Sieben Hauptrisiken für den deutschen Finanzmarkt und drei wesentliche risikobehaftete Zukunftstrends sieht die deutsche Aufsicht. Vor allem eines hat es ihr angetan. Einfach ist der Umgang damit nicht, im Gegenteil. Wundern Sie sich daher nicht, wenn es Sie aus Bonn und Frankfurt künftig verstärkt mitPenetrationsversuchen konfrontiert werden.
Gestern, Literaturhaus, Frankfurt, Pressekonferenz der BaFin: Anlässlich der Vorlage ihres Berichtes „Risiken im Fokus der BaFin 2024“ hat die deutsche Aufsicht die einschlägigen Medienvertreter geladen.
„Die Unternehmen des Finanzsektors müssen resilient sein – gegen finanzielle und operationelle Risiken“, sagt Mark Branson in seiner Rede (die er alleine auf dem Podium hält, keiner seiner Exekutivdirektoren steht dort).„Die Finanzbranche verdient aktuell gut oder sehr gut“, meint der BaFin-Präsident, „von den Gewinnen sollten nicht nur Aktionäre profitieren. Die Risikovorsorge darf nicht zu kurz kommen. Die Unternehmen müssen auch mehr denn je in ihre operationelle Sicherheit und Stabilität investieren.“
Der Bericht adressiert ingesamt sieben Hauptrisiken für den deutschen Finanzmarkt, nämlich solche aus:
-
signifikanten Zinsanstiegen
-
Korrekturen an den Immobilienmärkten
-
signifikanten Korrekturen an den internationalen Finanzmärkten
-
dem Ausfall von Krediten an deutsche Unternehmen
-
aus Cyberattacken mit gravierenden Auswirkungen
-
aus unzureichender Geldwäscheprävention
-
aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen (neu).
Zudem sieht die BaFin drei wesentliche Zukunftstrends, die Risiken bergen, mit denen sich die Anstalt und die von ihr beaufsichtigten Unternehmen intensiv befassen müssen, wie sie schreibt: Nachhaltigkeit, Digitalisierung der Finanzbranche sowie geopolitische Umbrüche.
Doch in seiner Rede spricht Branson praktisch nur über IT-Risiken, und im klaren Fokus seiner Worte als auch des Berichts stehen in erster Linie Kreditinstitute, dann auch Versicherer. Pensionskassen kommen nur am Rande vor.
Doch nicht wenige der Risiken, vor denen Banken und Assekuranz stehen, kann man wohl teils ohne weiteres, teils angepasst auch auf EbAV übertragen, insb. wenn man bedenkt, dass deren personelle und finanzielle Ressourcen meist sichtlich geringer sind, um sich gegen solche Risiken zu schützen. Ihr Vorteil dagegen: Praktisch kein Stornorisiko (das betrifft zwar nicht die IT, aber dafür mehrere der anderen o.a. angeführten Risiken).
Wie dem auch sei, so seien hier einige der Aussagen aus der durchaus prägnanten Rede Bransons leicht gerafft dokumentiert – und kommentiert:
Wenn das System nervös wird
„Hausgemachte IT-Pannen oder eine Cyber- Attacke können gravierende Folgen haben, die weit über das betroffene Unternehmen reichen. Dies muss nicht bei Banken oder Versicherern selbst auftreten. Auch plötzliche Probleme bei ihren Dienstleistern können das ganze System beeinträchtigen.
