Es gilt das gesprochene Wort!

Sehr geehrte Damen und Herren,

alles Gute zum neuen Jahr und herzlich willkommen zu unserem Pressegespräch!

Wir erleben es jeden Tag: Unsere Welt wird schneller, digitaler, vernetzter. Und damit auch anfälliger für Störungen.

Im vergangenen Februar haben das tausende Passagiere am Frankfurter Flughafen erfahren. Ihre Flüge fielen aus, sie saßen stundenlang fest. Der Grund dafür: Bei viele Kilometer entfernten Bauarbeiten für die Frankfurter S-Bahn hatte ein Bagger Glasfaserkalbel durchtrennt.

Dass so ein Missgeschick im Erdreich den Verkehr in tausenden Metern Höhe stören kann, ist ein Beispiel dafür, wie abhängig wir von der digitalen Infrastruktur sind. Und wie vernetzt wir sind. Alles hängt mit allem zusammen: unabhängig von räumlicher Nähe und sichtbaren Verbindungen. Sämtliche Folgen eines Ereignisses lassen sich deshalb kaum mehr abschätzen.

In der Finanzwelt wachsen die operationellen Abhängigkeiten besonders rasant. Das Nervensystem der modernen Finanzwelt ist weit verästelt und hat in den vergangenen Jahren zahlreiche zusätzliche Synapsen gebildet.

Damit ist es auch empfindlicher geworden. Hausgemachte IT-Pannen oder eine Cyber-Attacke können gravierende Folgen haben, die weit über das unmittelbar betroffene Unternehmen hinausreichen.

Diese Störungen müssen nicht einmal bei Banken oder Versicherern selbst auftreten. Nein, auch plötzliche Probleme bei ihren Dienstleistern können das ganze System beeinträchtigen.

Es sind aber nicht nur technische Abhängigkeiten, die die Finanzstabilität gefährden können. Auch vermehrt auftretende politische Spannungen machen das Umfeld gerade für die exportorientierten deutschen Unternehmen zunehmend unberechenbar. Das betrifft auch die mit ihnen verbundenen Finanzinstitute und Versicherer. Dazu später mehr.

Schon seit Jahren zersplittern Unternehmen ihre Wertschöpfungsketten, indem sie Aufgaben und Prozesse an Dienstleister auslagern. Möglich ist das, weil viele Dienstleistungen und Prozesse auf IT-Anwendungen basieren. Daten können schnell und einfach übertragen werden. Auch Banken vertrauen viele Aufgaben Dritten an, beispielsweise bei der Kontoeröffnung. Sie können so Skaleneffekte erzielen, Kosten sparen und ihre Erträge steigern. Weiterer Vorteil: IT-Dienstleister bieten aufgrund ihrer Spezialisierung viele Services effizienter und zum Teil auch sicherer an, als es den auslagernden Unternehmen möglich wäre.

Mit dieser Arbeitsteilung wächst aber auch die Abhängigkeit, und es kommt zu Konzentrationen. Deren mögliche Folgen zählen zu den Risiken, die wir in diesem Jahr besonders im Fokus haben.

In Deutschland bedient in einigen Bereichen ein kleiner Kreis spezialisierter IT-Dienstleister einen Großteil der Kreditinstitute. Ähnlich ist es in der Versicherungsbranche. Kommt es bei einem dieser Mehrmandanten-Dienstleister zu Störungen, bricht sofort Nervosität im System aus. Mehrere Institute können plötzlich gleichzeitig nicht mehr auf ihre Dienstleistungen zugreifen. Besonders problematisch ist dies bei kritischen Prozessen, von denen Banken und Versicherer besonders abhängig sind. Ich denke zum Beispiel an die Zahlungsabwicklung.

Die Komplexität wächst, wenn Subdienstleister ins Spiel kommen, die Aufgaben von IT-Dienstleistern übernehmen. Störungen bei einem Subdienstleister können sich auf die gesamte Wertschöpfungskette auswirken. Diese Abhängigkeiten und Risiken sind besonders schwer vorhersehbar – und ebenso schwer zu steuern.

Denken Sie an den Angriff der Hackergruppe Cl0p im vergangenen Sommer. Sie nutzte eine Schwachstelle im Datentransferprogramm Move-IT. Weltweit waren tausende Unternehmen und deren Kundinnen und Kunden von Datenlecks betroffen. Darunter auch zahlreiche deutsche Finanzinstitute und Versicherer, die mit Dienstleistern im Kundenservice zusammenarbeiten, die dieses Programm nutzen.

