Austrian Digital Finance Landscape 2024

Im Rahmen des thematischen Aufsichtsschwerpunkts zur Digitalisierung führte die Finanzmarktaufsicht (FMA) im Jahr 2024 eine Analyse zur Austrian Digital Finance Landscape durch, um den Grad der Digitalisierung des Geschäftsbetriebs sowie die operationale Resilienz (IT-Landschaft, Verflechtungen von Informations- und Kommunikationstechnologien, Cyber-Resilienz) der Unternehmen am österreichischen Finanzmarkt zu evaluieren. Auch die Vorbereitung auf die Vorgaben des Digital Operational Resilience Act (DORA) wurde in der Analyse thematisiert (DORA-Gap-Analyse). Die Unternehmen hatten dadurch die Möglichkeit, etwaige Verbesserungen bei der Implementierung der neuen regulatorischen Vorgaben vorzunehmen.

AI-basierte Systeme stark im Wachsen

Der digitale Wandel schreitet auf dem österreichischen Finanzmarkt rasant voran. Nicht nur Robotics und Cloudservices, sondern auch KI-Systeme finden immer mehr Eingang in den operativen Geschäftsbetrieb und bringen eine weitere Verschärfung des Wettbewerbs mit sich. Um die Vorteile der digitalen Innovation schneller nutzen zu können, steigt trotz der Marktbereinigung am FinTech-Markt in den letzten 3 Jahren nicht nur die Anzahl der Kooperationen mit FinTechs; auch der Anteil der beaufsichtigten Unternehmen, die mit derartigen Start-ups kooperieren, ist erneut gestiegen. Abseits des nach wie vor hohen Bedarfs an qualifiziertem Personal mit IT-Security-Kenntnissen wollen die beaufsichtigten Unternehmen in fast allen Sektoren ihre Fähigkeiten im Bereich Data Science ausbauen, was auf die intensivere Nutzung von Systemen künstlicher Intelligenz (KI-Systemen) hindeutet. Trotz der anhaltenden Dynamik im Krypto-Bereich, des steigenden Kostendrucks und der Suche nach renditebringenden Investments bleiben die beaufsichtigten Unternehmen bei Veranlagungen in Krypto-Assets sehr zurückhaltend.

Innovative Technologien in fast allen Geschäftsbereichen im Einsatz

• Besonders Cloudservices haben seit 2018 stark an Bedeutung gewonnen und werden nun praktisch universell von Unternehmen aller Finanzmarktsektoren eingesetzt. Am häufigsten werden dabei das Servicemodell „Software-as-a-Service“ (84%) und das Nutzungsmodell Public-Cloud (80% aller genutzten Cloud-Services) in Anspruch genommen.
• Auch die Nutzung von Robotic Process Automation ist signifikant gestiegen und wird bereits von zwei Drittel der Banken und der Hälfte aller Versicherungsunternehmen für die Abarbeitung repetitiver Formulare und bei der Übertragung von Datensätzen in Analysesysteme eingesetzt.
• Blockchain-Technologie wird immer noch kaum genutzt. Entgegen mancher Ausbaupläne im Jahr 2021 ist die Nutzung mangels konkreter Anwendungsfälle sogar noch zurückgegangen. Edge Computing und Internet of Things bleiben eine Nische, die aktuell lediglich von drei Kreditinstituten (KI), drei Versicherungsunternehmen (VU) und einer Pensionskasse (PK) genutzt werden.
• Automatisierte Datenschnittstellen, die die digitale Zusammenarbeit fördern, werden mittlerweile praktisch von allen Banken, Zahlungsinstituten und Versicherern genutzt; am geringsten ist der Nutzungsanteil bei Wertpapiervermittlern (WPF) mit 43%.
• Je mehr digitale Technologien ein Unternehmen insgesamt einsetzt, desto häufiger macht es sich auch die künstliche Intelligenz zu Nutze. AI-basierte Systeme stellen starke Wachstumsgebiete dar. Die 2021 kommunizierten Ausbaupläne wurden über alle Sektoren hinweg erfüllt. Mehr als ein Viertel der beaufsichtigten Unternehmen setzt in ihrem operativen Geschäftsbetrieb bereits Machine Learning ein. Die Haupteinsatzbereiche sind Rating-Systeme, Fraudanalytics, Unterstützung in den Bereichen IT, Verwaltung und Marketing. Auffallend hoch sind die Ausbaupläne in allen Sektoren: Bis 2027 wollen etwa drei Viertel der KI, ZI, VU sowie Kapitalanlagegesellschaften (KAG) Machine-Learning-Techniken einsetzen. Ähnlich ambitioniert sind die Ausbaupläne bei Natural Language Processing: In den kommenden drei Jahren streben KI, ZI und VU einen Nutzungsgrad von weit über 50% an.

Digitale Kommunikationskanäle verdrängen konventionelle Vertriebswege

Durch den Einsatz von digitalen Vertriebsplattformen, Vergleichsportalen, Social Media, Chatbots und Robo Advice verlieren konventionelle Wege des Vertriebs zunehmend an Bedeutung. Vergleichsportale setzten sich seit 2018 praktisch in allen Sektoren als Pre-Sales-Instrument durch. Der prozentuelle Anteil des Absatzes über Vergleichsportale und Vertriebsplattformen liegt zwar bei den meisten Unternehmen nach wie vor im einstelligen Prozentbereich oder darunter. In den nächsten Jahren ist hier allerdings mit einem weiteren Wachstum zu rechnen.

