Seit dem 17. Januar 2025 müssen Finanzunternehmen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) jeden schwerwiegenden Vorfall in ihrer Informations- und Kommunikationstechnologie (IKT) melden. Artikel 19 des Digital Operational Resilience Act (DORA) verlangt das. Am 16. Juli 2026 hat die Aufsicht die erste Jahresauswertung veröffentlicht, und die zitierfähige Zahl steht schon in der zweiten Zeile: 733 Vorfälle, rund 1.200 betroffene Unternehmen, die Hälfte verursacht durch Dritte. Wer das liest, hat eine klare Geschichte. Sie ist nur unvollständig, und das merkt man erst neben dem europäischen Bericht.

Vorab eine Einordnung, die in der Aufregung um Cyberrisiken gern verlorengeht: Angriffe sind in dieser Statistik die Ausnahme. Elf Prozent der Vorfälle sind Cybersicherheitsvorfälle, und darin sind ausschließlich die erfolgreichen Angriffe erfasst. Neun von zehn gemeldeten Vorfällen sind Betriebsstörungen: ein misslungenes Update, ein Konfigurationsfehler, ein Rechenzentrumsausfall. Der europäische Bericht kommt auf zehn Prozent und zieht denselben Schluss. Die Schutzmaßnahmen wirken offenbar. Das ist die gute Nachricht, und sie steht am Anfang, damit klar ist, dass es im Folgenden nicht um Alarm geht.

Angriffsmuster je Quartal*

Phishing führt mit 19 Vorfällen im Jahr, Malware folgt mit 17.

3
5
6
5
3
4
4
6
2
3
2
2
2
1
3
2
2
1
4
0
Phishing
Malware
DDoS
Ransomware
Sonstiges
Q1Q2Q3Q4
* Gezählt werden unabhängige Vorfälle, Summe 60 – ein anderer Nenner als die 733 Meldungen. Von diesen sind 11,1 Prozent cybersicherheitsbezogen, rund 81.

Die Zahl, die alle zitieren

733 Vorfälle also. Zwar wirkt die Zahl präzise, und sie ist es auch. Doch sie zählt nicht Ereignisse, sondern Meldungen, und das ist nicht dasselbe. Die BaFin weist beides getrennt aus: Rund 60 Vorfälle ereigneten sich bei einem Dritten und trafen jeweils mehrere Institute gleichzeitig. Die Aufsicht nennt sie übergreifende Vorfälle. Aus diesen 60 Ereignissen wurden 315 Meldungen. Zählt man jede Ursache nur einmal, bleiben für das Jahr 478 unabhängige Vorfälle übrig.

Die Rechnung geht auf den Punkt auf, und das ist der Beleg dafür, dass hier nichts vernebelt wird: 315 Meldungen minus 60 Ereignisse ergibt 255 Mehrfachzählungen, und 733 minus 255 sind exakt 478. Die BaFin rechnet beide Größen vor. In der Überschrift steht trotzdem nur eine.

Nach oben geht die Kette ebenso auf. Bei 38 der 733 Meldungen hat ein Dienstleister stellvertretend gemeldet, im Schnitt für rund 55 betroffene Institute. Ohne dieses Sammelverfahren, schreibt die BaFin, hätten die Institute 2.073 weitere Vorfälle melden müssen. Dieselbe Wirklichkeit hätte dann rund 2.806 Meldungen erzeugt. Zwischen der kleinsten und der größten vertretbaren Zahl liegt der Faktor 3,8. Das ist keine Messungenauigkeit. Das ist die Zählweise.

Der naheliegende Einwand lautet: Jede amtliche Statistik hat Konventionen, das gilt für die Arbeitslosenquote wie für das Bruttoinlandsprodukt. Der Einwand trifft. Die BaFin hat auch nie behauptet, die 733 seien ein Risikomaß; ihre Publikation heißt Auswertung des Meldewesens, nicht Lagebild. Nur streiten wir bei der Arbeitslosenstatistik über fünfzehn Prozent. Hier geht es um den Faktor 3,8.

Gemeldete gegen unabhängige Vorfälle je Quartal*

Die Lücke zwischen beiden Reihen ist der Effekt der übergreifenden Vorfälle.

