1 Einleitung

Lieber Herr Professor Kruse,
lieber Herr Professor Igl,
meine sehr geehrten Damen und Herren!

Auch ich freue mich sehr, Sie zur 8. Fachtagung unserer Hochschule Hachenburg begrüßen zu dürfen.

Die Hochschule macht mit dem Thema der Tagung, „Der richtige Umgang mit Non-Financial Risks“, wieder einmal deutlich, dass sie wissenschaftlich und bankpraktisch auf der Höhe der Zeit ist.

Dies zeigt sich beispielsweise bei einem Blick nach Japan: Gestern Morgen musste die Tokioter Börse unmittelbar nach ihrer Öffnung schon wieder schließen, und blieb auch für den ganzen restlichen Tag geschlossen. Warum? Der Grund war ein Systemfehler, wodurch Handelsaufträge nicht verarbeitet werden konnten.

Ein Ereignis dieser Art führt uns vor Augen, welche Bedeutung IT-Risiken und operationelle Risiken für das Handels- und Bankgeschäft haben. Die Abhängigkeit von einer funktionierenden IT wächst, je mehr digitale Tools eingesetzt werden.

Non-Financial Risks – nicht-finanzielle Risiken – sind in diesem Jahr noch einmal verstärkt ins Blickfeld geraten. Daher ist das Thema dieser Tagung auch für mich enorm wichtig, zumal ich in der Bundesbank sowohl für Bankenaufsicht als auch für IT zuständig bin. Und ich freue mich, heute mit Ihnen darüber sprechen zu können, anstatt wie derzeit sonst häufig über die Auswirkungen der Corona-Pandemie auf die Banken.

Lassen Sie mich im Folgenden auf drei Dinge eingehen:

Erstens auf die Relevanz von Non-Financial Risks für Finanzdienstleister, zweitens auf die Steuerung dieser Risiken, und drittens auf die aufsichtliche Perspektive.

2 Relevanz von Non-Financial Risks für Finanzdienstleister

Standen seit der Finanzkrise eher die finanziellen Risiken im Vordergrund, wenden sich Aufsicht und Banken nun zunehmend den nicht-finanziellen Risiken zu und werden sich dieser Risiken bewusst.

Zu Non-Financial Risks zählen unter anderem klassische Betrugsrisiken, Compliance-Risiken, Reputationsrisiken, sonstige operationelle Risiken und im Zuge der rasanten Digitalisierung vor allem IT- und Cyber-Risiken. Sie sehen: Non-Financial Risks sind ein bunter Strauß von ganz verschiedenen Risiken. Insofern ist es sowohl auf Banken- als auch auf Aufsichtsseite eine riesige Herausforderung, diese Risiken zu managen.

Leider sind sie nicht mit einer übergreifenden Strategie beherrschbar, denn sie sind so unterschiedlich, dass für jedes Risiko individuelle Maßnahmen entwickelt werden müssen.

Wie für Sie stellt sich für jede Organisation, auch für die Bundesbank, die Frage: Warum sollte ich mich, warum sollte sich gerade meine Institution mit diesem Thema beschäftigen?

Dazu noch ein gedanklicher Ausflug nach Asien, diesmal nach Bangladesch.

An einem Tag im Februar 2016 erhielten die Mitarbeiter der Zentralbank von Bangladesch eine Nachricht aus New York: Die Federal Reserve Bank, die für die Zentralbank internationale Zahlungen abwickelte, war über einen Rechtschreibfehler in einer der Überweisungen gestolpert: Das Wort „Foundation“ (Stiftung) war falsch geschrieben.

Bei genauerem Hinsehen wurde klar, dass die Zentralbank von Bangladesch diese Überweisung und viele andere nicht selbst in Auftrag gegeben hatte: Sie war Opfer eines Cyber-Angriffs geworden.

Die Überweisungen summierten sich auf knapp eine Milliarde US-Dollar und hatten Empfängerkonten auf Sri Lanka und den Philippinen. Nur aufgrund des Rechtschreibfehlers flog der Angriff auf, sodass die Zahlungen gestoppt und der Schaden auf „nur“ 81 Millionen US-Dollar begrenzt werden konnte.