Wir als Aufsicht beobachten das zunehmend intensiv. Wir versuchen diese Auslagerungen und die mit ihnen verbundenen Risiken so gut es geht zu verstehen. Nur dann können wir angemessen gegenwirken. Bei der Analyse hilft uns unsere Auslagerungsdatenbank, die wir seit etwas mehr als einem Jahr befüllen. Hier haben bislang rund 1.900 Unternehmen aus dem Finanzsektor rund 20.000 Auslagerungen angezeigt. Im Durchschnitt sind das zehn Auslagerungen pro Unternehmen, wobei es große Unterschiede gibt: Einige Unternehmen haben über 100 Auslagerungen gemeldet.

Wir wollen ermitteln, welche Dienstleister auf dem deutschen Finanzmarkt tätig sind. Und für wen. Einige kritische Dienstleister überwachen wir schon seit ein paar Jahren besonders eng.

Eine große Chance bietet DORA, der europäische Digital Operational Resilience Act. Die europäischen Aufsichtsbehörden können durch DORA zukünftig Verflechtungen und Marktkonzentrationen bei Dienstleistern viel besser erkennen.

Vor allem sind aber auch die Unternehmen selbst gefordert: Sie sollten eigentlich einen Plan B haben, um ihre Prozesse aufrecht zu erhalten, wenn ihr Dienstleister ausfällt. Sie müssen sich fragen: Wäre es im Fall der Fälle möglich, kurzfristig die ausgelagerten Prozesse selbst wieder zu übernehmen? Die ehrliche Antwort wird bei nicht wenigen Banken und Versicherern lauten: Nein. Das zeigt unsere Datenbank: Die Unternehmen bezeichnen rund die Hälfte der von ihnen gemeldeten Auslagerungen als nicht oder nur schwer eingliederbar.

Wäre es möglich, diese Prozesse kurzfristig an einen anderen Dienstleister zu übergeben? Auch diese Frage müssten viele Unternehmen des Finanzsektors mit Nein beantworten. Denn diese anderen Anbieter hätten wahrscheinlich nicht ausreichendend Kapazitäten, neue Kunden aufzunehmen. Und selbst wenn: Ein Dienstleisterwechsel dauert oft sehr lange. Vor allem, wenn es um bestimmte Cloud-Dienstleistungen geht.

Die BaFin hat daher die Resilienz der großen Cloud-Dienstleister schon seit einer Weile im Blick. Mit DORA wird es uns künftig leichter fallen, stärkeren Einfluss auf sie auszuüben – und das trotz ihrer erheblichen Marktmacht.

Und das gilt für alle Dienstleister, die unverzichtbare Dienstleistungen bringen und schwer zu ersetzen sind: Sie müssen sich an eine sehr enge Überwachung gewöhnen. Dafür müssen sie offen, zugänglich und kooperativ gegenüber der Aufsicht sein. Hier haben wir Aufsichtsbehörden in den vergangenen Jahren nicht immer gute Erfahrungen gemacht. Unter DORA muss das sich ändern.

Häufig lösen hausgemachte IT-Pannen Störungen bei IT-Dienstleistern aus. Das gilt aber nicht immer. Eine große Gefahr geht auch von Cyber-Attacken aus. Seit Jahren häufen sich die Vorfälle. In Deutschland ist die Bedrohung laut dem Bundesamt für Sicherheit in der Informationstechnik so hoch wie nie.

Wir nehmen das sehr ernst. Wir wollen künftig ein regelmäßiges Cyber-Lagebild spezifisch für den Finanzsektor erstellen. Und wir organisieren Krisen- und Notfallübungen. Wir wollen genau wissen: Welche Cyber-Bedrohungen gibt es für die Finanzwirtschaft? Und: Wo sind die beaufsichtigten Unternehmen und deren IT-Dienstleister am verwundbarsten?

Außerdem werden wir Penetrationstests stärker nutzen: Diese Tests simulieren Hacker-Angriffe auf die kritischen Systeme eines Unternehmens und decken dabei mögliche Schwachstellen auf.

Die Unternehmen müssen ihre IT-Risiken im Griff haben. Wir haben allein im vergangenen Jahr die IT von 20 Finanzinstituten im Rahmen einer Prüfung genauer unter die Lupe genommen, auch Versicherer prüfen wir.

Wenn unsere Prüfer Lücken in der IT-Sicherheit finden, scheuen wir uns nicht einzugreifen: Wir ordnen beispielsweise Kapitalzuschläge an, bis die Probleme gelöst sind und die Institute ihre Risiken besser im Griff haben.

Dabei müssen sie sich bewusst sein, dass auch die geografische Dimension zu einem Risiko werden kann – und das mitunter sehr plötzlich. Das gilt nicht nur für Cyberrisiken und Auslagerungen. Sondern auch für ausländische Tochtergesellschaften und Niederlassungen, in denen Unternehmen funktionswichtige Aktivitäten bündeln. Fast immer geht es hierbei um unterstützende IT-Prozesse.

