Matrix Technology AG
Blog > IT-Risikomanagement – steigende Anforderungen für Banken und Versicherungen

IT-Risikomanagement – steigende Anforderungen für Banken und Versicherungen

Wolfgang Mokosch

Wolfgang Mokosch

Senior IT-Consultant & Interne Revision

Wolfgang Mokosch beschäftigt sich seit mehr als zwei Jahrzehnten mit unterschiedlichen Aspekten aus den Themengebieten IT-Sicherheit und Risk Management. Seine Kernkompetenzen liegen in den Bereichen Sicherheitskonzepte, Sicherheitsmanagement und Datenschutz.

Alle Beiträge des Autors

Nicht erst seit der Bankenkrise 2008 und den seitdem sinkenden Margen ist die Reputation für Banken und Versicherungen die elementare Geschäftsgrundlage. Störfälle und Schäden verursachen nicht nur direkte Kosten, sondern wirken finanziell nachhaltig durch negative Einflüsse auf Kundenbasis und Rating. Nicht nur globale Cyberangriffe sondern auch lokale Ereignisse wie fehlerhafte Überweisungen, Doppelbuchungen oder der temporäre Ausfall des Online Bankings schaffen es in die Schlagzeilen. Neben den jährlich wachsenden Risiken durch externe Bedrohungen sind die Institute mit der Herausforderung konfrontiert, dass Strukturen innerhalb der IT oftmals nicht angemessen und verwendete Technologien veraltet sind.

Diese Missstände haben auch die nationalen und internationalen Aufsichtsbehörden erkannt und haben begonnen, den Begriff Risiko für den Bereich der IT zu spezifizieren und gezielte Maßnahmen von den Instituten und deren Dienstleistern einzufordern.

Risikodaten – im Bereich Finance ein strukturelles Problem

Während der Finanzkrise wurde evident, dass Risikodaten nicht verfügbar waren - sei es durch mangelnde Erhebung, fehlerhafte Aggregation oder lückenhaftes Reporting. Diese massiven strukturellen Probleme führten dazu, dass Risiken nicht rechtzeitig erkannt wurden und ein steuerndes Eingreifen nicht mehr möglich war. Die Politik musste viele Institute mit dem Geld der Steuerzahler retten. Als eine der Lehren aus dieser Rettungsaktion wurden von Seiten der nationalen und internationalen Bankenaufsicht die Anforderungen an das Risikomanagement signifikant erhöht.

Ein besonderer Schwerpunkt wurde dabei auf die IT-bezogenen Probleme bei den Instituten und Unternehmen im Bereich Finance gelegt. Eine Reihe von regulatorischen Maßnahmen soll das IT-Risikomanagement im Bereich IT auf eine gesunde, den heutigen Ansprüchen entsprechende Basis stellen. Welche hohen Erwartungen mit der Initiative verbunden sind, verdeutlichte das Vorstandsmitglied der deutschen Bundesbank, Andreas Dombret. Er wies im Jahr 2017 darauf hin, dass es das Ziel sein müsse, Cyberattacken innerhalb von 72 Stunden aufzudecken. Von diesem Ziel sei man allerdings noch weit entfernt: Die Institute benötigen heute durchschnittlich 156 Tage, um einem Angriff auf die Spur zu kommen. Diese 156 Tage beziehen sich allerdings nur auf die erkannten Angriffe. Würde man die nicht erkannten Fälle in diese Statistik einbeziehen können, würde die Zahl wohl noch deutlich schlechter sein.

Daher auch der Ansatz, es unter anderem mit Hilfe von aktiv betriebenem Risikomanagement erst gar nicht zu erfolgreichen Attacken kommen zu lassen.

Risikomanagement – eine Begriffsklärung

Im Sinne der allgemeingültigen Definition ist Risikomanagement eine explizite Führungsaufgabe. Sie hat zum Ziel, Risiken innerhalb einer Organisation zu identifizieren, zu analysieren und zu bewerten. Das erfordert die Schaffung eines Regelwerks, das übergeordnete Strategien, Ziele und die Politik festlegt, die in der Organisation für das Risikomanagement zum Einsatz kommen sollen.

