Alle, die in der institutionellen Finanzdienstleistung direkte oder indirekte Verantwortung tragen, wissen, dass diese als kritische Infrastruktur vielfältigen Risiken ausgesetzt ist – sei es durch die immer vielfältigeren Kapitalmärkte, durch die Geolage, durch die Geldpolitik … Doch die Aufsicht rückt in ihren Mahnungen zunehmend ein anderes Thema in den Mittelpunkt, das genauso unkontrollierbar scheint – aber sich unendlich viel schneller entwickelt. Und Achtung: Enkeltrick!
Schon im Vorjahr hatte Anstalts-Chef Mark Branson auf der 2024er-Jahrespressekonferenz in seiner Rede die Cyber-Risiken für die Finanzdienstleistung in den Fokus gerückt – und schon „damals“ wurde auch durch seine Wortwahl klar, dass die IT-Risiken hochkomplex sind und sich äußerst dynamisch entwickeln – und das auch er natürlich kein Patentrezept hat, wie damit im Einzelfall umzugehen sein soll. Wie denn auch? Es gibt nämlich keines.

Die diesjährige Konferenz hat am 28. Januar in Frankfurt stattgefunden1) – und allein in diesem einen Jahr zwischen beiden Konferenzen hat die Entwicklung der IT auf allen Felder bekanntlich weiter enorm Fahrt aufgenommen, besonders im Bereich der KI. Doch ist das alles erst der Anfang, und diese exponentielle Entwicklung dürfte nahtlos weiter gehen. Entsprechend rückte Branson auch letzte Woche das Thema erneut in den Fokus:
12 Milliarden? Geht doch noch!
Der Finanzsektor gehört in weiten Teilen offenkundig zur kritischen Infrastruktur. Nach Daten des IWF betraf fast ein Fünftel aller globalen Cyber-Vorfälle in den vergangenen 20 Jahren Unternehmen des Finanzsektors; Schaden: fast 12 Mrd. US-Dollar, so Branson. Nun, 12 Mrd. mag man angesichts der Lage ja fast noch überschaubar finden. Branson berichtet jedenfalls, dass in den Q1-3 2024 die BaFin 258 IT-Vorfälle registrierte, Tendenz steigend, und zwei Drittel davon verursacht nicht bei einem beaufsichtigten Finanzinstitut, sondern bei einem seiner Dienstleister.
Branson nennt explizit die Kombination aus generativer KI und Quantencomputing, die natürlich auch Kriminelle zu neuen Angriffsmethoden oder Schad-Codes nutzen werden (Authentizität wird ohnehin das Thema der KI-Zukunft werden, s. auch am Ende diese Beitrages)
Was nicht ist, wird ja noch werden
Branson mahnt (und dabei den Autor ein wenig an Donald Rumsfelds berühmte „Know Unknows“ erinnernd) vor den Folgen von Technologien, die heute zwar noch nicht zur Verfügung stehen, von denen wir aber wissen, dass sie die Zukunft des Finanzsektors ganz wesentlich prägen könnten. Das gilt namentlich für den absehbaren Durchbruch besagter Quantencomputer (in Kombi mit KI), für die heute übliche „Kryptographie-Verfahren wie RSA 1 kein Hindernis mehr sein werden“. Auch die heute gängige Kryptographie für die größten Kryptowerte hält er für nicht quantenresistent.

Hier beweist Branson auch taktisch-kriminologische Kompetenz, denn er warnt ausdrücklich, dass er hier gerade NICHT über ein Zukunftsszenario spricht.
Denn: Schon heute können Daten geklaut und gespeichert werden, um sie später zu entschlüsseln.
Unternehmen aktiv, BaFin auch
Branson lobt, dass die Unternehmen in ihre Sicherheit investieren – aber „es darf hier keinen Stillstand geben.“ Die Anstalt plant jedenfalls für 2025 mehr als 30 IT-Prüfungen (inkl. Nachschauprüfungen und Prüfungen mit dem Schwerpunkt IT-Sicherheit) und will außerdem Mehrmandaten-Dienstleister intensiver überwachen. Gerade letztere stehen offenbar schon länger im Fokus der Aufsicht – denn wenn hier etwas schiefgeht, hat es direkt multiplen Charakter.
Drum prüfe, wer sich an deinen Dienstleister bindet
Kurzer Exkurs: Auf das Thema der Mehrmandaten-Dienstleister – gerade im Falle sog. „kritischer IKT-Drittdienstleister“ – geht die Anstalt an andere Stelle genauer ein: In dem Beitrag „Nicht jede Konzentration ist ein Risiko“ vom 7. Januar schreibt BaFin-Expertin Sibel Kocatepe, dass die Anstalt angesichts des klaren Trends im Finanzsektor zu spezialisierten IT-Dienstleistern ein „Aus den Augen, aus dem Sinn“ nicht mehr zulasse.
