Im Herbst 2023 ist die geopolitische Lage so angespannt wie seit Jahrzehnten nicht: Zahlreiche Krisenherde weltweit destabilisieren die internationale Staatengemeinschaft – und damit auch die Wirtschaftsbeziehungen der Nationen. Seit dem Wiederaufflammen des Ost-West-Konflikts brandet eine Welle von Cyberangriffen gegen westliche Unternehmen, die durch Rezession, Rohstoffkrise und Fachkräftemangel so verletzlich sind wie selten zuvor. Der Finanzsektor ist ein Grundpfeiler unseres Wirtschaftssystems. Er sollte sich intensiv mit Non-Financial Risks (NFRs) auseinandersetzen – und zwar besser heute als morgen.

Als Non-Financial Risks werden alle Risikofaktoren bezeichnet, die nichts mit den klassischen Finanzgeschäften einer Bank – Kreditvergabe und Wertpapierhandel – zu tun haben. Verstöße gegen Nachhaltigkeitskriterien und Regulatorik können zu Strafen führen und darüber hinaus gewaltige Imageschäden verursachen. Auch geopolitische Faktoren wie der Ukraine-Krieg und die Corona-Pandemie hatten in der Vergangenheit unmittelbare Auswirkungen auf die Wirtschaft und damit den Finanzmarkt.

Die größte Gefahr für die Wirtschaft aber scheint derzeit von Cyberangriffen auszugehen, die mit dem Angriff Russlands auf die Ukraine stark zugenommen haben. Laut der aktuellen Studie „Von Cyber Security zur Cyber Resilience – Strategien im Umgang mit einer steigenden Bedrohungslage“ von KPMG nehmen 84% der befragten Unternehmen aus dem Finanzsektor und anderen Branchen einen Anstieg der Cyberangriffe gegenüber dem Vorjahr wahr.

Nachdem die meisten Chief Risk Officers (CROs) sich in der Vergangenheit auf Risiken aus Aktien-, Bond- und anderen Geschäften konzentriert haben, herrscht in puncto Nichtfinanzrisiken in den meisten Risikofunktionen bis heute Nachholbedarf. Um Cyberangriffen und anderen Bedrohungen angemessen zu begegnen, sollten Banken und Versicherungen den NFRs deutlich mehr Aufmerksamkeit schenken. Das wiederum gelingt nicht ohne die entsprechende interne Organisationsstruktur.

Die Herausforderung für den CRO ist größer denn je: Die Menge an Risikofaktoren wächst. Ihre Bandbreite im Bereich NFR reicht von Prozess- über Informationssicherheits-, Auslagerungs- und Rechts- bis hin zu Personal- und Cyberrisiken. In Summe sind die Risiken für eine Bank dadurch schlechter zu überschauen. Hinzu kommt, dass die entsprechenden Fachleute – anders als bei den Finanzrisiken – im klassischen Organigramm von Kreditinstituten anderen Abteilungen zugeordnet sind.

Um diese berüchtigten Silos aufzubrechen, sind drei Vorgänge wesentlich: Zunächst müssen die relevanten Risiken aus allen nichtfinanziellen Bereichen vollständig identifiziert werden. Danach gilt es, diese nach einheitlichen Maßstäben zu beurteilen und zu beziffern, bevor sie im letzten Schritt an die jeweils zuständigen Organe berichtet werden. Diese Vorgänge wiederum sollten so standardisiert werden, dass die NFRs mit den klassischen Finanzrisiken vergleichbar sind.

Auf dem Gebiet der Cybersecurity existieren Vorgaben wie BAIT/VAIT/KAIT, aktualisierte Anforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) und jüngste europäische Rechtsakte – etwa der Digital Operational Resilience Act (DORA) und die Cyber-Security-Richtlinie Network and Information Security 2 (NIS2). Doch angesichts der aktuellen Bedrohungslage reicht bloße Gesetzeskonformität nicht aus. Die Institute sollten über die gesetzliche Pflicht hinausgehen und eigene Frameworks etablieren, um Risikoanalyse, -bewertung und -reporting zu vereinheitlichen.

In der Praxis ist hierfür ein Team aus Spezialisten das A und O, das ähnlich wie das Finanzministerium im Bund eine Art Querschnittskompetenz besitzt und schnell, effizient und flexibel arbeitet. Der für Cyberbedrohungen zuständige Teil des Teams besteht aus IT-Sicherheitsspezialisten, die den Informationsfluss zwischen den Abteilungen sicherstellen. Sie berichten nicht nur an den Chief Information Security Officer (CISO) und den Chief IT Officer, sondern idealerweise direkt an den CRO oder einen Head of NFR. Diese Struktur ermöglicht es, wirkungsvolle Präventionsmaßnahmen zu etablieren.

Im besten Fall kann die Bank dadurch bei einem tatsächlichen Cyberangriff ohne Zeitverlust die passenden Gegenmaßnahmen einleiten und die geeigneten Instrumente zur Wiederherstellung vorhalten, um etwaige Schäden zu beheben. In der Praxis sind hierfür die gute Zusammenarbeit zwischen der 1st und 2nd Line of Defense sowie der Einsatz übergreifender GRC-Software (Governance Risk & Control) entscheidend.

Wie gut die Branche tatsächlich gegen IT-Bedrohungen gewappnet ist, wird sich schon bald herausstellen: Die EZB unternimmt Anfang 2024 einen Cyberstresstest, dem sich mehr als 100 Institute stellen müssen. In einem konkreten Bedrohungsszenario wird dann beispielsweise getestet, ob DORA und NIS2 ausreichend implementiert sind. Spätestens dann liegen die Karten auf dem Tisch.