Es sind aber nicht nur technische Abhängigkeiten. Auch vermehrt auftretende politische Spannungen machen das Umfeld gerade für die exportorientierten deutschen Unternehmen zunehmend unberechenbar.“
„Schon seit Jahren zersplittern Unternehmen ihre Wertschöpfungsketten, indem sie Aufgaben und Prozesse an Dienstleister auslagern.“
„Mit dieser Arbeitsteilung wächst aber auch die Abhängigkeit, und es kommt zu Konzentrationen.“
„In Deutschland bedient in einigen Bereichen ein kleiner Kreis spezialisierter IT-Dienstleister einen Großteil der Kreditinstitute. Ähnlich in der Versicherungsbranche. Kommt es bei einem dieser Mehrmandanten-Dienstleister zu Störungen, bricht sofort Nervosität im System aus. Mehrere Institute können plötzlich gleichzeitig nicht mehr auf ihre Dienstleistungen zugreifen. Besonders problematisch ist dies bei kritischen Prozessen, von denen Banken und Versicherer besonders abhängig sind, Beispiel Zahlungsabwicklung.“
„Die Komplexität wächst, wenn Subdienstleister ins Spiel kommen. Störungen bei einem Subdienstleister können sich auf die gesamte Wertschöpfungskette auswirken. Diese Abhängigkeiten und Risiken sind besonders schwer vorhersehbar – und ebenso schwer zu steuern.“
Eine – Verzeihung – Binsenweisheit des Chronisten hierzu: Wie immer im Leben, so gilt offenkundig auch für Finanzdienstleister: Je fortgeschrittener, je filigraner, je sophistcateter – desto fragiler und verwundbarer.
Und in der Tat: Es ist in dieser technologisch wirklich enorm schnellen Welt schon anspruchsvoll genug, vielleicht gar unmöglich, die eigene IT-Verwundbarkeit – sei es gegen akzidentielle, sei es gegen intentionale Friktionen – unter Kontrolle zu halten. Wie soll einem das dann erst bei der Verwundbarkeit bei den mandatierten externen Dienstleistern möglich sein? Man lagert Dinge ja gerade deshalb aus, um sich nicht mehr selbst mit diesen meist komplexen Dingen beschäftigen zu müssen, bspw. gerade um diese von einem selbst nicht mehr zu bewältigenden IT-Risiken von einem hier stärkeren Dienstleister covern zu lassen. Und dann lagert man aus, um sich dann doch wieder darum kümmern zu müssen? Der alte Spagat des inhouse vs. Outside, er wird nicht kleiner, im Gegenteil. Und einfache Lösungen, sie drängen sich nicht auf.
Jedenfalls arbeitet die BaFin daran. Branson:
„Wir versuchen diese Auslagerungen und die verbundenen Risiken so gut es geht zu verstehen. Nur dann können wir angemessen gegenwirken. Bei der Analyse hilft uns unsere Auslagerungsdatenbank, die wir seit etwas mehr als einem Jahr befüllen. Hier haben bislang rund 1.900 Unternehmen aus dem Finanzsektor rund 20.000 Auslagerungen angezeigt.“
„Eine große Chance bietet DORA. Die europäischen Aufsichten können durch DORA zukünftig Verflechtungen und Marktkonzentrationen bei Dienstleistern viel besser erkennen.“
Dokumentiert heißt nicht gelöst oder im Griff haben, das weiß natürlich auch Branson. Und wenn er in seiner gesamten Rede explizit nicht dick aufträgt, sondern im Gegenteil formuliert „so gut es geht zu verstehen“, dann wird er sich diese Worte gut überlegt haben. Diese Formulierung dürfte er sehr ernst meinen; wie denn auch nicht? Eine (zumindest relativ) ständig kleiner werdende Zahl von Menschen auf dem Planeten – und in immer weniger Staaten – ist noch in der Lage, der IT-Entwicklung auf der Höhe der Zeit zu folgen.
Hinzu tritt, dass für die IT noch viel mehr als für die Finanzdienstleistung gelten dürfte, dass es zwar noch Spezialisten gibt, man aber kompetente Generalisten, die den Komplex IT ebenso tief wie breit verstehen, weltweit bald mit der sprichwörtlichen Lupe suchen muss. Klar ist, dass sich solche Köpfe auch bei der BaFin nicht gerade sammeln. Wo sollen sie denn auch herkommen in einem Land, dem es schon heute in Sachen MINT-Bildung wie Technologieführerschaft immer schwerer fällt, mit den wenigen Spitzenreitern mitzuhalten.