Problem dabei: Die Ausbreitung der Oligopole bei IKT-Dienstleistungen, als Beispiel nennt Kocatepe die führenden Cloud-Hyperscaler mit Sitz in den USA, die sektorübergreifend einen großen Teil des deutschen und europäischen Finanzmarkts bedienen: Erstens könne ein Ausfall eines einzelnen Akteurs schwerwiegende Folgen haben, und zweitens bedeute ein Sitz in Drittstaaten (meist USA) zusätzlich geographischen Konzentration; ggf. kritisch im Fall geopolitischer Krisen z.B. bei Sanktionen oder handelspolitischen Auseinandersetzungen.
Risiken entstehen auch dadurch, dass viele Finanzdienstleister mit individuell konfigurierterSoftware arbeiten, so dass alternative Dienstleister diese nicht ohne weiteres anbieten können. Wenn dann auch noch das auslagernde Unternehmen selbst nicht über das nötige Expertenwissen verfügt, nennt sich dieses Abhängigkeitsproblem „Vendor-Lock-In“.
Damit die Aufsichten die Abhängigkeiten von IKT-Drittdienstleistern identifizieren können, benötigen sie von den Finanzunternehmen einen Überblick über deren vertragliche Vereinbarungen mit ebensolchen. Dies bietet künftig das Informationsregister, das Finanzunternehmen führen und der zuständigen Behörde auf Verlangen zur Verfügung stellen müssen.
Die Unternehmen sollen diese Register bis spätestens zum 11. April 2025 bei der BaFin einreichen. Eine Liste kritischer IKT-Dienstleister planen die europäischen Aufsichtsbehörden für die zweite Jahreshälfte 2025.
Wer zu spät kommt, den bestraft der Quantencomputer
Exkurs Ende, nun zurück zur Bransons Aussagen: Was tun also in der Frage einer IT-Entwicklung, deren Dynamik, das sei erneut betont, immer weniger Menschen, Konzerne und Staaten auf dem Planeten überhaupt noch folgen können? Konkret heißt das, Zitat Branson:
„Die Unternehmen müssen die Daten identifizieren, die durch Quantencomputing gefährdet sein können. Und dann ein Schutzkonzept entwickeln, das vorhandene technische Möglichkeiten und Standards für Post Quantum Cryptography berücksichtigt. Ein Schutzkonzept muss natürlich flexibel gestaltet sein. Damit das reagieren kann. Und damit es in der Lage ist, kommende Sicherheitsempfehlungen und Standards umzusetzen. Die Zeit zu handeln ist jetzt. Wenn die ersten leistungsfähigen Quantencomputer zum Verkauf stehen, ist es zu spät.“
Wenn der Nichtspezialist den Spezialisten überwachen soll
Dabei sei allen, die sich angesprochen fühlen, bereits viel Erfolg gewünscht. Man fragt sich nur, wer überhaupt in der Lage sein soll, das Wettrennen gegen die IT zu gewinnen. Ohne externe, hochspezialisierte Dienstleiter wird es gleich gar nicht gehen – geht es schon seit Jahrzehnten nicht mehr. Und diese muss man, Branson fordert das ja wie im vergangenen Jahr auch jetzt wieder ausdrücklich, natürlich überwachen – als explizit hier nicht hochspezialisierte Einrichtung. Recht hat der BaFin-Chef natürlich, und zwar vollumfänglich. Teil der Wahrheit ist aber auch: Man engagiert die Spezialisten ja gerade deshalb, um sich NICHT um das Thema kümmern zu müssen, und zwar, weil man es schlicht nicht beherrscht.
Bransons ist mit seinen düsteren Mahnungen von der KI im Quantencomputer schon fast eine richtige Kassandra. Aber nur fast. Denn er warnt vor Kriminellen, welche mit Hilfe moderner IT Finanzdienstleister angreifen würden. Die richtige Kassandra dagegen wäre schon froh, wenn es denn bei Kriminellen bliebe, Sie wissen schon, der legendäre 4. August 1997, 2 Uhr 14 östlicher Zeit, geometrische Rate und so …
Sehen wir es positiv: Sie haben IT-Kompetenz und suchen ein Geschäftsmodell? Voilá: Gründen Sie ein IT-Unternehmen, das IT-Unternehmen überwacht, die für Finanzdienstleister tätig sind. Das Geld zur Gründung bekommen Sie aus den VC-Fonds ihrer Kunden, den Segen von der Anstalt.
