnach gleichstark geschützt werden.
Die rasante Entwicklung generativer KI-Systeme wirkt wie ein Brandbeschleuniger in diesem Risikofeld. Sie schafft neue Risiken, wenn Unternehmen im Finanzsektor verschiedene KI-Modelle nutzen. Gleichzeitig ermöglicht sie es aber auch den Angreifern, schnell neue und effektive Taktiken zu entwickeln. So können betrügerische Phishing-Nachrichten durch KI deutlich umfangreicher und überzeugender gestaltet werden.
Die BaFin nennt als unterschätztes Risiko den Einsatz von Quanten-Computing. Dabei handelt es sich um Computer-Systeme, welche grundlegend anders funktionieren als unsere klassischen Computer. So können Daten reihenweise gestohlen und im Nachhinein von einem Quanten-Prozessor entschlüsselt werden.
Auch ereignen sich am häufigsten noch sog. Distributed-Denial-of-Service-Angriffe (DDoS-Angriffe). Dabei wird ein System mit einer Flut an Anfragen überlastet, um es lahmzulegen und von dem eigentlichen Angriff abzulenken. Besonders im Finanzsektor sind auch sog. Ransomware-Angriffe gefährlich, bei denen die Daten auf einem IT -System verschlüsselt und eine Entschlüsselung erst gegen Zahlung eines Lösegeldes ( engl. Ransom) in Aussicht gestellt werden.
Klassische Angriffsmethoden wie Phishing und Social Engineering bleiben auch aktuell noch gängig. Sie schaffen es leider immer noch, in Einzelfällen eine Vielzahl an Daten zu stehlen. Neuerdings werden dabei QR-Codes auf gefälschten Briefen genutzt, um über die Links Zugriff auf entsprechende Konten zu erhalten. Leider wird der Großteil der Risikofälle durch operationelle Fehler der Finanzunternehmen selbst ausgelöst, beispielsweise durch fehlerhafte Updates.
Als weiteres Risiko nennt die BaFin unzureichende Geldwäsche-Prävention. SBS Legal hatte schon 2023 zum Thema Crypto-Crime berichtet, welches sich auch aus dem Zusammenspiel von Blockchain und Geldwäsche ergab. Mit diesen Themen beschäftigt sich unser Spezialist für IT-Recht und Kryptorecht sowie zertifizierter Geldwäschebeauftragter Finn Niklas Nitz. Die BaFin beaufsichtigt über 9.400 Aufsichtsobjekte, welche verpflichtet sind, Maßnahmen zur Prävention von Geldwäsche zu ergreifen und angemessen und wirksam gegen Geldwäsche vorzugehen.
Als besonderen Risikobereich sieht die BaFin die Terrorismusfinanzierung. Zahlreiche Unternehmen würden dieses Risiko noch nicht ausreichend berücksichtigen. Dies ist auch nicht ganz einfach, da die Gelder häufig aus legalen Quellen kommen und dann in kriminelle Netzwerke fließen. Aufgrund der aktuellen geopolitischen Lage sieht sie dieses Risiko jedoch als weiterhin erheblich an.
Auch technologische Innovationen schaffen hier neue Gefahren. Wie SBS Legal schon aufgegriffen hatte, zählen dazu vor allem Kryptowerte. Viele traditionelle Institute weltweit tun sich schwer damit, hier auf dem neuesten Stand zu bleiben. Auch wenn die Blockchain theoretisch gut einsehbar ist, können Gelder durch die Umwandlung in verschiedene Kryptowährungen schwerer verfolgt werden. Schließlich warnt die BaFin hier noch vor der virtuellen IBAN (vIBAN). Sie macht Transaktionen ebenfalls schwerer nachvollziehbar und anfälliger für Manipulation.
Auch dieses Thema hatte SBS Legal 2023 bei Erlass der DORA-Verordnung vorbereitet. Kern der Verordnung ist das sog. IKT-Risikomanagement, welches auch das Drittparteienrisiko eingearbeitet hat. Zahlreiche Finanzunternehmen lagern ihre Cyber-Sicherheit an Drittparteien aus, was neue Risiken schafft.
Die BaFin warnt hier besonders vor der starken Konzentration auf wenige Dienstleister. Ein erfolgreicher Cyber-Angriff auf eine solche Schnittstelle könnte verheerende Auswirkungen haben. Bei solch einem Ausfall können die Unternehmen die Dienstleistungen dann nicht mehr in Anspruch nehmen – auch ein Ersatz durch einen anderen Dienstleister ist aufgrund der starken Spezialisierung häufig nicht möglich.
So soll jede zweite Auslagerung nicht wiedereingliederbar sein, was der BaFin Sorgen bereitet. Auch die aktuelle geopolitische Lage spielt hier wieder eine Rolle. Viele der Dienstleister sind außerhalb der EU tätig. Sie können daher von Sanktionen und ähnlichen Maßnahmen betroffen sein. Zwar sind sich die Unternehmen dieser Risiken zunehmend bewusst – sie bleiben aber bestehen. SBS Legal verfolgt diese Lage über André Schenk und Thilo Noack weiterhin, um professionelle Unterstützung zu gewährleisten.
IT-Recht steht für Informationstechnologierecht: Es handelt sich dabei um eine vielfältige Rechtsmaterie, die sich im stetigen Wandel befindet und untrennbar mit dem technischen Fortschritt der digitalen Welt verbunden ist. Neuste technische Entwicklungen müssen mit den bestehenden Gesetzen in Einklang gebracht werden. Cloud-Computing, Industrie 4.0, Big Data, Social-Media und Datenschutz sind nur einige der Themen, die das IT-Recht hervorbringt.
Da Informationstechnologie heutzutage in nahezu jedem Bereich unseres Lebens steckt, ist auch das IT-Recht sehr facettenreich. Eine klare Grenze lässt sich für dieses Rechtsgebiet nicht ziehen. Von Vertragsgestaltung zwischen App-Herstellern und Kunden, AGB-Prüfungen von Softwareanbietern oder auch Cyberangriffen kann alles dabei sein. Die fortschreitende Digitalisierung bringt immer neue Rechtsfragen in diesem Bereich hervor.
Sie brauchen eine Beratung für eine informationstechnische Fragestellung, bspw. zu der Frage, was die BaFin-Risiken 2025 sind? Dann sind Sie bei uns richtig. SBS Legal ist vorbereitet.