Allein aus privater Sicht ist die Nachrichtenlage in diesen Wochen sehr belastend. Und wer im Risikomanagement eines Finanzdienstleisters arbeitet, dürfte sich derzeit vorkommen wie auf einer Achterbahn. Die andauernde Pandemie und der Ukrainekonflikt machen den Eintritt von Szenarien wahrscheinlich, die vor Jahren noch als längst überwunden oder unrealistisch eingestuft wurden. Jetzt finden sich diejenigen bestätigt, die veränderte Risikopriorisierungen in den Strategien der Institute fordern. Schließlich nimmt die Zahl der Cyberangriffe auf stark digitalisierte Branchen wie die Finanzindustrie nicht erst seit Covid-19 beständig zu. Und dass Staaten inzwischen die Dienste von Hackern in Anspruch nehmen, um ihre außenpolitische Agenda durchzusetzen, ist auch keine neue Erkenntnis. Banken sind aufgrund ihrer zunehmend elektronischen Prozesse bei derartigen Angriffen besonders gefährdet.
Diese Einsicht hat inzwischen bei den Finanzinstituten auf breiter Front zu einem Kurswechsel geführt: Risiken aus der Informations- und Kommunikationstechnologie, kurz IKT-Risiken, spielen künftig eine deutlich größere Rolle im Risikoprofil der Banken. Unsere aktuelle Studie „Paradigmenwechsel in der Risikostrategie“ belegt dies eindeutig. Für die Untersuchung haben wir Mitglieder der Geschäftsführungen deutscher Banken ebenso wie Führungskräfte aus den Bereichen IT, Risikomanagement, Risiko-Controlling und Unternehmenssteuerung zu ihren Einschätzungen hinsichtlich aktueller Herausforderungen im Bereich der IKT-Risiken befragt.
Nur eine Frage der Zeit
Schutz und Prävention vor Cyberangriffen zählen den Studienteilnehmern zufolge zu den Top-Herausforderungen für Finanzdienstleister in den kommenden Jahren. Dabei rechnet die Mehrheit fest damit, innerhalb der nächsten 24 Monate Opfer zumindest einer Cyberattacke zu werden. Wenn sich diese Gefahr also nicht vermeiden lässt, wie ist damit am besten umzugehen? Das Schlagwort in diesem Zusammenhang lautet Resilienz, also die Fähigkeit, nach einem sicherheitskritischen Vorfall in der eigenen IKT den normalen Geschäftsbetrieb so unterbrechungsfrei wie möglich weiterzuführen. Es gilt daher, möglichst frühzeitig alle notwendigen Vorbereitungen für den Fall des Risikoeintritts zu treffen. Das betrifft unter anderem die Datensicherung, die Notfallplanung, Redundanzen im Bereich der Rechenzentrumskapazitäten.
Institute sehen sich vorbereitet
Insgesamt bewerten die deutschen Kreditinstitute ihre eigene Aufstellung bezüglich der IKT-Risiken als sehr gut. Dies gilt sowohl insgesamt als auch in Teilbereichen. Konkret abgefragt wurden:
- Cyber-Risk
- Fraud Detection
- IT-Assetmanagement
- IT-Outsourcing
- Identity- & Accessmanagement
- IT-Datensicherung
- IT-Governance & IT-Strategie
Beim Blick auf die Details zeichnet sich allerdings ein widersprüchliches Bild. Beispielsweise bezeichnen sämtliche Institute ihre IT-Governance als State-of-the-Art. Zugleich haben 26 Prozent noch keinen Auslagerungsbeauftragten ernannt. Dabei wird dieser künftig vorgeschrieben. Auch bei der Vorbereitung auf die neuen Anforderungen aus dem Digital Operational Resilience Act (DORA) ist noch Nachholbedarf erkennbar.
Aufsicht als Treiber
Die Finanzinstitute sind keineswegs die einzigen Akteure, die dem Thema IKT-Risiken größere Bedeutung zumessen. Die Aufsichtsbehörden, sowohl national als auch international, fokussieren ihre Arbeit ebenfalls auf IKT. Sie haben eine ganze Flut von Regelungen entweder bereits erlassen oder aber in der Planung, deren Umsetzung für die Banken eine zusätzliche Herausforderung in einem ohnehin schwierigen Umfeld darstellt.
Jetzt handeln!
Am Ende bleibt die klare Erkenntnis, dass die Kreditinstitute jetzt handeln müssen, wollen sie ihre eigene Resilienz stärken, die Anforderungen der Aufsicht umsetzen und aus Sicht der Kunden weiterhin als sichere Bank gelten. Um diese Aufgaben mit den knappen verfügbaren Ressourcen zu bewältigen, sind sie gut beraten, neue Wege einzuschlagen.
Hierzu gehört es auch, Technologietrends wie Cloud Computing, DevOps oder KI für das Geschäftsmodell der Bank zu bewerten und in das IT-Portfolio zu integrieren, um den aus IKT-Risiken potenziell resultierenden Schaden abzuwehren.
Die Studie „Paradigmenwechsel in der Risikostrategie“ kann auf unserer Website kostenlos als Download angefordert werden: www.ppi.de/studie-ikt-risiken/
Gastautoren:
Judith Jaisle, Senior Managerin
Andreas Bruckner, Manager