Aufrufe
vor 5 Jahren

die bank 02 // 2015

  • Text
  • Banken
  • Unternehmen
  • Diebank
  • Deutschland
  • Banking
  • Optionen
  • Kommunikation
  • Risiken
  • Deutsche
  • Beratung
die bank gehört zu den bedeutendsten Publikationen der gesamten Kreditwirtschaft. Die Autoren sind ausnahmslos Experten von hohem Rang. Das Themenspektrum ist weit gefächert und umfasst fachlich fundierte Informationen. Seit 1961 ist die bank die meinungsbildende Fachzeitschrift für Entscheider in privaten Banken, Sparkassen und kreditgenossenschaftlichen Instituten. Mit Themen aus den Bereichen Bankmanagement, Regulatorik, Risikomanagement, Compliance, Zahlungsverkehr, Bankorganisation & Prozessoptimierung und Digitalisierung & Finanzinnovationen vermittelt die bank ihren Lesern Strategien, Technologien, Trends und Managementideen der gesamten Kreditwirtschaft.

ó BANKING 2. These:

ó BANKING 2. These: Cyber-Risiken gewinnen an Bedeutung Die moderne Informations- und Kommunikationstechnologie (ITK) durchdringt heute alle Geschäftsbereiche des internationalen Bankwesens, beeinflusst die Geschäftsmodelle der Institute und ist ein entscheidender Wettbewerbsfaktor. Als Begleiterscheinung nehmen allerdings auch die spezifischen Risiken zu, die Bankdienstleistungen beeinträchtigen, die Sicherheit einzelner Institute und des gesamten Bankensystems gefährden sowie erhebliche Negativeffekte für die Gesamtwirtschaft nach sich ziehen können. Da gemäß § 25a KWG für die IT-Infrastruktur einer Bank stets die Geschäftsleitung verantwortlich ist, ist das Thema IT- (Risiko-)Management Chefsache eines jeden Instituts. Zu Recht, denn das Risikopotenzial ist enorm. In Cyber-Risiken sehen sowohl nationale als auch internationale Unternehmen das größte finanzielle Risikopotenzial für ihre Geschäftstätigkeit. Die Cyber-Sicherheit erweitert das Aktionsfeld der klassischen IT-Sicherheit auf den gesamten Cyber-Raum. Dieser umfasst sämtliche mit dem Internet und vergleichbaren Netzen verbundene Informationstechnik, alle für die Datenverarbeitung erforderlichen Anlagen (Hardware) und schließt alle darauf basierenden Anwendungen, Prozesse und verarbeiteten Informationen mit ein. 2 Durch die globale Vernetzung ist mittlerweile jeder mit dem Internet verbundene Nutzer angreifbar geworden. Der Zugriff auf das Internet ist für die Banken unverzichtbar. Die Institute nutzen das Web als Kommunikationsmedium sowie als Verkaufs- und Marketing-Plattform. Doch das IT-Risiko bezieht sich nicht nur auf die bankeigenen Netzwerke, denn Hackerangriffe auf Großunternehmen mit riesigen Datenbeständen (Big Data) wie Amazon, Google, Facebook oder Target erhöhen durch Dominoeffekte das Gesamtrisikopotenzial. Mit gezielten Angriffen versuchen Cyber-Kriminelle im großen Stil über das Internet Geldflüsse umzuleiten. Zum Einsatz kommen u. a. Phishing-Programme, die Sicherheitsmaßnahmen von Banken umgehen und Kontoinformationen ausforschen sollen, manipulierte Apps, die ahnungslose Nutzer auf ihrem Smartphone oder Tablet-PC installieren, oder Websites, die mit Schadsoftware hinterlegt sind. Typische Schwachstellen in der Infrastruktur sind Programmier-, Konzeptions- und Konfigurationsfehler sowie menschliches Fehlverhalten. Um derartige Ridie Zusammenarbeit zwischen Regulatoren und Banken betroffen. Die Verfahren zur Aggregation und zum Reporting von Risikodaten sollen nicht nur im Regelbetrieb einen Nutzen stiften, sondern vor allem in Krisenzeiten, wenn zeitnahe Informationen zur Entscheidungsfindung erforderlich sind. Durch eine Vielzahl von Marktveränderungen ist eine hohe Reaktionsgeschwindigkeit mehr und mehr von entscheidender Bedeutung. Zur Erfüllung der neuen Regelungen gemäß BCBS 239 ist eine konzernund geschäftsübergreifende Definition, Erfassung und Verarbeitung risikorelevanter Daten mit hohen Anforderungen an die Beschaffenheit und Konsistenz von Risikodaten und Risikoreports erforderlich. Keine leichte Aufgabe, wenn man bedenkt, dass viele Banken bei der Erfüllung dieser Aufgabe noch relativ weit von den Anforderungen der Aufsicht entfernt sind. In den Anforderungen steckt auch der Anspruch nach mehr Tempo: So benötigen bislang viele Institute rund 20 Tage, um auf Grundlage der verschiedenen Monatsabschlüsse der Töchter die Risikotragfähigkeit der gesamten Gruppe zu berechnen. Zu lange für die Regulatoren, um sich ein aktuelles Bild von der Risikolage einer Bank zu machen. Künftig erwartet die Aufsicht einen kompletten konzernweiten Risikobericht beim Vorstand schon zehn Tage nach Monatsultimo. Im Laufe der Zeit sind an unterschiedlichen Stellen in den Banken jedoch viele Einzellösungen und Datensammelstellen entstanden, mit der Konsequenz, dass teils redundante, teils veraltete, auf jeden Fall aber komplexe Systeme herangewachsen sind, die aufwendig im Betrieb und oft unflexibel beim Umsetzen neuer Anforderungen sind. Alleine schon die Vielzahl unterschiedlicher Positionen in typischen Bankportfolien und die meist hohe Anzahl an zu betrachtenden Szenarien stellen erhebliche Anforderungen an die Leistungsfähigkeit der jeweiligen IT-Systeme. Die Anforderungen der BCBS 239, die bis Ende 2015 umgesetzt werden müssen, gehen an vielen Stellen weit über das hinaus, was kleine und mittlere Institute leisten können, da die Grundsätze in erster Linie auf große, systemrelevante Banken (G-SIBs) abstellen. Mittelfristig dürften sich die Prinzipien aber als Best Practice im Markt etablieren. Die IT-Infrastrukturen für das Risikomanagement in Banken geraten deshalb generell auf den Prüfstand und müssen sich im Hinblick auf eine schnelle und effiziente Funktionalität beweisen. In der Konsequenz gewinnt eine angemessene technisch-organisatorische Ausstattung (IT-Infrastruktur) und die Sicherstellung von Genauigkeit, Vollständigkeit und Aktualität der Daten ebenso eine größere Bedeutung wie die Verfügbarkeit flexibler Auswertungsmöglichkeiten (Datenaggregationsprozesse). Fragmentierte IT-Architekturen müssen vereinheitlicht und Schwächen in der Ad-hoc-Reportingfähigkeit beseitigt werden. Unter einer länderübergreifenden Bankenaufsicht dürfte diese Entwicklung internationale Normierungen zur Folge haben. In den Fokus rücken dadurch weniger komplexe Rechentechniken, die zunehmend durch das Datenpunktmodell der Europäischen Bankenaufsicht EBA standardisiert werden, sondern mehr Datenqualitätsaspekte und Entscheidungsfindungen, die auf das Geschäftsmodell und die Prozesse ausgerichtet sind. Am Ende steht idealtypischerweise eine ganzheitliche Risikoentscheidung unter Berücksichtigung von Abhängigkeiten zwischen Risikostreuung und Risiko-Units im Unternehmen. 26 diebank 2.2015