Zu den Aufgaben des Risikomanagements gehört die Schaffung von Kriterien zur Einstufung und Bewertung von Risiken. Auch die Festlegung der Methoden zur Ermittlung von Risiken ist Bestandteil des Regelwerks. Des Weiteren sind die Verantwortlichkeiten zu klären, die bei Risikoentscheidungen zur Anwendung kommen. Weitere Elemente des Regelwerks betreffen die externe und interne Kommunikation über lokalisierte Risiken, die Bereitstellung von Ressourcen zu ihrer Abwehr und die Qualifikation des am Risikomanagement beteiligten Personals. Alle Kriterien zum Risikomanagement nach Norm ISO 31000 sind in der aktualisierten Version aus dem Jahr 2018 geregelt.

Die dynamische Struktur des Risikomanagements

Risikomanagement ist ein fließender, fortlaufender Prozess. Das Verfahren folgt dem Regelkreis Planung, Umsetzung, Überwachung und Verbesserung - auch bekannt als Demingkreis oder PDCA-Zyklus. Das von dem amerikanischen Physiker Walter Andrew Shewhart entwickelte Verfahren verläuft in einem iterativen Prozess, der drei oder vier Phasen aus Lernen und Verbesserung umfasst. PDCA steht dabei für Plan – Do – Check – Act. Darauf aufbauend soll Risikomanagement ein fortlaufender Prozess werden, der über die gesamte Lebenszeit der Organisation abläuft. Daraus soll schließlich eine ausgereifte Kultur der Risikolenkung in der Organisation werden.

Risikomanagement nach ISO 31000 ist allgemein angelegt. Es kann in jedem Bereich zur Anwendung kommen, in dem Risiken auftreten und ist nicht auf bestimmte Branchen beschränkt.

In Unternehmen und Instituten mit einem Aufsichtsgremium orientiert sich das Risikomanagement an den Anforderungen des Kontroll- und Transparenzgesetzes (KonTraG). Die Zielsetzung der Früherkennung ist es, existenzbedrohende Risiken frühzeitig auszumachen und mit nachvollziehbaren Methoden zu überwachen. Dabei ist die Aggregation der einzelnen Risiken von zentraler Bedeutung, um das Gesamtrisiko zu ermitteln, denn gerade synergetische Effekte aus mehreren Einzelrisiken können eine bestandsbedrohende Situation auslösen.

Aus der Verringerung der Wahrscheinlichkeit existenzbedrohender Krisenlagen, ausgelöst durch die hinzugewonnene Risikotransparenz, bezieht das Risikomanagement seinen ökonomischen Nutzen. Der Umfang der finanziellen Bedrohungslage errechnet sich aus den Auswirkungen vorliegender Risiken auf das zukünftige Rating, auch Ratingprognose genannt. Weitere Nutzanwendungen eines effektiven Risikomanagements sind die Verringerung der Risikokosten und eine erhöhte Planungssicherheit.

Reihenfolge der Prozessschritte

Der innere Ablauf des Risikomanagement-Zyklusses umfasst folgende Schritte:

  • Risiken identifizieren (Art und Ursachen beschreiben)
  • Identifizierte Risiken bezüglich ihrer Eintrittswahrscheinlichkeiten und potentiellen Auswirkungen analysieren
  • Risiken einwerten (anhand von festgelegten Kriterien)
  • Risiken beherrschen oder bewältigen (mittels Maßnahmen zur Reduktion der Eintrittswahrscheinlichkeit oder der Auswirkung, Risikoübertragung oder -akzeptanz)
  • Risiken überwachen (durch den Einsatz von festgelegten Parametern)
  • Risiken dokumentieren (zum Festhalten aller Vorgänge, die für die Risikoanalyse von Bedeutung sind)

Besonders in größeren Organisationen bewegen sich die anfallenden Datenmengen im Bereich von Big Data. Um in solchen Fällen den effektiven Umgang mit den anfallenden Datenmengen zu ermöglichen, ist der Einsatz von Software gestützten Risikomanagement Tools sinnvoll. Dies erlaubt eine strategische Risikobewertung, da Programme dieser Art nicht nur die aktuelle Risikosituation der Organisation abbilden können, sondern auch für eine Simulationen potenzieller Risiken in der Zukunft verwendet werden können.