Dieser Fall verdeutlicht dreierlei. Erstens: Zu meinem persönlichen Erschrecken sind selbst Zentralbanken vor Non-Financial Risks nicht sicher. Zweitens: Non-Financial Risks können zu sehr hohen finanziellen Verlusten führen, wenn sie nicht adäquat gesteuert werden. Und drittens: Non-Financial Risks sind überall auf der Welt relevant, also auch bei uns.

Die Verluste können nicht nur durch Diebstähle wie im Fall Bangladesch entstehen. Es können auch Strafzahlungen sein, die wegen Marktmanipulation fällig werden. Oder Schadensersatzansprüche, weil ein Mitarbeiter Geld von Kunden veruntreut hat. Die Liste lässt sich beliebig fortsetzen.

Als besonders dynamische Non-Financial Risks gelten derzeit IT- und Cyber-Risiken.

Diese Woche hat Microsoft seinen Digital Defense Report 2020 veröffentlicht und erneut festgestellt, dass die Angriffe immer professioneller werden.

Herr Dr. Finkler, Herr Bretz und Herr Dr. Plewan, die wir später noch in einer Panel-Diskussion zum Umgang mit IT-Risiken hören dürfen, werden Microsoft da sicher zustimmen.

Diese Risiken können, wenn sie eintreten, immer größeren Schaden anrichten, weil die Digitalisierung der Finanzdienstleister zügig voranschreitet – und seit der Corona-Pandemie noch zügiger. Der Digital Defense Report von Microsoft führt aus, dass die Angreifer zunehmend die Pandemie und die dadurch entstehenden Ängste für ihre maliziösen Angriffe ausnutzen.

Und wo vor 20 Jahren bei einem Cyber-Angriff vielleicht nur einige Teile des Geschäftsbetriebs betroffen gewesen wären, kann ein Finanzdienstleister, ja das gesamte Finanzsystem, heute ohne IT überhaupt nicht mehr „funktionieren“. Wir reden also über Mega-Risiken für die Finanzstabilität.

Unternehmen, die sich gegen solche Risiken nicht ausreichend schützen, sodass beispielsweise Daten gestohlen werden oder Zahlungssysteme nicht verfügbar sind, laufen darüber hinaus Gefahr, das Vertrauen ihrer Kunden nachhaltig zu verlieren.

Es ist daher nicht übertrieben, zu sagen: Non-Financial Risks können Existenzen kosten.

Wenn diese Risiken potenziell so hohen Schaden anrichten können – wie können, wie müssen wir ihnen dann aktiv entgegentreten?

3 Den Risiken entgegentreten: Steuerung von Non-Financial Risks

In die Details einer wirksamen Steuerung von Non-Financial Risks möchte ich an dieser Stelle gar nicht einsteigen, denn zu diesem Thema hören Sie später noch mehr in den Paneldiskussionen und von Herrn Ramsperger.

Aber so viel sei gesagt: Die Steuerung von Non-Financial Risks ist äußerst komplex und birgt im Vergleich zur Steuerung sogenannter herkömmlicher Finanzrisiken ganz neue Herausforderungen.

So stellt sich etwa die Frage, wie Non-Financial Risks quantifiziert werden können.

Hier fehlt es oft schon an einer geeigneten Datenbasis. Denken Sie beispielsweise an das Betrugsrisiko. Woher bekommt man Daten, um dieses Risiko zu messen? Schließlich möchte kein Arbeitgeber seine Mitarbeiter danach fragen, mit welcher Wahrscheinlichkeit sie Betrug begehen würden. Mal davon abgesehen, dass die echten „schwarzen Schafe“ wohl kaum ehrlich antworten würden.

Eine weitere Schwierigkeit bei der Quantifizierung von nicht-finanziellen Risiken ist, dass ein Risiko mit anderen Risiken verflochten sein kann. Wenn beispielsweise das Betrugsrisiko schlagend wird, weil ein Mitarbeiter Geld veruntreut hat, muss sich ein Institut nicht nur fragen „Wie hoch ist der Verlust aus der Veruntreuung?“, sondern auch „Wie hoch sind die Folgeverluste durch die beschädigte Reputation?“

Neben diesen quantitativen Herausforderungen muss auch auf qualitativer Ebene angesetzt werden: beispielsweise bei einer starken Risikokultur in der Organisation.

Und da Non-Financial Risks sehr dynamisch sind und gern in immer wieder „neuem Gewand“ auftauchen, müssen alle Steuerungsmaßnahmen regelmäßig kritisch überprüft werden.