BANKING ó Globale Risikolandkarte Niedriges Risiko Moderat niedriges Risiko Moderates Risiko Moderat hohes Risiko Hohes Risiko Sehr hohes Risiko Quelle: Atradius. 3. These: Risikomanagement wird interdisziplinär Neben der Informations- und Kommunikationstechnologie befindet sich im Bankbetrieb eine Vielzahl weiterer risikorelevanter Stabstellen und Abteilungen. Mitunter konkurrieren diverse Einheiten aufgrund eines ausufernden Beauftragtenwesens mit ungeklärten Zuständigkeiten um die führende Risikomanagement-Funktion. Dem Austausch von Informationen zwischen Kommunikation, Risikomanagement, Recht, Compliance und Revision kommt eine besondere Rolle zu, da Risikointerdependenzen und -divergenzen auch organisatorisch abgebildet werden müssen. Bankaufsichtlich soll dem durch die Mindestanforderungen an das Risikomanagement (MaRisk) Rechnung getragen werden, die u. a. die Einrichtung einer Compliance-Funkfl International agierende Banken müssen zwangsläufig politische, gesellschaftliche, ökonomische und kulturelle Variablen überall auf der Welt beobachten. tion verlangen, die Verfahren und Kontrollen zur Einhaltung der für das Institut spezifischen rechtlichen Regelungen überwachen und bewerten muss (AT 4.4.2 MaRisk). Ein optimales Schnittstellenmanagement mit anderen Bereichen, wie der Internen Revision, der Rechtsabteilung und dem Risikomanagement, ist dabei ein wesentliches Element einer angemessenen und wirksamen Risiko-Organisation. Durch diesen Ansatz wird ein unternehmensweites Risikomanagement zunehmend interdisziplinär. Dies zeigt sich beispielsweise auch bei der strategischen Frage, in welchem Bereich die Steuerung des Reputationsrisikos erfolgen sollte. Im Rahmen eines Gesamtrisikomanagement-Ansatzes mit Schnittstelle erfolgt die Steuerung nicht in einer isolierten Abteilung, etwa der Kommunikation oder der Markenführung, sondern ist in ein ganzheitliches Risikomanagement des Unternehmens eingebettet, an dem die Experten aus allen risikotangierten Bereichen teilnehmen. Eine unterstützende Anbindung des Gesamtrisikomanagements direkt an einen Vorstandsbereich hilft zudem bei der Durchführung notwendiger Präventionsmaßnahmen. Drehkreuz ist ein zentraler Ansprechpartner mit entsprechender risikocontrolling-orientierter Ausbildung aus dem Corporate-Communication-Bereich, der an allen relevanten Entwicklungen, Besprechungen usw. teilnimmt. Im Rahmen einer Organisation ohne Schnittstelle kommt der Unternehmenskommunikation bzw. Public Relations beim Resiken, die in gleichem Maße steigen wie die Abhängigkeit der Beteiligten von den IT-Strukturen zunimmt, zu minimieren, sind mehr und mehr Sicherheitsmaßnahmen erforderlich. Dazu gehören die Risiko-Prävention (Minimierung der Angriffsflächen durch Firewalls, DDoS-Strategien, Berechtigungen usw.), Risiko-Erkennung (Protokollierung und Überwachung durch konsequentes IT-Monitoring) sowie die Risiko-Reaktion (Abwehrmaßnahmen, forensische Analysen u. a. m.). Das IT-Risikomanagement muss somit in der Gesamtrisikostrategie berücksichtigt werden und ist nicht alleiniger Aufgabenbereich der IT-Fachabteilung. 2.2015 diebank 27

die bank