Cyber-Resilienz 2026: Der IWF-Blueprint für strategisches Risikomanagement

Die neue Benchmark für Cyber-Governance

Verantwortung auf Vorstandsebene

• Der Vorstand trägt die Gesamtverantwortung für IKT- und Cyber-Risiken

Klare Strukturen und Prozesse

• Governance bedeutet nicht nur Richtlinien, sondern gelebte Praxis

Proaktive Risikominderung

• Cyber-Governance muss dynamisch sein

Das Problem: Die Illusion der Sicherheit in einer vernetzten Welt

Die digitale Transformation bringt enorme Chancen – aber auch wachsende Risiken.Cyberangriffe sind nicht nur häufiger, sondern auch teurer geworden: Seit 2020 haben sich die Vorfälle nahezu verdoppelt, die Verluste stiegen um mehr als 25%. Besonders betroffen: Banken, Versicherer und Asset Manager. Die direkten Schäden im Finanzsektor beliefen sich allein zwischen 2020 und 2023 auf 2,5Mrd.US-Dollar – die indirekten Kosten sind um ein Vielfaches höher.

Der aktuelle IWF-Report "Good Practices in Cyber Risk Regulation and Supervision"

Ein isolierter Schutzansatz ist in einem hochgradig vernetzten Ökosystem wirkungslos. Der aktuelle IWF-Report zur Cyber-Resilienz liefert wertvolle Good Practices, die weit über den Finanzsektor hinaus relevant sind. Auch wenn der Fokus auf internationalen Finanzinstitutionen liegt, lassen sich die darin enthaltenen Strategien und Empfehlungen problemlos verallgemeinern und so auch für Unternehmen außerhalb des Finanzsektors Geltung finden.

Die Kernaussage: Cyber-Risiken sind branchenübergreifend – und die vorgestellten Ansätze für strategisches Risikomanagement können Unternehmen jeder Größe helfen, ihre Widerstandsfähigkeit zu stärken. Von robusten Governance-Strukturen bis hin zu klaren Incident-Response-Plänen: Diese Prinzipien sind universell.

Warum dieser Report Ihre Strategie verändern wird

Dieser Blogpost dekonstruiert die neuesten Leitlinien des Internationalen Währungsfonds („IWF“).Während technische Handbücher oft im Detail versinken, bietet der IWF eine makro-strategische Perspektive, die finanzielle Stabilität mit technologischer Integrität verknüpft.

Wir stellen Ihnen die acht zentralen Handlungsfelder vor, die der IWF in seinem Blueprint für wirksames Cyber-Risikomanagement definiert. Diese Themen spiegeln sich auch in der EU-Verordnung „Digital Operational Resilience Act“ (DORA) wider. Die Umsetzung dieser Maßnahmen schafft eine belastbare Grundlage für den Schutz Ihrer IT-Systeme. Sie gelten nicht nur für regulierte Finanzunternehmen, sondern sind branchenübergreifend als „Good Practice“ zur Stärkung der digitalen Resilienz empfehlenswert.

Zentrale Handlungsfelder nach dem IWF-Blueprint

1. Governance und interne Kontrollen

• Der Vorstand muss Erfahrung in IKT- und Cyberrisiken haben, Risikotoleranzen festlegen, Strategien genehmigen und sicherstellen, dass Ressourcen und interne Kontrollen vorhanden sind.
• FIs sollen Richtlinien, Standards und Verfahren etablieren und regelmäßig aktualisieren.
• Sicherheitsbewusstsein durch umfassende Schulungen für alle Mitarbeiter und externe Partner.
• Eigenes Budget für Cybersecurity, getrennt vom allgemeinen IT-Budget.

2. Technologie- und Cyber-Risikomanagement

• Einrichtung eines umfassenden Risikomanagement-Frameworks mit regelmäßiger Überprüfung und Berichterstattung an den Vorstand.
• Durchführung von Risikoanalysen, Bewertung von Bedrohungen und Entwicklung von Maßnahmen im Einklang mit Risikotoleranzen.
• Integration von Sicherheitsprüfungen in Projektmanagement und Systementwicklungsprozesse.

3. IKT-Service-Management

• Implementierung eines Frameworks für IT-Services inkl. Asset-, Patch-, Change- und Incident-Management.
• Physische und Umweltkontrollen für Rechenzentren, redundante Systeme und 24/7-Überwachung.
• Strenge Identitäts- und Zugriffsverwaltung mit MFA für privilegierte Konten.

