Banken und andere Finanzdienstleister werden sich künftig nicht mehr wie bisher auf die Vermeidung von Risiken beschränken können. Für Sam Lee, der bei SMBC für Risiken in der EMEA-Region zuständig ist, geht es um die Fähigkeit, sich wieder zu berappeln, wenn es etwa einen Cyberangriff gegeben hat. Herr Lee, was lässt Sie nachts nicht schlafen?Da gibt es möglicherweise ein paar Dinge. Da ist die Welt der allgemeinen Cyberrisiken. Einerseits ist das eine sehr hoch entwickelte Welt. Es gibt immer etwas, das passieren könnte, aber man kann nicht vorhersagen, was es sein wird. Also tut man sein Bestes, um sich dem zu widmen. Andererseits denke ich, dass es sich dabei nur um ein weiteres operatives Risiko handelt, ein weniger gut verstandenes, komplizierteres, aber nur ein weiteres operatives Risiko, das gemanagt werden muss. Das dämpft sozusagen meine Schlaflosigkeit, wenn man so will. Wo sind die Schwachpunkte?Meiner Meinung nach wird in der Branche derzeit nicht genug getan, um Angriffe einzudämmen und sich anzusehen, wie man sich von ihnen wieder ordentlich erholt. Es gibt viel zu Prävention, aber machen wir genug zur Eindämmung? Wenn es zum Beispiel ein Ereignis gibt, bei dem im Wertpapierhandel ohne Rücksicht auf die Belange von Arbeitgeber oder Auftraggeber gehandelt wurde, versucht man es herauszudestillieren und zu verhindern, dass es schlimmer wird. Ich bin noch nicht davon überzeugt, dass wir in der Branche genug tun, um ein Problem einzudämmen, wenn es eintritt, und dann zu schauen, wie wir wieder zum Normalbetrieb zurückkehren. Und Ihre anderen Sorgen?Die zweite Sache, die mich wach hält, ist dieses neue, aber nicht ganz so neue Thema operative Widerstandsfähigkeit, für das Cyber eine große Rolle spielt. Es ist eine sehr gesunde Verschiebung des Blickfelds, nachdem sich Aufsicht und Branche bislang auf Prävention konzentriert haben. Jetzt liegt der Fokus darauf: Wie kann man sicher sein, dass man reagieren und das Geschäft weiterbetreiben kann, wenn schlimme Dinge passieren? Denn es geht nicht darum, wie viel Geld die Organisation verliert. Es geht um die Auswirkungen auf die Kunden am Markt. Und dann ist da noch der dritte Aspekt, über den nicht viele Leute nachdenken: Wie kehrt man dann zum Normalbetrieb zurück? Was beinhaltet das?Die Analogie ist: Meine Frau hat mich damit beauftragt, die Kinder zur Schule zu fahren. Der herkömmlichen Betrachtungsweise operativer Risiken folgend würde man tun, was man kann, um einen Unfall zu vermeiden und auf diese Weise zu scheitern. Also stellt man sicher, dass man fahrtüchtig ist und dass das Auto in gutem Zustand ist. Hat es genug Benzin? Verfolgt man die Anzeigen? Fährt man sicher und halt sich dabei an die Straßenverkehrsordnung? Reicht das nicht?Es ist ein guter Anfang. Aber operative Widerstandsfähigkeit heißt: Wie gehe ich damit um, wenn ich auf dem Weg zur Schule einen Unfall habe, egal ob zufällig oder weil mich jemand abdrängt, oder wenn das Auto eine Panne hat? Meine Antwort ist: Ich tätige einen Anruf. Ich bestellt ein Taxi. Ich bitte meine Frau, mich aufzusammeln und die Kinder zur Schule zu fahren. Erledigt. Der dritte Aspekt ist jedoch: Wie kehre ich zum Normalbetrieb zurück, also wie bekomme ich in einem vernünftigen Zeitrahmen mein Auto zurück oder einen anderen Wagen, um am nächsten Tag wieder fahren zu können? Das ist der Teil, über den die Branche wirklich noch nicht so viel nachgedacht hat. Und deshalb halte ich den Fokus der Regulierer weltweit auf operative Widerstandsfähigkeit für eine sehr gesunde Sache. Hat es also noch keinen Cyberangriff gegeben hat, der schwerwiegend genug war, um für Problembewusstsein zu sorgen?Möglicherweise. Obwohl es natürlich nicht nur um Cyberangriffe geht. Deshalb denke ich, dass der Fokus auf operative Widerstandsfähigkeit wichtig ist. Denn er sagt: Tun wir einmal so, als wäre es passiert – was auch immer “es” sein mag – und der Geschäftsbetrieb unterbrochen. Wie kann man dem Board, den Stakeholdern, der Aufsicht, den Kunden und dem Markt zeigen, dass man damit umgehen und innerhalb eines vernünftigen Zeitrahmens wieder zum Normalbetrieb zurückkehren kann? Das ist eine enorme Verschiebung im Vergleich dazu, wie die Sicht auf operative Risiken Anfang des Jahrtausends war, als es nur um Prävention, Prävention und nochmals Prävention ging – und darum, Kapital vorzuhalten, damit man wenigstens finanziell stabil bleibt, wenn etwas schiefgehen sollte. Was ist der Unterschied?Keiner weiß, wann der nächste Cyberangriff stattfindet, oder das nächste Ereignis eintritt, das Geschäft von jemandem zum Erliegen bringt. Die normalen Protokolle zu operativen Risiken unterstellen, dass man in der Lage ist, das zu verhindern. Aber nun sagen wir: Tun wir so, als wäre es tatsächlich passiert. Wir können zeigen, dass man widerstandsfähig ist, dass man damit umgehen und wieder zum Normalbetrieb zurückkehren kann. Das ist eine völlig andere Art zu denken. Wenn wir das als Branche ordentlich gemacht hätten, würden wir so über die Dinge nachdenken, nicht nur an Prävention. Wenn man als Autofahrer gesagt bekommt, die einzige Sache, über die man sich sorgen müsse, sei, wie man einen Unfall oder eine Panne verhindern kann, hat das einen gewissen Wert, aber das darf nicht allein im Fokus stehen. Man muss sich fragen, was man tun würde, wenn es zu einer Panne kommt, wie man sein Auto wieder auf die Straße bekommt. Und darum geht es bei der operativen Widerstandsfähigkeit. Wird das nicht auch von den IT-Anbietern und ihren Produkten getrieben?Das hat eine gewisse Relevanz. IT ist diese magische Box, die nur Spezialisten verstehen. Meine Meinung ist: Ja, das ist speziell, es ist ziemlich technisch, aber mit der Zeit wird es eine weitere Unterkategorie der operativen Risiken – etwas, mit dem man sich auseinandersetzen muss, etwas, das man verstehen muss. Es ist keine Zauberei, es ist keine mysteriöse Angelegenheit. Wir müssen es so gut verstehen, wie wir können. Es ist mit Sicherheit kein separates Bezugssystem. Früher sagten manche Banken und Institutionen: Gut, wir haben operative Risiken und dann haben wir da noch diese andere Sache namens Cyberrisiko. Da sage ich nein. IT-Risiko und Cyberrisiko sind immer auch operative Risiken. Vielleicht sind sie ein bisschen komplizierter, aber immer nur weitere operative Risiken. Man muss sich alles zusammen ansehen. Woher kommen die Bedrohungen beim Cyberrisiko?Aus meiner Sicht ist es eine Mischung. Es gibt mit Sicherheit bestimmte Länder, die damit in Verbindung gebracht werden, es gibt strukturierte organisierte Gruppen, die stören oder Assets stehlen wollen, wer auch immer sie sein mögen. Aber es gibt auch ein Mittelfeld von Leuten, die nicht unbedingt von irgendwelchen politischen oder finanziellen Motiven getrieben werden. Sie wissen schon, der intelligente Hacker, der bei sich zu Hause in der Garage sitzt und nur ein bisschen Ärger machen will. Und es gibt möglicherweise Leute oder Organisationen mit einer anderen Tagesordnung, sei es die Umwelt oder ein anderes Thema, die solche Techniken anwenden, um Störungen herbeizuführen. Was für Leute sind das?Wie wir in den vergangenen Jahren gesehen haben, können die Dinge, die Leute mit Störaktionen erreichen wollen, alles Mögliche sein, von der Umwelt bis zur Politik, oder rein finanzielle Vorteile, entweder direkt oder durch den Diebstahl von Daten und deren Verkauf. Es ist schwer vorhersehbar, was der Treiber sein wird. Wie also damit umgehen?Nach der alten Schule des Umgangs mit operativen Risiken sieht man sich externe Ereignisse an. Was ist dort passiert? Können wir davon lernen? Könnte das bei uns passieren? Es wird eine größere Notwendigkeit geben, Informationen mit Regierungsstellen, Geheimdiensten und der