228
109
146
122
140
115
219
132
Q1/2025
Q2/2025
Q3/2025
Q4/2025
gemeldetunabhängig
* 733 Meldungen gegen 478 unabhängige Vorfälle. Q1 umfasst nur rund 2,5 Monate – die Meldepflicht gilt erst ab dem 17. Januar 2025.

Der Vergleich, den die Quelle nicht ziehen kann

Am 3. Juni 2026 haben die drei europäischen Aufsichtsbehörden ihren ersten gemeinsamen Bericht zu schwerwiegenden IKT-Vorfällen vorgelegt: die European Banking Authority (EBA), die European Insurance and Occupational Pensions Authority (EIOPA) und die European Securities and Markets Authority (ESMA), zusammen die European Supervisory Authorities (ESAs). Europaweit waren es 2025 genau 3.383, im Schnitt 0,18 je meldepflichtigem Unternehmen. Deutschland stellt mit 733 Vorfällen rund 22 Prozent davon. Bei etwa 3.600 DORA-pflichtigen Unternehmen hierzulande ergibt das 0,20 Vorfälle je Unternehmen. Der deutsche Finanzsektor liegt damit im europäischen Mittel. Ein Mengenproblem existiert nicht.

Interessant wird es bei der Verteilung. Beide Berichte nutzen dieselbe Taxonomie, die Delegierte Verordnung (EU) 2024/1772 gibt sie vor. Beim Systemversagen liegen beide fast gleichauf, europaweit rund 50 Prozent, in Deutschland 46,7. Beim menschlichen Versagen ebenfalls, zwölf gegen 8,9 Prozent. Und dann bricht es auseinander:

Gleiche Verordnung, gleiches Jahr, andere Zahlen

Ursache bei einem Dritten: Europa 29 Prozent, Deutschland 50 Prozent.
Externes Ereignis als Ursache: Europa 32 Prozent, Deutschland 54,3 Prozent.
Zahlungsbezogene Vorfälle: Europa 18 Prozent, Deutschland 45,0 Prozent.

Weil Deutschland rund 22 Prozent des europäischen Aufkommens stellt, zieht es den EU-Schnitt selbst nach oben. Rechnet man Deutschland heraus, meldet der Rest Europas externe Ereignisse mit rund 26 Prozent. Der deutsche Wert ist mehr als doppelt so hoch. Diese 26 Prozent stehen so in keinem Bericht: Der europäische Bericht schlüsselt nicht nach Mitgliedstaaten auf, die Zahl ist aus der Differenz gerechnet.

Die naheliegende Lesart ist, dass deutsche Dienstleister häufiger ausfallen. Sie ist nicht abwegig: Der deutsche Verbund konzentriert die Kernbanken-IT hunderter Sparkassen und Genossenschaftsbanken bei wenigen Häusern, im Wesentlichen der Finanz Informatik und Atruvia, und die BaFin schreibt selbst, dass insbesondere Verbunddienstleister das Sammelverfahren nutzen. Ein Struktureffekt ist also möglich und nicht ausgeschlossen. Doch die Erklärung erklärt zu wenig. Sie erklärt nicht, warum ausgerechnet auch die zahlungsbezogenen Vorfälle in Deutschland zweieinhalbmal so häufig gemeldet werden.

Vorfallsursachen*

Anteil der 733 gemeldeten Vorfälle

Externes Ereignis
54,3 %
Systemversagen / -störung
46,7 %
Böswillige Handlung
10,6 %
Prozessversagen
10,1 %
Menschliches Versagen
8,9 %
* Mehrfachnennung, Summe 130,6 %

171 gegen 106

Der Hinweis steht in beiden Dokumenten, man muss nur die Prozentwerte addieren. Die deutschen Typen-Anteile summieren sich auf 171,1 Prozent, die europäischen auf 106. Beide Berichte erlauben Mehrfachnennungen: Ein Vorfall kann zugleich zahlungsbezogen und ein externes Ereignis sein. Nur macht Deutschland davon Gebrauch, und Europa im Schnitt kaum.

Die ESAs haben das selbst bemerkt. Zu ihrer Typen-Grafik schreiben sie, die Werte müssten vorsichtig interpretiert werden, möglicherweise wegen spezifischer Meldepraktiken. Und in der zugehörigen Fußnote werden sie deutlich: Die hohe Zahl an Vorfällen bei Kreditinstituten deute, zusammen mit der Einschätzung der nationalen Aufseher, auf eine mögliche Untererfassung zahlungsbezogener Vorfälle hin. Als Grund nennen sie ausdrücklich abweichende Meldepraktiken, bei denen Institute nicht alle zutreffenden Optionen auswählen.