Übersicht über die Risikoarten

Das wirtschaftliche Gesamtrisiko unterteilt sich in verschiedene Risikotypen. Bei Banken sind das idealtypisch:

  • Kreditrisiko (Ausfall von Kreditnehmern)
  • Kontrahentenrisiko (Ausfall von Kontrahenten bei Handelsgeschäften - Sonderform des Kreditrisikos)
  • Marktrisiko (Zinsänderungen, Wechselkurse)
  • Liquiditätsrisiko (keine flüssigen Mittel für fällige Zahlungen)
  • Marktliquiditätsrisiko (kein Geschäftsabschluss zu den erwarteten Konditionen wegen mangelnder Marktliquidität)
  • Operationelles Risiko (beispielsweise durch Störfälle in der IT)

Obwohl man es im Grunde den operationellen Risiken zuordnen könnte, wird das Reputationsrisiko, also das Risiko für einen Image– oder Ansehensverlust, von zahlreichen Unternehmen als eigenständiger Risikotyp aufgefasst. Ein weiterer Sondertyp ist das Klumpenrisiko, also die Häufung von risikoreichen Einzelengagements, die miteinander in Zusammenhang stehen, beispielsweise bei länderbezogenen oder branchentypischen Risiken.

Risikomanagement im Bereich Finanzdienstleistung

Der Regulierungsrahmen für ein effektives und angemessenes Risikomanagement wird für deutsche Kreditinstitute und Finanzdienstleister durch die Mindestanforderungen an das Risikomanagement (kurz: MaRisk) vorgegeben. Diese Vorgabe zielt darauf ab, Missständen und Fehlentwicklungen im Kreditwesen und bei den Finanzdienstleistern entgegenzuwirken. Dabei geht es im Besonderen um die Identifizierung, Steuerung, Beurteilung, Kommunikation und Überwachung relevanter Risiken.

Die Institute sind angehalten, Indikatoren zur frühzeitigen Lokalisierung von Risiken zu entwickeln. Sie sollen die Basis für die Implementierung und Weiterentwicklung von Verfahren bilden, die der Früherkennung und Klassifizierung von Risiken dienen.

Der Regulierungsrahmen befasst sich auch mit dem Umstand, dass es derzeit noch keine Verfahren gibt, um die Quantifizierung von Risiken in der Realität vollständig und fehlerfrei abzubilden. Die Unternehmen müssen daher Ungenauigkeiten bei der Risikobewertung in die Beurteilung der Tragfähigkeit von Risikomodellen mit einbeziehen.

Eine weitere Forderung des Regulierungsrahmens betrifft den Zeitrahmen. Wesentliche Schadensfälle müssen unverzüglich auf ihre Ursachen untersucht werden. Das ermöglicht es, Schwachstellen und Defizite in den Risikomodellen frühzeitig zu erkennen und die statistische Erfassung von Schadenshäufigkeiten zu fördern.

5. MaRisk-Novelle aus 2017

Eine der wichtigsten Neuerungen der Novelle umfasst die Mindestanforderungen an die Aggregation von Risiken und an das Reporting. Besonders bei den Mindestanforderungen an die Genauigkeit, Aktualität, Vollständigkeit und Integrität der Datenaggregation enthält das Regelwerk konkrete Richtlinien.

Auch eine markante Anhebung der Mindestanforderungen an individuelle IT-Lösungen bei Standardprozessen für alle Institute ist Gegenstand des Regelwerks. Mit Einführung der geforderten erhöhten Sicherheitsstandards wachsen aber auch die Anforderungen vor und während des Betriebs von individualisierter Standardsoftware (z.B. Makros für Excel), da diese Anwendungen nicht mehr ohne formalisierten Life-Cycle-Prozess betrieben werden dürfen.

Die Novelle formuliert die Mindestanforderungen an die Berichterstattung zu Risikolagen durch die verbindliche Vorgabe der Basisprinzipien 7 bis 11 des BCBS-Papiers #239. Demnach muss eine korrekte Berichterstattung aktuelle, vollständige und zeitnahe Risikodaten als Datenbasis zur Grundlage haben. Daraus lässt sich ein vollständiges Bild aller relevanten Risikotypen gewinnen, das zudem jederzeit anpassbar ist. Allerdings erfordert dieses Vorgehen eine signifikante Steigerung der Datenqualität.