4. Cybersecurity Operations

• Aufbau von Threat-Intelligence-Systemen und Teilnahme an Informationsnetzwerken.
• Einrichtung eines Security Operations Centers oder Managed Security Services für Monitoring und Incident Response.

5. Response und Recovery

• Business-Continuity-Management inkl. Wiederherstellungsziele und regelmäßige Tests.
• Backup-Strategien mit redundanten, sicheren und ggf. unveränderlichen Backups.

6. Vulnerability Scanning, Tests und Übungen

• Regelmäßige Schwachstellenscans, Penetrationstests und Cyberübungen (mindestens jährlich für externe Systeme).

7. Unabhängige Prüfungen

• Durchführung unabhängiger IKT- und Cyber-Risiko-Audits mit Berichterstattung an den Vorstand.

8. Outsourcing und Drittanbieter-Management

• Risikoanalysen und Due-Diligence vor Vertragsabschluss; vertragliche Prüfungsrechte für Aufsichtsbehörden.

Strategische Relevanz: Was das für Ihre Rolle bedeutet

Für den CEO / Geschäftsführer:

• Integrieren Sie IKT- und Cyber-Risiken in die Unternehmensstrategie.
• Stellen Sie sicher, dass der Vorstand über ausreichende Expertise verfügt.
• Genehmigen Sie eine IKT- und Cyber-Risikomanagement-Strategie und stellen Sie Ressourcen bereit.
• Fördern Sie Sicherheitsbewusstsein und eine klare Governance-Struktur.

Für den CFO:

• Cyber-Risiken müssen quantifiziert werden.
• Sorgen Sie für ein separates Budget für Cybersecurity, unabhängig vom allgemeinen IT-Budget.
• Berücksichtigen Sie Cyber-Risiken in der Finanzplanung und bei Investitionen.
• Prüfen Sie die Einhaltung regulatorischer Anforderungen, um finanzielle und Reputationsrisiken zu vermeiden.

Für den CTO / CISO:

• Implementieren Sie ein umfassendes IKT- und Cyber-Risikomanagement-Framework.
• Integrieren Sie Sicherheitsprüfungen in alle Projekt- und Entwicklungsphasen.
• Etablieren Sie Prozesse für Patch-, Change- und Incident-Management.
• Führen Sie regelmäßige Penetrationstests, Schwachstellenscans und Cyberübungen durch.
• Managen Sie Drittanbieter-Risiken und stellen Sie unabhängige Audits sicher.

Fazit: Handeln, bevor das System reagiert

Cyber-Risiken sind kein reines IT-Thema, sondern ein strategisches Unternehmensrisiko. Der IWF-Leitfaden macht deutlich: Effektive Risikominderung erfordert klare Governance, ein robustes Risikomanagement, kontinuierliche Tests und eine konsequente Steuerung von Drittanbieter-Risiken. Unternehmen, die diese Erwartungen umsetzen, erhöhen ihre Resilienz gegenüber Cyberangriffen und sichern die Stabilität ihrer kritischen Geschäftsprozesse.

Nächste Schritte:

1. Führen Sie ein Self-Assessment durch - Ermitteln Sie den aktuellen Reifegrad Ihrer IT-Landschaft auf Basis der Schwerpunktthemen des Kapitels 3. „Good Regulatory Practices“, Abschnitt B.
2. Priorisierung & Roadmap erstellen - Ordnen Sie die Lücken nach Risiko und regulatorischer Relevanz (z.B. DORA, lokale Aufsicht) und definieren Sie Meilensteine (kurzfristig - Quick Wins; mittelfristig – Prozessanpassungen; langfristig - Technologie-Upgrade)
3. Governance und Verantwortlichkeiten festlegen - Benennen Sie klare Owner für jede Maßnahme, integrieren Sie Cyber-Risiken in die Unternehmensstrategie und Berichterstattung.
4. Umsetzung starten & Fortschritt messen - Erstellen Sie einen Aktionsplan mit KPIs (z.B. Anzahl durchgeführter Penetrationstests, Zeit bis zur Schließung kritischer Schwachstellen) und führen Sie regelmäßige Reviews durch und passen Sie die Roadmap an neue Bedrohungen an.

Wenn Sie Unterstützungsbedarf haben, kontaktieren Sie uns!