Und auch hier gilt das alte Mantra dieser Plattform: Wir stehen erst am Anfang der Entwicklung. Das derzeit im Aufbruch stehende Phänomen des gemeinsamen Auftretens von KI und Quanten-Computern läutet in diesen Jahren ein völlig neues Zeitalter ein – nicht mehr und nicht weniger. Schon sehr bald wird sich die Frage, wer wie überhaupt noch IT-Risiken im Griff halten soll, nicht nur in der Finanzdienstleistung mit völlig neuer Brisanz stellen. Und Antworten dürfte es vermutlich keine geben.
Doppelt gemoppelt hält besser
Wenig überraschend nimmt Branson auch die Unternehmen selbst in die Pflicht – die ja wie geschildert vor den gleichen Herausforderungen wie die BaFin selbst stehen und vermutlich ebenso wie er formulieren würden „so gut es geht zu verstehen“. Was er fordert, ist immer ein zweites As im Ärmel zu haben:
„Vor allem sind aber auch die Unternehmen selbst gefordert: Sie sollten einen Plan B haben, um ihre Prozesse aufrecht zu erhalten, wenn ihr Dienstleister ausfällt. Sie müssen sich fragen: Wäre es im Fall der Fälle möglich, kurzfristig die ausgelagerten Prozesse selbst wieder zu übernehmen? Die ehrliche Antwort wird bei nicht wenigen Banken und Versicherern lauten: Nein. Das zeigt unsere Datenbank: Die Unternehmen bezeichnen rund die Hälfte der von ihnen gemeldeten Auslagerungen als nicht oder nur schwer eingliederbar.
Wäre es möglich, diese Prozesse kurzfristig an einen anderen Dienstleister zu übergeben? Auch diese Frage müssten viele Unternehmen des Finanzsektors mit Nein beantworten.“
Tja, nur was tun gegen dieses „Nein“? Wie oben erwähnt: erst auslagern, um es dann trotzdem kontrollieren zu müssen und im Zweifel auch wieder selber erledigen können? Dann stellt sich die Frage, ob und wann ein Auslagern überhaupt lohnt – oder man doch neben dem Hauptgebäue noch eine eigene IT-Abteilung auf- und anbaut. Da draußen sind EbAV, die haben ein paar Handvoll Mitarbeiter – und Regulierung bis unters Dach. Wie soll das alles gehen?
Gewöhnt euch schonmal dran
Dann kommt Branson zur Aufsichts-Sache an sich:
„Alle Dienstleister, die unverzichtbare Dienstleistungen bringen und schwer zu ersetzen sind: Sie müssen sich an eine sehr enge Überwachung gewöhnen. Dafür müssen sie offen, zugänglich und kooperativ gegenüber der Aufsicht sein. Hier haben wir in den vergangenen Jahren nicht immer gute Erfahrungen gemacht. Unter DORA muss das sich ändern.“
Oben schon erwähnt – die Stichworte akzidentiell vs. intentional:
„Häufig lösen hausgemachte IT-Pannen Störungen bei IT-Dienstleistern aus. Das gilt aber nicht immer. Eine große Gefahr geht auch von Cyber-Attacken aus. Seit Jahren häufen sich die Vorfälle. In Deutschland ist die Bedrohung laut BSI so hoch wie nie.“
Tatenlos bleibt die BaFin nicht, Branson erläutert:
„Wir wollen künftig ein regelmäßiges Cyber-Lagebild spezifisch für den Finanzsektor erstellen. Und wir organisieren Krisen- und Notfallübungen. Wir wollen genau wissen: Welche Cyber-Bedrohungen gibt es für die Finanzwirtschaft? Und: Wo sind die beaufsichtigten Unternehmen und deren IT-Dienstleister am verwundbarsten?