Polizei auszutauschen, um zu sehen, ob etwas einem selbst passieren könnte. Wie kann man eine Nasenlänge voraus sein? Es kann nicht mehr nur darum gehen, zu reagieren. Man muss sicherstellen, dass man so geschützt wie möglich ist, ein solches Ereignis eindämmen und den Geschäftsbetrieb immer noch weiterführen kann. Wer ist die größte Bedrohung? Das organisierte Verbrechen ist vermutlich leichter zu prognostizieren.Das denke ich auch, wenn wir über ein gutes Netzwerk für den Informationsaustausch verfügen. Die größere Bedrohung könnten diejenigen darstellen, die nicht finanziell motiviert sind. Man kann organisierte Verbrecherbanden aufs Korn nehmen, die Geld abschöpfen wollen. Die erste Verteidigungslinie jeder Organisation wird sein: Wie können wir Leute davon abhalten, unser Geld zu stehlen? Und da gibt es jede Menge Kontrollen, die man einführen kann. Schwieriger ist es, gegen Gruppen vorzugehen, die kein Geld stehlen, sondern einfach nur das Geschäft stilllegen wollen. Warum?Es ist viel schwieriger. Und ich denke, dass das eine große Bedrohung darstellt. Denn es ist viel einfacher für jemanden, in eine Bankfiliale zu gehen und eine Rauchbombe zu werfen, ohne dabei zu versuchen, Geld zu stehlen. Das bringt das Geschäft ebenso zum Erliegen und ist viel einfacher, als sich die Goldvorräte oder das Bargeld hinter dem Schalter zu holen. Ohne finanzielles Interesse zu stören ist viel leichter, als Assets hinauszutragen. Es gibt auch Techniken wie Phishing. Das ist ein leichter Weg, sich eine Organisation zu öffnen, und der beliebteste, einfachste und wirkungsvollste Weg, um eine Organisation zu stören. Ist man besser vorbereitet?Ich glaube, dass es besser wird. Es wird immer Situationen geben, in denen einem schlaue Kriminelle oder schlaue Störer voraus sind. In Wirklichkeit ist es so: Egal welche Übungen man veranstaltet, welche Szenarios man entwirft, es wird immer noch einen anderen Weg geben, der zum Erfolg führt. Deshalb ist operative Widerstandsfähigkeit wichtig. Das Wichtige bei solchen Übungen ist, dass man sich nicht nur damit befasst, wie man ein bestimmtes Szenario verhindern kann, sondern damit, wie man mit dem Szenario umgehen würde, selbst wenn es auf diese Weise nicht zu einer Unterbrechung des Geschäfts kommen könnte. Hat es bei der Bekämpfung von aus der Reihe tanzenden Händlern in den vergangenen Jahren Fortschritte gegeben?Ich glaube, dass es Verbesserungen gegeben hat. Sie erfolgen durch Dinge wie den Fokus auf Unternehmenskultur, auf Verhaltensrisiken und auf die Rechenschaftspflicht von Führungskräften. Sie haben sicher vom Senior Managers` Regime gehört. Es besagt: Sie müssen sich jetzt darum kümmern. Sie sind persönlich haftbar, also müssen sie sich wirklich damit auseinandersetzen. Die Regulierer haben mit den Dingen angefangen, die üblicherweise schiefgingen. Dann kam der Fokus auf Verhaltensrisiken hinzu. Und dann wurde klar, dass gutes oder schlechtes Verhalten Resultat einer guten oder schlechten Unternehmenskultur ist. Wenn man sich ansieht, worauf sich die Aufseher konzentrieren, werden sie Verhaltensrisiken und Kultur untereinander austauschbar verwenden, denn eine schlechte Kultur führt zu schlechtem Verhalten, das wiederum zu Ereignissen wie Rogue Trading führt. Also brauchen wir Verurteilungen.Von denen es mehr gibt. Und ich glaube, das Senior Managers` Regime sorgt dafür, dass sich die Leute darauf konzentrieren. Einzelpersonen können tatsächlich persönlich belangt werden. Sie müssen sich darum kümmern. Wenn man sich Dinge wie die europäische Datenschutzgrundverordnung ansieht, ist das etwas anders. In welcher Hinsicht?Der britische Datenschutzbeauftragte benutzt dieses Instrument jetzt, und man sieht viel mehr Geldstrafen als in früheren Jahren, als es sich nur um das Datenschutzgesetz handelte. Sie nehmen das jetzt ernst. Die Idee ist, die Sache an der Wurzel