Trotz all dieser Herausforderungen ist eine wirksame Risikosteuerung von Non-Financial Risks für Banken hoch relevant. Dafür sehe ich drei Gründe.

Erstens – dies wird für viele Kreditinstitute vermutlich auf den ersten Blick am wichtigsten sein: Sie können finanzielle Schäden unbegrenzten Ausmaßes vermeiden und die eigene Existenz sichern.

Zweitens hat das Institut die Chance auf verbesserte Kundenbeziehungen. Kunden, die in der Zeitung lesen, dass ihre Daten bei einem Cyber-Angriff auf ihre Bank erbeutet wurden oder dass ihre Bank Geld veruntreut hat, haben verständlicherweise Anlass, ihr Konto zu wechseln.

Und drittens ist eine wirksame Steuerung von Non-Financial Risks auch für die Aufsicht relevant. Denn je besser das Risikomanagement eines Instituts, desto geringer kann der aufsichtliche Zuschlag bei den Eigenkapitalanforderungen ausfallen – und die Prüfer interessiert in diesem Prozess immer mehr auch das Management der Non-Financial Risks.

Das führt mich zum nächsten Punkt, über den ich mit Ihnen sprechen möchte: Der Blick der Aufsicht auf Non-Financial Risks.

4 Non-Financial Risks im Fokus der Aufsicht

Wir als Aufsicht haben ein hohes Interesse daran, dass Kreditinstitute Non-Financial Risks angemessen managen. Denn diese Risiken bedrohen einzelne Banken im Kern, aber auch die Finanzstabilität als Ganzes. Daher nehmen die Aufsichtsbehörden Non-Financial Risks immer stärker in den Fokus.

Auf europäischer Ebene hat die EBA vor zwei Jahren in ihren Leitlinien zur internen Governance festgelegt, dass eine Bank in ihrem Risikomanagement-Rahmenwerk nicht nur ihre finanziellen, sondern auch ihre nicht-finanziellen Risiken adressieren und deren Ausmaß abschätzen soll. Und die EZB hat vor ein paar Jahren Non-Financial Risks in ihre Prüfungsplanung aufgenommen.

In diesem Jahr, zu Beginn der Pandemie, haben wir Aufseher natürlich besonders die operationellen Risiken unter die Lupe genommen.

Daneben gilt unser besonderes Augenmerk derzeit aber den IT- und Cyber-Risiken.

BaFin und Bundesbank haben dazu gemeinsam vor drei Jahren die Bankaufsichtlichen Anforderungen an die IT in Banken, kurz: BAIT, erarbeitet. Im kommenden Jahr steht hier eine Novelle an, um mit den Leitlinien der EBA konform zu sein.

Die BAIT werden dann weitere Anforderungen an die IT-Sicherheit von Instituten enthalten. Das bietet Orientierung für alle. Ein weiterer Schwerpunkt der BAIT-Novelle liegt auf regelmäßigen Schulungen zum Thema IT-Sicherheit. Denn die beste Technik nützt nichts ohne gut ausgebildetes Personal.

Damit die europäischen Finanzdienstleister in Bezug auf Cyber-Risiken gut aufgestellt sind, begrüßen wir auch konkrete Tests der operativen Informationssicherheit.

Mitglieder des Europäischen Systems der Zentralbanken haben ein einheitliches Rahmenwerk für sogenannte Red-Teaming-Übungen entwickelt – auf Englisch Threat-Intelligence Based Ethical Redteaming, kurz TIBER.

Was kompliziert klingt, bietet in der Praxis großen Nutzen: Größere Banken und Versicherungen haben die Möglichkeit, sich im Rahmen freiwilliger TIBER-Tests realitätsnahen, aber kontrollierten Cyber-Angriffen auszusetzen, um ihre Widerstandskraft gegen Cyber-Risiken zu testen.

Bei Interesse können sich die Banken und Versicherungen an das „TIBER Cyber Team“ wenden, das für Deutschland bei der Bundesbank angesiedelt ist. Das TIBER Cyber Team begleitet und unterstützt die von Unternehmen durchgeführten TIBER-Tests während ihres kompletten Verlaufs.