Außerdem werden wir Penetrationstests stärker nutzen: Diese simulieren Hacker- Angriffe auf die kritischen Systeme eines Unternehmens und decken dabei mögliche Schwachstellen auf.“
Keine Aufsicht ohne Sanktionen
„Die Unternehmen müssen ihre IT-Risiken im Griff haben. Wir haben allein im vergangenen Jahr die IT von 20 Finanzinstituten im Rahmen einer Prüfung genauer unter die Lupe genommen, auch Versicherer prüfen wir.
Wenn unsere Prüfer Lücken in der IT-Sicherheit finden, scheuen wir uns nicht einzugreifen: Wir ordnen beispielsweise Kapitalzuschläge an.“
Das ist übrigens keine leere Drohung, sondern bei der Signal Iduna jüngst bereits exekutiert worden.
Heute noch lieb, morgen schon böse
Im Fokus der Bransonschen Rede steht die IT, doch zum Ende kommt er doch noch auf die Politik:
„Auch jenseits bewaffneter Konflikte nehmen politische Spannungen zu. Viele Regierungen teilen die Welt zunehmend in zwei Lager ein. Im ersten befinden sich Länder, von denen sie annehmen, dass sie ihre Werte teilen. Mit ihnen wollen sie den Austausch intensivieren und sich noch enger vernetzen. Die Handelsbeziehungen zu den Ländern aus dem zweiten Lager fahren sie zurück oder setzen sie ganz aus. Diese Einteilung kann sich schnell wandeln: Freunde können leicht zu Feinden werden – und umgekehrt.“
Branson spricht also De-Globalisierung und De-Coupling an. Gut hier sein letzter Satz, denn der Wind zwischen Gut und Böse hat sich in dieser Welt selten so schnell gedreht wie in diesen Jahren. Was tun also? Branson:
„Die Unternehmen des Finanzsektors können sich vor solchen und anderen unvorhergesehenen Ereignissen nicht vollständig schützen. Aber sie müssen die Risiken managen.“
Sie sollten ihren Fokus darauf richten, geopolitische Klumpenrisiken noch besser zu erkennen und einzudämmen. Dafür reicht es nicht, Länderrisiken in ihre Kredit- oder Handelsbücher aufzunehmen. Sie müssen viel weiter gehen, in Szenarien denken und Zweit- und Drittrundeneffekte berücksichtigen. Und sie müssen auch hier für operationelle Risiken immer einen Plan B in der Schublade haben. Das kostet etwas. Aber nur so erhöhen sie ihre Widerstandskraft. Und das sollten sie jetzt tun.“
Konkreter wird Branson hier nicht. Wie auch? Vieles von dem, was seine Aussage hier umfasst, sind Entwicklungen, die sich dem Einfluss der allermeisten Akteure der Finanzwelt schlicht entziehen. Im Zweifel könnte all das nur heißen: Wieder mehr Home Bias. Jena statt Taipeh.
Schließlich noch etwas Konjunktur:
„Die Zeiten werden wieder härter: Steigende Finanzierungskosten und die schwache Konjunktur belasten viele Unternehmen sowie Verbraucherinnen und Verbraucher. Das wird sich in der nächsten Zeit immer stärker herauskristallisieren. Wir müssen damit rechnen, dass die Insolvenzen weiter steigen und sich die Lage an den Immobilienmärkten nicht schnell erholt.“
Soviel zu der gestrigen Rede Bransons. Je nach Nachrichten- und Redaktionslage wird PENSIONS●INDUSTRIES u.U. eine separate Auswertung auch des gestern vorgelegte BaFin-Berichts „Risiken im Fokus 2024“ vornehmen, in dem neben der IT auch die anderen o.a. Hauptrisiken adressiert werden. Für die, die ihn lieber jetzt und selber lesen wollen, findet er sich hier.
Das zur heutigen Headline anregende Kulturstück, nur etwas für echte Fachleute, findet sich hier.