zu packen, die Kultur anzugehen. Das Nebenprodukt sind gutes Verhalten, solide Kontrollen, und wenn man als Organisation wahrgenommen wird, die ihr Bestes gibt, kann man seinen Job als Führungskraft kaum besser machen. Im Vergleich zu den 1980ern, 1990ern und frühen 2000er-Jahren ist das aus meiner Sicht eine Veränderung. Damals lautete das Motto noch: Solange wir Geld verdienen, ist es in Ordnung, oder? Wenn etwas schiefgeht, reparieren wir es. Das ist definitiv eine Veränderung. Das Senior Managers` Regime gilt nicht für alle Institutionen.Es ist noch nicht voll eingebettet. Aber die Infusion läuft noch. Die Zeit wird kommen, in der jeder in seinen Einzugsbereich fällt. Sie werden einfach alle dazu bringen, damit Schritt zu halten. Erst waren es nur die globalen Banken. Dann dachten sie: Oh, wir müssen uns die Investmentbanken ansehen, die Broker, Vermögensverwalter und so weiter. Es wird kommen. Ist die Datenschutzgrundverordnung für Sie als Bank ein Thema?Es sollte für alle Banken ein Thema sein. Wir nehmen das sehr ernst. Jede Institution, die persönliche und vertrauliche persönliche Daten hält, ist für deren Schutz verantwortlich. Sie muss wissen, wo sie sind und durch welche Governance-Elemente sie geschützt werden. Es gibt also eine verhältnismäßige Aufmerksamkeit, die man dem schenken muss. Auf der Grundlage des Datenschutzes können eine Menge Forderungen erhoben werden.Das wird getan. Die Gesetzgebung ist weitreichend. Am einen Ende des Spektrums gibt es vielleicht Berater, die sagen: “Seht euch diese enormen rechtlichen Vorgaben an. Warum beauftragt ihr uns nicht, damit wir euch helfen können, das Rad neu zu erfinden?” In der Mitte und am anderen Ende des Spektrums findet man die nützlicheren Berater, die versuchen, das Geschäft und die Auswirkungen einer Nicht-Einhaltung der Regeln zu verstehen und auf dieser Grundlage über den Risikoappetit nachdenken und Verhältnismäßigkeit walten lassen. Was heißt das?Es gibt einen großen Unterschied darin, wie man die Datenschutzgrundverordnung umsetzt, je nachdem, ob man eine gewöhnliche Retailbank ist oder eine Handels- oder Investmentbank. Und ich glaube die nützlichen Berater werden einem dabei helfen, das auszuloten, und sagen: “Nun gut, Sie müssen das immer noch ernst nehmen, aber lassen Sie es uns verhältnismäßig tun.” Man muss nicht alle 99 Artikel aufgreifen, das Rad neu erfinden und all diese Kontrollen einführen, wenn es nicht notwendig ist. Ich weiß, dass es nicht explizit so ist, aber selbst die Datenschutzregulierung enthält die Implikation der Auslegbarkeit und Verhältnismäßigkeit. Was fehlt noch?Ich denke immer noch, dass es nicht genug Manager operative Risiken gibt, die sich mit der Geschäftsführung hinsetzen und ihr das Thema operative Risiken verkaufen können, indem sie sagen: “Das bringt es euch. Es geht nicht nur darum, schlimme Dinge zu verhüten. Es hat für euch einen Wert.” Es liegt in der Verantwortung der mit operativen Risiken betrauten Amtsträger, über starke Persönlichkeiten zu verfügen, die glaubwürdig sind und sich mit dem Head of Trading anlegen können. Wie würde das aussehen?Wenn er sagt: “Nein, ist mir egal, verschwinden Sie!”, müssen sie sagen: “Sie müssen sich das aus zwei Gründen anhören. Wenn Sie etwas falsch machen, könnte es Probleme geben. Und wenn ich Ihnen helfe, es richtig zu machen, kann ich Ihnen auch helfen, schneller zu sein.” Es gibt nicht nur den Stock, sondern auch die Karotte. Leute, die operative Risiken managen, müssen mehr sein als Techniker, sie müssen Verkäufer sein, Advokaten, und sie müssen Leute zum Zuhören bewegen. Sie können nicht einfach nur Fließbandarbeiter sein, die Sachen machen, die dann von einem Head of Trading wieder rückgängig gemacht werden können, der “Ist mir egal” sagt. Statt “Okay” müssen sie sagen: “Sie müssen mir zuhören, weil …” Das Interview führte Andreas Hippin.