Es war ein großer Aufschrei im Februar 2016: Die Zentralbank von Bangladesch war Opfer eines Cyber-Angriffs und verlor 81 Millionen US-Dollar. Der Schaden wäre sogar um ein Vielfaches höher ausgefallen, wenn nicht die ausführende US-Notenbank aufgrund eines Tippfehlers weitere Zahlungen angehalten hätte. „Selbst Zentralbanken sind zu meinem Bedauern nicht vor Non-Financial Risks sicher – und diese können zu hohen Verlusten führen, wenn sie nicht adäquat gesteuert werden“, erklärte Joachim Wuermeling, Vorstandsmitglied der Bundesbank, in seiner Rede auf der achten Fachtagung der Hochschule der Bundesbank, die sich mit dem Thema Non-Financial Risks auseinandersetzte.

Zu den sogenannten nicht-finanziellen Risiken zählen unter anderem Betrugsrisiken, Compliance-Risiken, Reputationsrisiken und weitere operationelle Risiken. Als besonders „dynamisch" stufte Wuermeling aber derzeit vor allem die „IT- und Cyber-Risiken“ ein, was er ja auch am Fall in Bangladesch eindrucksvoll belegen konnte. „Ein Finanzdienstleister kann heute ohne IT überhaupt nicht mehr funktionieren“, sagte das Vorstandsmitglied der Bundesbank.

Nicht-finanzielle Risiken ernst nehmen 

„Non-Financial Risks“ könnten erhebliche Kosten verursachen, die Steuerung dieser Risiken sei aber „keineswegs trivial“, sagte Wuermeling. Deswegen sei dies eine Aufgabe für das Management eines Finanzinstituts. „Für Institute, die zukunftsfähig sein wollen, ist das eine ‚Must-have'“, betonte der für die Bankenaufsicht zuständige Wuermeling.

Dass sowohl Banken als auch Versicherungen die nicht-finanziellen Risiken sehr ernst nehmen, wurde in der folgenden Diskussionsrunde deutlich, die Oliver Kruse, Konrektor der Hochschule Hachenburg, moderierte. „Wir wissen, wie hoch die Reputationsschäden sind, die aus operativen Risiken oder Betrugsrisiken resultieren. Wir haben als Versicherung genauso wie Banken das Three-Lines-of-Defense Modell etabliert“, erklärte Alexander Schröder, Chief Compliance Officer der ERGO AG. Die von Schröder angesprochenen drei Verteidigungslinien besagen, dass als erste Linie das operative Management eines Unternehmens die Risiken steuert, in zweiter Linie das Controlling, die Compliance-Stelle oder etwa die Datensicherung. Die dritte Verteidigungslinie ist dann die interne Revision. Hier hob Jürgen Rohrmann, Leiter der Konzernrevision von Union Investment, hervor, dass die ihm unterstehende Arbeitseinheit der Investmentfondgesellschaft ein besonderes Augenmerk auf die „operationellen Risiken“ lege.

Dass es dort aber im Bankgewerbe immer noch viel Optimierungspotenzial gibt, verdeutlichte im Interview mit dem Hachenburger Professor Andreas Igl Florian Ramsperger. Er ist Prüfungsleiter bei der Bankenaufsicht in der Bundesbank und hat im Laufe seiner Arbeit wiederholt die Erfahrung gemacht, dass Banken die „Datenqualitätskontrolle“ systemseitig verbessern sollten, um Eingabefehler zu verhindern. „Auch bei der Einführung neuer IT-Verfahren könnten bei gründlicherer IT-Konfiguration beispielsweise spätere Doppelzahlungen vermieden werde“, sagte Ramsperger.

Personalgewinnung als Problem der Zukunft

Um IT-Risiken ging es auch im abschließenden Panel, das ebenfalls Igl moderierte. „Es reicht hier nicht, nur die Vorgaben der Aufsicht zu erfüllen. Wir müssen im Schwachstellenmanagement auch andere Anomalien entdecken, selbst wenn Restrisken unvermeidbar sind“, sagte Hans-Jürgen Plewan, IT-Leiter der DEKA Bank. Jörg Bretz, Prüfungsleiter der Bundesbank im Bereich operativer Risiken, warnte Banken davor, bei der Auslagerung von IT-Dienstleistungen in Cloud-Lösung zu hastig vorzugehen. Sowohl Plewan als auch Bretz betonten, dass sowohl für die Aufsicht als auch für die beaufsichtigten Institute die Personalgewinnung in der Zukunft eine Herausforderung sei. „Das Personal wird eine immer knappere Ressource werden“, prognostizierte Plewan.

Auch Oliver Kruse blickte in seinen abschließenden Worten der achten aufsichtlichen Fachtagung der Hochschule Hachenburg voraus: „Ich hoffe, dass die neunte Tagung im nächsten Jahr wieder mit einem Publikum vor Ort stattfinden wird. Den Gedankenaustausch in den Pausen habe ich vermisst, auch wenn ich erfreut war, wie viele Fragen über den Chat eingereicht wurden.“ In diesem Jahr fand die Tagung erstmals im virtuellen Format statt. Neben Rednern, Moderatoren und Interviewpartnern waren mehr als 250 Gäste virtuell im Livestream dabei.