Alle Institute, die der MaRisk unterliegen, sind an die darin formulierten Mindestanforderungen gebunden. Allerdings ist ihre Erfüllung ohne proportionale Umsetzung auf dem Gebiet der Aggregation von Risikodaten kaum vorstellbar. Die BaFin und andere Aufsichtsbehörden sind sich dieses Umstands bewusst und formulieren ihn auch ausdrücklich im Anschreiben zum Entwurf der 5. Novelle. Dabei lassen die Behörden keinen Ermessensspielraum, was die Gültigkeit bei den angeschlossenen Instituten betrifft. Auch kleinere und einfacher strukturierte Unternehmen sind an die Mindestanforderungen gebunden, wobei allerdings eine gewisse Toleranz bei der Proportionalität der Umsetzung zur Anwendung kommt.

Die systemrelevanten Unternehmen befinden sich allerdings schon seit längerer Zeit im Fokus der Aufsichtsbehörden. Bereits 2015 ging ihnen die Anweisung zu, alle Anforderungen gemäß BCBS #239 innerhalb von drei Jahren umzusetzen. Der maßgebliche Impuls geht dabei von den erhöhten Forderungen zur Berichterstattung aus. Demnach sollen die Institute die turnusmäßige Berichterstattung zur Risikolage unter Berücksichtigung der Mindestanforderungen in Zukunft spätestens zehn bis fünfzehn Tage nach dem Ultimostichtag abschließen.

Damit verfolgen die Behörden das strategische Ziel, die Unternehmen zur Einführung einer zeitgemäßen, auf automatisierten Abläufen basierenden IT-Struktur zu drängen, einschließlich assoziierter Prozesse. Bisher haben sich auf diesem Gebiet vornehmlich integrierte Datawarehouse-Applikationen etabliert. Ein einvernehmlicher, branchenweiter Systemstandard hat sich dabei allerdings noch nicht durchgesetzt.

Anforderungen der Bankenaufsicht an die IT (kurz: BAIT)

Der Umgang mit Risiken im IT-Bereich sind in der MaRisk zwar umfassend, aber doch relativ generisch beschrieben. Daher haben die Aufsichtsbehörden angesichts aktueller Gefährdungslagen und auf der Basis ihrer Erfahrungen bei entsprechenden Prüfungen weiteren Bedarf an konkretisierenden Regelungen identifiziert. Diese zusätzlichen Richtlinien für die IT wurden unter der Bezeichnung BAIT am 3. November 2017 veröffentlicht. Im Wesentlichen geht es dabei um eine Anpassung der Mindestanforderungen an aktuelle Risikotrends in der IT, wie sie beispielsweise beim Outsourcing von IT-Leistungen oder durch Cyberrisiken entstehen können.

Für die betroffenen Institute ergibt sich dadurch unmittelbarer Handlungsbedarf. So sind beispielsweise konkrete Anforderungen an die Dokumentation formuliert. Es ist eine Informationssicherheitsleitlinie in Kraft zu setzen, die alle Schutzziele umfassend beschreibt und alle relevanten organisatorischen Aspekte enthält – dies alles in Abstimmung mit der IT-Strategie des Instituts.

Ein wesentliches Element der BAIT ist die erstmalige Forderung nach einer eigenständigen IT-Strategie. Zwar verfügen zahlreiche Institute bereits heute über eine derartige Strategie, doch wird sich bei den meisten von ihnen durch die detaillierten Mindestanforderungen Bedarf für Nachbesserungen einstellen.

Einer der Gründe für die Anpassungen liegt an den nun deutlich detaillierter formulierten Erwartungen an die Risikobehandlung. Zusätzlich wird eine Reihe substanziell neuer Anforderungen in Bezug auf die IT-Strategie formuliert. Beispielsweise gibt es konkrete Forderungen zu Ressourcenplanung und Budget für die personelle Ausstattung. Weitere Forderungen betreffen die endgültige Ausgestaltung der IT-Architektur und die Umsetzung aufsichtsrechtlicher Standards innerhalb der IT-Prozesse.

Die BAIT zielen darauf ab, die IT der Institute strategisch auszurichten. Dies bedeutet Qualität in die aktuelle IT-Landschaft zu bringen und den Rahmen für die Zukunft zu setzen. Darüber hinaus steht die Förderung eines zeitgemäßen IT-Risikomanagements im Fokus, das sicherstellt, dass aktuelle operationelle Risiken wie Outsourcing oder Cyberattacken angemessen behandelt werden.