Professionalität der IKT-Sicherheitsmaßnahmen steigt

Die DORA-Gap-Analyse der FMA zeigt, dass der österreichische Finanzmarkt bereits die wichtigsten Vorkehrungen zur Sicherstellung der DORA-Compliance getroffen hat, wenngleich es individuell noch deutliche Unterschiede gibt. Der größte Handlungsbedarf besteht beim IKT-Drittpartei-Risikomanagement. Insbesondere die Vertragsanpassungen sowie das Aufsetzen des Informationsregisters der IKT-Dienstleister, das alle vertraglichen Vereinbarungen über die Nutzung von IKT-Dienstleistungen umfasst, sind praktisch in allen Sektoren noch im Gange und stellen eine der größten Herausforderungen von DORA dar. Insofern konnten die österreichischen Finanzunternehmen durch ihre Teilnahme an der Generalprobe der Meldung des Informationsregisters (Dry Run) die Implementierung forcieren und die Datenqualität steigern.

Grad der Vernetzung mit externen Dienstleistern steigt

Der Dry Run der FMA zeigte eine starke Vernetzung österreichischer Finanzunternehmen mit dem IKT-Dienstleistungssektor auf: Die FMA konnte 7.952 Dienstleistungsverträge von Finanzunternehmen mit 1.626 unterschiedlichen Dienstleistern aus 1.312 individuellen Konzernen identifizieren. Diesen liegen 4.390 Subdienstleisterbeziehungen bis hin zur 5. Stufe zugrunde. Die Zahl kritischer IKT-Dienstleister pro Unternehmen liegt in der Regel in einem zweistelligen Bereich (so sind es zum Beispiel bei Kreditinstituten im Durchschnitt 17, bei VU 12 und bei KAG 10 kritische IKT-Dienstleister). Beinahe zwei Drittel der schwerwiegenden IKT-Vorfälle gehen von Drittdienstleistern aus. Das veranschaulicht die Sinnhaftigkeit der DORA-Vorgaben zum IKT-Drittpartei-Risikomanagement und zum europäischen Überwachungsrahmen für kritische IKT-Drittdienstleister.

Systemfehler sind Hauptgrund für schwerwiegende IKT-Vorfälle

Mehr als drei Viertel der schwerwiegenden IKT-Vorfälle am österreichischen Finanzmarkt sind auf Systemfehler (d.h. nicht aus Angriffen resultierende Probleme wie zum Beispiel Softwarefehler oder ausgefallene Netzwerkinfrastruktur) zurückzuführen. Cybersicherheitsbezogene Meldungen belaufen sich nur auf einen niedrigen einstelligen Prozentbereich. Hier kommen vor allem Denial-of-Service-Angriffe (DoS-Angriffe) sowie Datenexfiltration und Manipulation durch externe Angreifer vor. Die restlichen IKT-Vorfälle sind auf Prozessfehler oder externe Ereignisse zurückzuführen; Auslöser waren hier etwa der Absturz einer zentralen Programmbibliothek aufgrund eines Fehlers im Zuge der Einrichtung von neuen Cookies, Probleme während eines Umzugs des Rechenzentrums, Unterbrechungen während eines Disaster-Recovery-Tests, die Auslastung einer zentralen Firewall aufgrund der Verdoppelung des Netzwerkverkehrs, die fehlerhafte Einrichtung eines Setup-Services, der Ausfall des SMS-Services bei einem Telekom-Provider, der Ausfall eines Marktinformationsdienstes, Performanceprobleme auf einer Gateway-Firewall, eine Leitungsfehlverbindung im Zuge eines Stromausfall-Tests in einem Rechenzentrum oder der Ausfall der Telefonie im Kundenservice.

Implikationen für die Aufsichtstätigkeit der FMA

Die Erkenntnisse aus dieser Analyse fließen in die Aufsichtsstrategie sowie die Positionierung der FMA im Rechtsetzungsprozess auf europäischer Ebene ein und wurden bereits bei der Festlegung der Aufsichtsschwerpunkte 2025 berücksichtigt. Die Digitalisierungslandkarte für den Finanzmarkt Österreich hilft überdies der FMA, Trends beim Einsatz innovativer Technologien bei der Entwicklung adäquater Aufsichtsinstrumente zu berücksichtigen, Konzentrationsrisiken und mögliche Ansteckungskanäle zu identifizieren, die Cyber-Resilienz des österreichischen Finanzmarkts gezielt zu überwachen, das digitale Risikoprofil der beaufsichtigten Unternehmen im Risiko-Scoring zu reflektieren und möglichst faire Wettbewerbsbedingungen zwischen analogen und digitalen Anbietern und Produkten zu schaffen.

Austrian Digital Finance Landscape (Dateiformat: pdf, Dateigröße: 4,2 MB, Sprache: Deutsch)