Solche Einheiten haben sich zum Beispiel auch in Russland befunden. Nach dessen Einmarsch in die Ukraine und wegen der daraufhin verhängten Sanktionen konnten sie ihre Aktivitäten nicht mehr wie geplant fortsetzen und mussten sie verlagern.

Die Risiken von Sanktionen für das Finanzsystem reichen natürlich weit über die IT-Infrastruktur einzelner Institute hinaus. Sie richten sich fast immer auch gegen die Unternehmen des Finanzsektors der betroffenen Länder – und damit auch gegen deren Tochtergesellschaften in Deutschland.

Was das bedeuten kann, haben wir bei der VTB Bank Europe erlebt. Gegen deren russische Muttergesellschaft wurden sofort nach Kriegsbeginn Sanktionen verhängt.

Zu diesem Zeitpunkt hatte die Bank Einlagen von fünf Milliarden Euro, mehrheitlich von deutschen Retailkundinnen und -kunden. Wir haben die Bank von der russischen Mutter abgeschottet und ihr Geschäft Schritt für Schritt heruntergefahren. Durch diesen geordneten Prozess konnten wir verhindern, dass Anlegerinnen und Anleger Geld verloren und die Sicherungssysteme belastet wurden.

Auch jenseits der bewaffneten Konflikte nehmen die politischen Spannungen zu. Viele Regierungen teilen die Welt zunehmend in zwei Lager ein. Im ersten befinden sich Länder, von denen sie annehmen, dass sie ihre Werte teilen. Mit ihnen wollen sie den Austausch intensivieren und sich noch enger vernetzen. Die Handelsbeziehungen zu den Ländern aus dem zweiten Lager fahren sie dagegen zurück oder setzen sie sogar ganz aus. Diese Einteilung kann sich schnell wandeln: Freunde können leicht zu Feinden werden – und umgekehrt.

Das ist gerade für die international besonders aktiven deutschen Unternehmen ein Problem. Eben noch besonders aussichtsreiche Absatzmärkte können von heute auf morgen verschwinden. Auch für stabil gehaltene Lieferketten haben sich als anfällig erwiesen.

Das kann auch deutsche Finanzinstitute treffen. Beispielsweise, wenn Kreditnehmer aus einer Branche stammen, die sehr eng mit einem Land verbunden ist. Was ist, wenn dieses Land plötzlich nicht mehr zu unserem Freundeskreis zählt?

Die Unternehmen des Finanzsektors können sich vor solchen und anderen unvorhergesehenen Ereignissen nicht vollständig schützen. Aber sie müssen die Risiken managen.

Sie sollten ihren Fokus darauf richten, geopolitische Klumpenrisiken noch besser zu erkennen und einzudämmen. Dafür reicht es nicht, Länderrisiken in ihre Kredit- oder Handelsbücher aufzunehmen. Sie müssen viel weiter gehen, in Szenarien denken und Zweit- und Drittrundeneffekte berücksichtigen. Und sie müssen auch hier für operationelle Risiken immer einen Plan B in der Schublade haben. Das kostet etwas.

Aber nur so erhöhen sie ihre Widerstandskraft.

Und das sollten sie jetzt tun.

Viele Banken und Sparkassen verdienen im Moment gut oder sogar sehr gut. Sie profitieren von einer Art Sonderkonjunktur: Ihre Zinseinnahmen steigen, zugleich sind noch nicht alle negativen Effekte des Zinsanstiegs sichtbar. Sie sollten diesen Rückenwind nutzen.

Von den Gewinnen sollten nicht nur Aktionäre profitieren. Sie sollten auch als Vorrat für schwierigere Jahre dienen. Die Risikovorsorge darf nicht zu kurz kommen. Die Unternehmen müssen auch mehr denn je in ihre operationelle Sicherheit und Stabilität investieren. Das Geld dafür ist im Moment da.

Die Zeiten werden aber wieder härter: Steigende Finanzierungskosten und die schwache Konjunktur belasten viele Unternehmen sowie Verbraucherinnen und Verbraucher. Das wird sich in der nächsten Zeit immer stärker herauskristallisieren.

Wir müssen damit rechnen, dass die Insolvenzen weiter steigen und sich die Lage an den Immobilienmärkten nicht schnell erholt.

Es wird künftig eher schwerer für die Institute als es 2023 war. Umso wichtiger ist es, dass sie weiterhin ihre Resilienz stärken.

Und nun freue ich mich auf Ihre Fragen.