Deutschland hat womöglich kein doppelt so großes Drittparteien-Problem. Deutschland kreuzt mehr Kästchen an.

Damit kippt die Erklärung. Die Gegenprobe liefert der Zahlungsverkehr: Genau dort vermuten die ESAs die Untererfassung, und genau dort ist die deutsche Abweichung am größten, 45,0 gegen 18 Prozent. Deutschland wäre dann weniger der Ausreißer nach oben als der Kontrollfall, an dem sich zeigt, wie die europäische Zahl aussähe, wenn überall alle zutreffenden Felder gesetzt würden.

Zur Redlichkeit gehört der Konjunktiv. Die ESAs schreiben, die Praxis könne ein Grund sein, nicht, sie sei es. Bewiesen ist der Unterschied, nicht seine Ursache. Und es kommt hinzu, dass keine andere europäische Aufsicht eine eigene nationale Vorfallstatistik dieser Art veröffentlicht hat. Weder die niederländische DNB noch die französische ACPR, weder die österreichische FMA noch die Banca d'Italia. Wer vollständiger meldet und als Einziger transparent auswertet, sieht in der Statistik schlechter aus. Das ist keine Ironie, sondern eine Eigenschaft von Meldesystemen.

Vorfallstypen*

Anteil der 733 gemeldeten Vorfälle

Externes Ereignis
50,1 %
Systemversagen
45,6 %
Zahlungsbezogen
45,0 %
Cybersicherheitsbezogen
11,1 %
Prozessversagen
10,2 %
Sonstiges
9,1 %
* Mehrfachnennung, Summe 171,1 % – der europäische Wert liegt bei 106 %.

Was die 733 tatsächlich verbergen

Der Streit um Zählweisen sollte nicht den Sachverhalt verdecken, und der ist bemerkenswert genug. 60 von 478 unabhängigen Vorfällen, also ein Achtel der Ereignisse, erzeugten 315 von 733 Meldungen, also vier Zehntel der Meldelast. Ein einzelner solcher Vorfall bei einem Dritten traf im Schnitt 39 Finanzunternehmen.

Noch aufschlussreicher ist eine Differenz, die in keiner Überschrift steht: Rund 1.200 Unternehmen waren betroffen, gemeldet haben 355. Über 800 Institute hatten 2025 einen meldepflichtigen IKT-Vorfall und tauchen in der Melderstatistik nie auf, weil ein Dienstleister für sie eingereicht hat. Die eine Zeile, an der das am deutlichsten wird, ist die unterste: Von mehr als zehn Vorfällen betroffen waren sechs Unternehmen, gemeldet haben mehr als zehn Vorfälle aber neun. Das sind die Dienstleister, die für andere melden.

Wie das aussieht, hat der 1. Juni 2025 gezeigt, als bundesweit die S-pushTAN-App und das Online-Banking der Sparkassen ausfielen; ein Cyberangriff wurde früh ausgeschlossen. Oder der 27. Februar 2025, als TARGET2 für Stunden ausfiel, ein Hardware-Defekt, ebenfalls kein Angriff. Ob diese Fälle in die 733 eingeflossen sind, ist öffentlich nicht belegt. Als Muster sind sie präzise: ein Ausfall, viele Betroffene, wenige Melder.

Auch nach Unternehmenstypen ist die Verteilung schief: 512 der 733 Meldungen, knapp 70 Prozent, entfallen auf Kreditinstitute. Zahlungsinstitute folgen mit 81, Versicherer mit 69.