Bei diesen Tests beauftragt die Bank oder die Versicherung jeweils sogenannte „Threat Intelligence-“ und „Red“ Teams, die sich unternehmensspezifische Bedrohungsinformationen beschaffen und den simulierten Angriff durchführen. Die Angreifer versuchen, in die Unternehmenssysteme einzudringen und vorab definierte Ziele zu erreichen. Dabei greifen sie auf die Methoden echter Hacker zurück, natürlich ohne absichtlich Schäden herbeizuführen.

Im Anschluss an den Test erhält das Institut ein Feedback zu seiner IT-Sicherheit und weiß, woran es künftig arbeiten sollte.

Während TIBER also nicht als aufsichtliches Instrument dient, ermöglicht es Banken und Versicherungen, sich in einem geschützten und kontrollierten Rahmen mit den eigenen Schwachstellen auseinanderzusetzen.

Sie sehen: Wir als Bundesbank befassen uns keineswegs nur in unserer Rolle als Aufseher oder wegen unserer eigenen IT-Sicherheit mit IT-Risiken, sondern bieten mit der Begleitung von TIBER-Tests auch eine Dienstleistung an.

Wir nehmen Non-Financial Risks „ins Visier“. Für uns als Aufsicht bedeutet das unter anderem, dass wir diese Risiken weiterhin und künftig immer stärker in Prüfungen berücksichtigen werden. Unsere Hoffnung und unsere Erwartung ist, dass Institute diesen Risiken verstärkt Aufmerksamkeit widmen, ihre Risikosteuerungsmaßnahmen ausbauen und uns gegenüber transparent machen.

Zudem befassen wir uns in der Bundesbank intensiv mit Risiken, die von ganz aktuellen technologischen Entwicklungen ausgehen, wie beispielsweise der Cloud-Nutzung oder dem Einsatz von Künstlicher Intelligenz. Im Sommer haben wir in der Bankenaufsicht der Bundesbank eine umfassende interne Analyse zu Künstlicher Intelligenz und ihrer aufsichtlichen Behandlung erstellt.

Auch die EU-Kommission packt das Thema in dem vergangene Woche vorgelegten Aktionsplan für den digitalen Finanzsektor entschlossen an. Und Europa ist hier – das kann man meiner Meinung nach durchaus selbstbewusst sagen – weltweit zu einem Vordenker und einem Vorreiter geworden.

5 Fazit

Meine Damen und Herren, welches erste Fazit können wir ziehen?

Zum einen: Trotz ihres Namens „Non-Financial Risks“ können diese Risiken, wenn sie eintreten, erhebliche negative Auswirkungen auf finanzielle Größen, nämlich auf die Bilanz und die GuV, haben. Daher ist eine adäquate Steuerung dieser Risiken für Institute, die zukunftsfähig sein wollen, ein „Must-have“.

Auch bei Kostendruck aufgrund einer schwachen Ertragssituation ist es wichtig, in diese Steuerung zu investieren. Denn die Investitionen werden sich bezahlt machen.

Zum anderen: Die Steuerung von Non-Financial Risks ist eine sehr anspruchsvolle Aufgabe und wird in den kommenden Jahren vermehrt und zunehmend intensiver aufsichtlich geprüft werden.

Die Steuerung von Non-Financial Risks ist eine Aufgabe, die von der Bankleitung ausgehen muss, sie ist eine Managementaufgabe.

Die Herausforderung ist nicht trivial, denn auf die etablierte Risikosteuerung für finanzielle Risiken lässt sich kaum aufsetzen.

Daher wird es mit einer Arbeitsgruppe, die sich diesem Thema widmet, nicht getan sein. Vielmehr muss die gesamte Organisation für Non-Financial Risks sensibilisiert werden.

Entscheidend ist, diese Herausforderung schon heute und mit voller Kraft anzugehen. Dann kann der Umgang mit Non-Financial Risks tatsächlich zu einem Erfolgsfaktor der Organisation werden – wie es der Titel unserer Tagung verheißt.

Auf dem Weg zu einer zielgerichteten Steuerung dieser Risiken haben wir als Aufsicht eine zentrale Rolle. Wir müssen durch klare Anforderungen unsere Erwartungen transparent machen. Diese Herausforderung nehmen wir mit hohem Verantwortungsbewusstsein an.

Meine Damen und Herren, nun wünsche ich spannende Diskussionen – und im Anschluss gute Umsetzung in Ihren Instituten und Organisationen!

Vielen Dank für Ihre Aufmerksamkeit!