FiDA: Fraud- und Cyber-Risiken – Wie verwundbar werden Finanzinstitute und Finanzinformationsdienstleister?

FiDA öffnet Zugriff auf Kundendaten – gezielte Schutzmaßnahmen erforderlich

Die geplante EU-Verordnung Financial Data Access (FiDA) sieht vor, den Zugriff auf sensible Kundendaten auszuweiten. Finanzinstitute und Finanzinformationsdienstleister müssen sich daher auf neue Angriffsflächen einstellen und rechtzeitig geeignete Schutzmaßnahmen planen, um Betrugs‑ und Reputationsrisiken sowie regulatorische Sanktionen angemessen zu steuern.

Neue Einfallstore durch FiDA

Der erweiterte Datenzugriff unter FiDA kann von kriminellen Akteuren missbraucht werden. Angriffspunkte wie technische API-Schnittstellen oder die gezielte Beeinflussung von Kunden eröffnen potenziell neue Zugänge zu sensiblen Informationen. Mit den erlangten Daten lassen sich detaillierte Kundenprofile erstellen, die genutzt werden, um Vertrauen vorzutäuschen, KYC-Prozesse zu umgehen und Identitätsdiebstahl zu erleichtern.

Mögliche Konsequenzen unzureichender Maßnahmen

Die Zunahme gezielter Kundenmanipulation erhöht den Druck auf Institute und Dienstleister. Die EBA (2024) bestätigt diesen Trend: Der Anteil an Betrugsfällen durch Kundenmanipulation zur Umgehung der starken Kundenauthentifizierung (SCA) ist auf 74 % gestiegen. Die Folgen treffen Finanzinstitute, Finanzinformationsdienstleister und Kunden – durch Erpressung, finanzielle Schäden und Identitätsdiebstahl – und führen auf Kundenseite zu einem Vertrauensverlust gegenüber beiden Institutionstypen. Für Unternehmen können darüber hinaus kostenintensive Rechtsstreitigkeiten, regulatorische Maßnahmen und Reputationsbeeinträchtigungen entstehen. Die operativen Kosten steigen zusätzlich durch Aufwendungen für Krisenbewältigung, Erstattungen und Betriebsunterbrechungen.

Sechs strategische Dimensionen für eine robuste FiDA-Strategie

Um diesen Risiken wirksam zu begegnen, sollte ein widerstandsfähiges Fraud Management auf sechs strategischen Dimensionen basieren:

1. Zentrale Steuerung etablieren: Die unternehmensweite Natur der FiDA-Risiken erfordert eine zentrale Koordination, um Schutzmaßnahmen konsistent und effizient zu steuern.
2. Datenzugriff konsequent schützen: Der erweiterte Kundenzugriff ist durch eine rechtssichere starke Kundenauthentifizierung (SCA) abzusichern. Ein verpflichtendes Self-Service-Dashboard zur Verwaltung von Datenfreigaben stärkt das Vertrauen der Kunden.
3. Technische Angriffsflächen minimieren: Die neuen API-Schnittstellen sind durch Härtung, Echtzeit-Monitoring und die Anbindung an adaptive Fraud-Systeme abzusichern.
4. Prozessuale Schwachstellen schließen: Wo kritische Abläufe mit den gestohlenen Daten manipuliert werden können, sind diese zu analysieren und zu härten, um Missbrauch zu verhindern.
5. Resilienz gegen Vorfälle stärken: Da kein System vollständige Sicherheit bietet, sind Mechanismen für das Vorfallmanagement sowie wirksame Kontrollen nach etablierten Standards für den Ernstfall zu implementieren.
6. Compliance sicherstellen und nachweisen: Eine strukturierte Analyse der regulatorischen Anforderungen (u.a. FiDA, PSD2 und DORA) und eine lückenlose Dokumentation sind notwendig, um Vorgaben einzuhalten und Sanktionen zu vermeiden.

Ihr nächster Schritt

Finanzinstitute und Finanzinformationsdienstleister sollten prüfen, inwieweit ihr bestehendes Fraud Management FiDA-spezifische Risiken bereits adressiert und wo Anpassungsbedarf besteht. Unsere Experten unterstützen Sie gerne mit einer unverbindlichen Ersteinschätzung Ihrer individuellen Risikolandschaft.