Verteilung auf Unternehmenstypen*

Absolute Zahl der Meldungen

Kreditinstitut
512
Zahlungsinstitut
81
Versicherung / Rückversicherung
69
Wertpapierunternehmen
53
Anbieter von Kryptodienstleistungen
31
Finanzmarktinfrastruktur
11
E-Geld-Institut
11
Sonstige
6
* Mehrfachzuordnung möglich, Summe 774 > 733

Schwerwiegend heißt lange, nicht teuer

Ein zweiter Befund erklärt, warum die Statistik so aussieht, wie sie aussieht. Ein Vorfall gilt nach DORA als schwerwiegend, wenn bestimmte Schwellen gerissen werden. In Deutschland waren zwei Kriterien maßgeblich: Dauer und Ausfallzeiten bei 75,3 Prozent der Vorfälle, betroffene Kunden und Transaktionen bei 67,1 Prozent. Wirtschaftliche Auswirkungen lösten die Meldepflicht nur in 6,5 Prozent der Fälle aus.

Das liest sich, als ignoriere DORA den ökonomischen Schaden. Das tut die Verordnung nicht: 100.000 Euro kumulierte Kosten sind ein eigenes Kriterium. Es bindet nur selten, und der Grund ist nicht Harmlosigkeit, sondern die Uhr. Dass ein kritischer Dienst länger als zwei Stunden ausgefallen ist, weiß ein Institut noch am selben Tag. Was der Ausfall gekostet hat, weiß es in Monaten. Die Kriterien fallen exakt in der Reihenfolge ihrer Feststellbarkeit: Dauer 75,3, Kunden 67,1, geografische Ausbreitung 28,0, Reputationsschaden 19,0, Datenverlust 15,8, Wirtschaftlichkeit 6,5 Prozent. Diese Statistik misst, was man während eines Vorfalls sehen kann. Nicht, was er kostet.

Dieselbe Mechanik erklärt eine dritte Auffälligkeit. Absolut haben die kleinen und mittleren Institute mehr gemeldet als die bedeutenden, 462 gegen 161 Vorfälle. Normiert auf die Zahl der Häuser, die die BaFin selbst nennt, kehrt sich das um: 3,22 Vorfälle je bedeutendem Institut gegen 0,42 je kleinem, ein Faktor von 7,6. Das liest sich wie ein Beleg, dass Großbanken anfälliger sind. Es ist mindestens ebenso ein Schwellenartefakt. Eines der Kundenkriterien lautet: mehr als 100.000 betroffene Kunden, absolut. Eine Großbank reißt diese Marke im Vorbeigehen. Eine Sparkasse mit 50.000 Kunden kann sie strukturell nie reißen.

Was einen Vorfall schwerwiegend macht*

Anteil der 733 gemeldeten Vorfälle, bei denen das Kriterium die Meldepflicht auslöste

Dauer und Ausfallzeiten
75,3 %
Kunden, Gegenparteien, Transaktionen
67,1 %
Geografische Ausbreitung
28,0 %
Reputationsschaden
19,0 %
Verlust von Daten
15,8 %
Wirtschaftliche Auswirkungen
6,5 %
* Mehrfachnennung, Summe 211,7 %

Das Sammelverfahren ist selbst ein Konzentrationsrisiko

Die BaFin empfiehlt den kleineren Instituten ausdrücklich, weitere Möglichkeiten des aggregierten Meldens mit ihren Dienstleistern zu prüfen. Der Zweck ist Entlastung, und die Entlastung ist real: 38 Meldungen deckten rund 2.100 Betroffenheiten ab. Es wäre auch unfair, der Aufsicht daraus einen Strick zu drehen. Sie verschweigt die Wirkung nicht, sie rechnet die 2.073 selbst vor, und das Verfahren ist keine deutsche Erfindung, sondern europäisch vorgegeben: Artikel 7 der Durchführungsverordnung (EU) 2025/302 regelt es.

Der ernstere Einwand ist operativ. Wer aggregiert meldet, überlässt einem Dienstleister Zeitpunkt, Inhalt und Qualität einer Meldung für Dutzende Institute gleichzeitig. Meldet er zu spät oder klassifiziert er zu niedrig, sind alle gleichzeitig falsch gemeldet, und keines merkt es. Artikel 19 Absatz 5 DORA lässt daran keinen Zweifel: Ein Institut darf die Meldepflicht auslagern, bleibt für ihre Erfüllung aber vollumfänglich verantwortlich. Die Verantwortung wandert nicht mit.