Kassandrische Ironie aus, und wie dem auch sei, einfacher wird in Sachen IT-Sicherheit jedenfalls nichts – das zeigt allein die KI-Entwicklung der letzten Monate.
Beyond IT: Klima und Kredit
Kleiner Trost: Branson hatte in seiner Rede auch noch zwei andere Themen am Start, die hier im Vergleich zu dem IT-Race gerade zu unterkomplex erscheinen: die Folgen des Klimawandels und die Kreditausfallrisiken. Kurz zu letzterem:
Branson spricht hier neben Banken explizit auch die Versicherer an – und damit meint er ohne Zweifel auch Pensionskassen und -fonds. Und er redet nicht nur von Krediten, sondern von einem absoluten Trendthema der Private Markets: Private Debt-Fonds (deren Volumina ja ständig neue ATHs erreichen). Und der BaFin-Chef kündigt an, was seine Anstalt hier im laufenden Jahr vorhat:
„Wir werden uns die Risiken aus dem Ausfall von Unternehmenskrediten 2025 besonders genau anschauen. Bei Kreditinstituten und bei Versicherern. Gerade bei den Instituten, die stark in Branchen engagiert sind, die von einem Konjunktureinbruch oder von geopolitischen Spannungen erheblich betroffen sein könnten. Und auch das Investitionsverhalten der Versicherer werden wir in den Blick nehmen. Vor allem das Risikomanagement alternativer Kapitalanlagen wie Private Debt.“
Nicht mit explizitem Blick auf Private Debt, sondern auf die Märkte insgesamt mahnt Branson ganz grundsätzlich, was wir alle sicher schon mehrfach erlebt haben, privat wie dienstlich:
„Je größer die Party, desto größer der Kater danach.“
Reinfallen kann man auch ohne IT
Zum Schluss: Wenn Branson von der Kombi aus KI und Quantencomputern warnt, muss man feststellen, das Nepper-Schlepper-Bauernfängerei auch einfacher geht – und funktioniert. Aktuelles Beispiel:
Zwei einschlägig bekannte russische Komiker rufen einen deutschen Außenpolitiker an (man muss ihn nicht kennen, sein Name ist Wadephul) und täuschen vor, der ukrainischen Regierung anzugehören. Prompt wird der CDU-Politiker gesprächig und meint dabei auch über so ein sensibles Thema wie mögliche Taurus-Lieferungen an die Ukraine nach einem CDU-Wahlsieg fabulieren zu müssen. Obwohl die Sache an sich mehr Ernst als Komik hat, wird in den deutschen Medien kaum berichtet, die Berliner Zeitung ist eine Ausnahme (leider hinter der Bezahlschranke). Gleichwohl könnte die Überschrift auch lauten:
„Enkeltrick-Betrüger immer dreister. Argloser alter Mann von skrupellosen Tätern angegriffen.“
Haben Sie ihm vielleicht noch gleich zwei Lebensversicherungen verkauft? Wäre sicher nicht schwer gewesen. Im Ernst, man fragt sich, wie man auch nur ansatzweise politische Verantwortung, auch noch außenpolitische, tragen kann und gleichzeitig derart simpel aufs Glatteis zu führen ist. Stellen solche Leute – die in ihrer Ahnungslosigkeit mal eben Taurus-Lieferungen mit zwei russischen Komikern diskutieren – ernsthaft eine Gefahr für die innere und äußere Sicherheit des Landes dar? Vermutlich schon. Wäre es nicht so traurig, könnte man fragen, wer hier der Komiker ist.
Allerdings ist dieser CDU-Politiker, der sich hier zum Gespött gemacht hat, bei weitem nicht der einzige, der mit besonderer Raffinesse glänzt. Es gibt erstaunlich viele Fälle im In- und Ausland, und auch u.a. Robert Habeck hat hier schon seine Cleverness bewiesen. Erneut sei betont: Authentizität wird eines DER Themen der sehr nahen Zukunft.
Jedenfalls können all diese Leute, die hier trotz ihrer Verantwortung zuweilen eine erstaunliche Vertrauensseligkeit an den Tag legen, froh sein, dass sie nicht von der BaFin beaufsichtigt werden. Wären sie Finanzdienstleister, Branson persönlich hätte ihnen wohl längst die Erlaubnis zum Geschäftsbetrieb entzogen.
Das zur heutigen Headline anregende Kulturstück – unfassbare 32 Jahre alt – findet sich hier.
FN 1) Anders als im vergangenen Jahr konnte der Autor dieses Jahr nicht an dem Termin in Frankfurt zugegen sein. Die Berichterstattung erfolgt daher anhand des Redemanuskriptes Bransons.