ICT-Leitlinie

Die BAIT sind die nationale Weiterentwicklung dessen, was die Europäischen Bankenaufsicht zu Beginn 2017 unter dem Begriff ICT- (Information and Communication Technology)Leitlinien zur Behandlung und Kontrolle von Risiken bei den Kommunikationstechnologien und im Bereich IT auf den Weg gebracht hat. Dabei stellt die ICT-Leitlinie eine Erweiterung des Supervisory Review and Evaluation Process (SREP)-Prüfungskatalogs dar, der die Basis für die Risikoprüfung der Bankaufsichten bei den Instituten bildet. Obwohl damit in erster Linie europäische Aufsichtsbehörden befasst sind, wirken sich die enthaltenen Forderungen dennoch auf die einzelnen nationalen Institute aus.

Einige der Anforderungen aus den BAIT finden sich beinahe inhaltsgleich in der ICT-Leitlinie wieder, wie beispielsweise die Forderung nach einer konkreten Gestaltung der IT-Strategie. Die ICT-Leitlinie betont dabei aber den Zusammenhang mit der Bankenplanung und mit dem ICAAP, also der Konzeptionierung der Tragfähigkeit von Risiken. Schwerpunkte sind hier die wirklichkeitsnahe und angemessene Zuweisung von Ressourcen, insbesondere in den Bereichen der technischen und personellen Ausstattung. Betroffen sind davon Prozesse, Systeme und die Risikobehandlung innerhalb der IT.

Die ICT-Richtlinie fordert auch die deutlichere Aufteilung von Verantwortlichkeiten innerhalb der Organisation des Unternehmens, sowie eine entsprechend angemessene Dokumentation. Global gesehen steigen die Anforderungen an die Governance bei Risiken der IT, indem sie stärker auf der Managementebene angesiedelt werden.

Das Design und die Dokumentation des IT-Risikomanagements sind weitere Schwerpunkte der ICT-Leitlinie. Die Betonung liegt hier auf aktuellen Gefahrentrends bei der IT, die in einer weiteren Konkretisierung der IT-Risiken Niederschlag finden. Derartige Erscheinungsformen gelten laut ICT-Leitlinie als eine Unterform der operationellen Risiken. Insgesamt definiert die Leitlinie fünf Sub-Risikokategorien. Sie stellen die Grundlage dar, nach der Risiken der IT klassifiziert, beurteilt, identifiziert und mitigiert, beziehungsweise deeskaliert werden:

ICT security risk
ICT availability and continuity risk
ICT change risk
ICT outsourcing risk
ICT data integrity risk

Zusammengefasst hat die ICT-Leitlinie das Ziel, Institute zur Etablierung eines effektiven Kontrollsystems zu bewegen, um relevant werdende Risiken bei der IT zu lokalisieren. Darüber hinaus soll der gesamte Risikomanagementprozess standardisiert werden. Die EBA artikuliert hier in ihrer Rolle als Initiator der Leitlinie exakte Forderungen. Als zentrales Element stellt sie dabei das Modell des ICT Steering Committees in den Raum.

Offenbar versuchen die Aufsichtsbehörden mit ihren unterschiedlichen Initiativen eine Antwort auf die Risiken und Defizite im IT-Bereich zu finden. Dabei legen die Behörden auf zwei Aspekte besonderen Wert: Auf der einen Seite sollen die Institute auf eine leistungsfähige und sichere IT setzen. Auf der anderen Seite sollen von den Instituten wirklichkeitsnahe und effektive Strategien auf den Weg gebracht werden, die mit einem anforderungsgerechten IT-Risikomanagement Hand in Hand gehen sollen.

Fazit

Um die von den Aufsichtsbehörden vorgegebenen Ziele einhalten zu können, sind von den Instituten anhaltend hohe Anstrengungen finanzieller und logistischer Art unabdingbar. In Teilbereichen werden die Institute Ihre Anstrengungen sogar noch weiter intensivieren müssen. Verbesserungen im Bereich IT sind mit komplexen Abläufen und Prozessen verbunden, was in vielen Fällen maßgebliche Investitionen erforderlich macht.

Das IT-Risikomanagement sieht sich hohen Anforderungen ausgesetzt. Ihre Erfüllung verlangt sowohl inhaltlich als auch formal nach großen Anstrengungen. Ein wichtiger Aspekt ist dabei die effektive Verteilung der Ressourcen. Nur ein ganzheitlicher Ansatz bei den Problemlösungsstrategien kann letztendlich zu einer nachhaltigen Optimierung der Situation führen.