Hinzu kommt, dass das Verfahren weniger entlastet, als es scheint. Artikel 7 erlaubt die Sammelmeldung nur, wenn jedes betroffene Institut den Vorfall selbst als schwerwiegend klassifiziert hat. Die Klassifizierung bleibt also im Haus, und sie ist der schwierige Teil, nicht das Formular. Ausgelagert wird die Einreichung, nicht die Entscheidung unter Zeitdruck. Nebenbei erklärt genau diese Bedingung, warum die 2.073 keine grobe Hochrechnung sind: Jene Institute hatten klassifiziert. Sie haben nur nicht selbst eingereicht.

Warum 2026 nicht vergleichbar sein wird

Wer in einem Jahr die nächste Auswertung liest, wird eine Veränderung sehen und sie deuten wollen. Das wird schwerer, als es aussieht, weil mindestens drei Effekte gleichzeitig wirken und in verschiedene Richtungen zeigen. Mehr aggregiertes Melden drückt die Zahl nach unten, genau wie die BaFin es empfiehlt. Wachsende Routine im zweiten Meldejahr drückt sie nach oben; die Aufsicht schreibt selbst, die Datenqualität habe sich im Jahresverlauf deutlich verbessert. Und 2025 ist strukturell kurz: Der Meldezeitraum begann erst am 17. Januar, und Nachmeldungen nach dem 26. Januar 2026 sind nicht berücksichtigt.

Ein Anstieg 2026 wäre damit nicht bloß verrauscht. Er wäre ohne Zerlegung nicht identifizierbar. Man könnte nicht sagen, welcher der drei Effekte ihn erzeugt hat.

Was das für Institute bedeutet

Die eigene Klassifizierungspraxis gegen die Kategorien prüfen

Wenn ein Vorfall zugleich zahlungsbezogen und ein externes Ereignis ist, gehören beide Felder gesetzt. Die ESAs vermuten, dass genau das vielerorts unterbleibt. Ein Haus, das nur ein Feld setzt, meldet formal korrekt und liefert der Aufsicht ein schiefes Bild. Eine Stichprobe über die eigenen Meldungen des Jahres 2025 beantwortet die Frage in einem Nachmittag.

Bei ausgelagerter Meldung die Klassifizierungshoheit dokumentieren

Artikel 7 der Durchführungsverordnung (EU) 2025/302 verlangt, dass jedes betroffene Institut selbst klassifiziert; Artikel 19 Absatz 5 DORA belässt die Verantwortung im Haus. Wer das Verfahren nutzt, sollte belegen können, auf welcher Grundlage sein Haus klassifiziert hat, und nicht auf die Einschätzung des Dienstleisters verweisen. Die BaFin weist zudem darauf hin, dass sie einen aggregierten Bericht nachträglich nicht aufsplitten kann und dass nur Institute gebündelt werden dürfen, für die exakt dieselben Behörden zuständig sind.

Die Zwei-Stunden-Schwelle im Verfügbarkeits-Monitoring verankern

Ausfallzeiten über zwei Stunden bei einem Dienst, der eine kritische oder wichtige Funktion trägt, reißen die Schwelle unabhängig von der Kundenzahl. Das ist in 75,3 Prozent der Fälle der auslösende Punkt. Wer seine kritischen Funktionen nicht auf diese Grenze hin überwacht, erfährt von seiner Meldepflicht zu spät, statt sie auszulösen.

Konzentration am eigenen Register messen, nicht an der Schlagzeile

Die 733 sind kein Konzentrationsmaß. Das Informationsregister nach Artikel 28 Absatz 3 DORA ist eines: Jedes Institut führt darin sämtliche Vertragsbeziehungen über IKT-Dienstleistungen. Die Frage lautet nicht, wie viele Vorfälle die Aufsicht gezählt hat, sondern wie viele der eigenen kritischen Funktionen an demselben Dienstleister hängen und was bei dessen Ausfall gleichzeitig steht. Für 19 Anbieter hat die EU diese Frage im November 2025 bereits beantwortet, indem sie sie als kritisch einstufte.

Bleibt die Frage, was von den 733 zu halten ist. Die Antwort ist unspektakulär: Sie sind eine saubere Auswertung eines Meldewesens, präzise in dem, was sie misst, und die BaFin rechnet die Alternativen selbst vor. Der Fehler entsteht erst danach, bei denen, die die Zahl weiterreichen. Ein Meldewesen misst, was gemeldet wird. Wer daraus ein Lagebild macht, hat einen Schritt zu viel getan.