Die Bankenaufseher warnen die Kreditwirtschaft eindringlich vor Cyberattacken, halten das Risiko aber für kaum kalkulierbar. Niemand bezweifele die Bedeutung von Informationssicherheit, sagte die neue EZB-Chefaufseherin Claudia Buch am Montag auf der Konferenz „Bankenaufsicht 2024“ in Frankfurt. Die Gefahr von Angriffen und die Höhe etwaiger Schäden könne jedoch kein Mensch in Zahlen fassen. „Mit dieser Unsicherheit müssen wir umgehen.“

Ähnlich äußerte sich BaFin-Exekutivdirektor Raimund Röseler. Im Extremfall weise eine große Bank nach einer erfolgreichen Hackerattacke auf allen Konten nur noch einen Kontostand von null aus. Zwar sei das Risiko dafür „furchtbar gering“, sagte er auf der Konferenz, hinter der das „Handelsblatt“ steht. „Aber wenn es dazu kommt, ist der Schaden natürlich extrem groß.“ Wer glaube, er habe IT-Risiken vollständig im Griff, liege vermutlich falsch. „Irgendwann wird es zu einem erfolgreichen Angriff kommen.“

Die Informationssicherheit werde von vielen Banken vernachlässigt, unterstrich Karlheinz Walch, Leiter des Zentralbereichs Banken und Finanzaufsicht der Deutschen Bundesbank. So habe es im vergangenen Jahr bereits einzelne Geldhäuser gegeben, die nach Cyberangriffen deutliche Verluste verzeichnet hätten. Viele Banken speicherten schützenswerte Daten auf IT-Systemen ab, für die es keine Sicherheitsupdates mehr gebe. „Es gibt also erheblichen Nachholbedarf“, sagte er. „Wir sprechen nicht über Kleinigkeiten.“

Für EZB-Aufseherin Buch kommt es darauf an, verschiedene negative Szenarien durchzuspielen, um für alle Fälle gewappnet zu sein. Ausreichend Kapital und eine solide IT zählten zur Resilienz einer Bank. Bundesbank-Aufseher Walch äußerte sich metaphorisch: Es sei ein Fehler, „bei gutem Wetter nicht an den Sturm zu denken“, sagte er. „Im Sturm kann man nicht mehr die Segel flicken.“ BaFin-Exekutivdirektor Röseler appellierte an eine gute Führung. „Schieflagen entstehen in der Regel, weil die Governance schlecht ist und das Risikomanagement versagt.“

Das zeigten alle jene Banken, die nach einem Eingriff der Aufsicht vom deutschen Markt verschwanden: Maple Bank und North Channel Bank haben sich nach Röselers Worten mit betrügerischen Cum-ex-Geschäften verhoben, bei Greensill waren es Forderungen, die es nicht gab oder die nicht nachweisbar waren, bei der Eurocity war die Eigentümerstruktur obskur. Röseler: „Der gemeinsame Nenner war schlechte Governance.“

Die Risiken aus Gewerbeimmobilienmärkten halten die Aufseher für beherrschbar. Eine gut geführte Bank sei in der Regel in der Lage, einen „kräftigen Gegenwind“ zu überstehen, sagte Röseler. EZB-Aufseherin Buch verneinte ein „systemisches Risiko“, doch werde die Aufsicht in Einzelfällen genau hinsehen.

Auch verteidigte Buch die zusätzlichen Kapitalpuffer. Anders als zu Beginn der Pandemie 2020 gebe es heute Puffer, die Aufseher in einer Krisenphase absenken könnten. „Ich bin sehr froh, dass wir das jetzt haben.“ In Deutschland greift derzeit ein „antizyklischer Kapitalpuffer“ von 0,75% sowie ein „Systemrisikopuffer“ speziell für Wohndarlehen in Höhe von 2%.