CSSFPost-Ausfall legt Schwachstellen offen: Wie resilient ist der Luxemburger Finanzplatz?

Der Piraten-Abgeordnete Sven Clement hat sich in einer parlamentarischen Frage an Finanzminister Gilles Roth (CSV) nach den Auswirkungen des Post-Ausfalls am 23. Juli 2025 auf den Luxemburger Finanzplatz erkundigt. Wie der CSV-Minister in seiner Antwort mitteilt, habe der Ausfall laut der Bankenaufsicht CSSF zeitweise zu Störungen im Online-Banking geführt. Für die Kunden aber hatte der Netzwerk-Ausfall entweder „gar keine oder nur eingeschränkte“ Folgen.

Roth betont in seiner Antwort, dass Unternehmen, die von der CSSF überwacht werden, per Gesetz verpflichtet sind, die „Commission de surveillance du secteur financier“ über größere ICT-Zwischenfälle zu informieren. Die Finanzinstitute sind demnach angehalten, ihre Lehren aus dem Vorfall zu ziehen („lessons learned“-Prinzip). Diese sollen anschließend dokumentiert und der CSSF vorgelegt werden. Eine abschließende Bewertung dieser stehe noch aus. Jedoch zeigen erste Rückmeldungen an die CSSF: Um ihre „operationelle Widerstandsfähigkeit“ zu erhöhen, wollen die Institute Verträge mit mehreren Providern schließen oder eine engere Zusammenarbeit mit bestehenden Partnern in Betracht ziehen.

Im Falle eines ICT-Zwischenfalls tragen unter der EU-Richtlinie NIS2 die einzelnen Finanzinstitute die Verantwortung, ihre „Geschäftskontinuität“ fortsetzen zu können. Sie müssen sicherstellen, dass externe Dienstleister über ausreichende Schutzmaßnahmen verfügen. „Bei möglichen Schäden in Folge eines ICT-Zwischenfalls greifen in erster Linie die vertraglichen Vereinbarungen zwischen Bank und Provider“, betont Gilles Roth. „Eine direkte Haftung der Telekommunikationsunternehmen unterliegt nicht der Zuständigkeit der CSSF.“

Die CSSF steht im Austausch mit europäischen Aufsichtsbehörden, um systemische Cyber-Vorfälle besser zu erkennen, schreibt der Finanzminister in seiner Antwort. Mit der Umsetzung der neuen EU-Verordnung DORA  („Digital Operational Resilience Act“) sollen künftig auch die Abhängigkeiten von kritischen IT-Dienstleistern systematisch erfasst und bewertet werden. Die Arbeiten zur Umsetzung der EU-Verordnung  würden derzeit vorangetrieben.

Ein landesweiter Netzausfall beim Telekommunikationsbetreiber Post sorgte am 23. Juli für große Panik. Internet-, Mobilfunk- und Festnetzverbindungen wurden durch den Ausfall infolge eines Cyberangriffes unterbrochen. Besonders besorgniserregend war dieser Vorfall, weil die Notrufnummer 112 nicht zu erreichen war. Personen, die dringend ärztliche Hilfe benötigten, wurden dazu aufgerufen, selbstständig ins Krankenhaus zu gehen oder die nächste Rettungsdienststelle aufzusuchen.