Es wird ein schwerer Cyberangriff simuliert, der den Geschäftsbetrieb unterbricht. Aus Sicht der Institute wird es also ernst. Wir wollen wissen, wie die Banken auf einen Cyberangriff reagieren, sich von ihm erholen und den normalen Geschäftsbetrieb wieder aufnehmen. Unser Hauptziel ist, dabei die Schwachstellen der Banken zu ermitteln.

Ja, es ist eine Lernübung für die Banken und für uns. Stresstests dieser Art sind noch nicht sehr verbreitet, aber ich denke, das wird sich in Zukunft ändern. Die dänische Finanzaufsichtsbehörde hat bereits einen Cyber-Stresstest durchgeführt, ebenso wie die britische Prudential Regulation Authority.

Fast alle direkt von uns beaufsichtigten Banken, derzeit 109, sind einbezogen. Von ihnen nehmen 28 zusätzlich an einem erweiterten Test teil, bei dem sie detailliertere Informationen einreichen müssen.

Wir versuchen, einen wesentlichen Teil des Finanzsektors des Euroraums abzudecken, geografische Ausgewogenheit zu erreichen und zudem verschiedene Geschäftsmodelle und Größen abzudecken.

Das Thema Cybersicherheit steht bereits seit einigen Jahren auf unserer Agenda. Wir haben 2017 mit dem Cyber Incident Reporting begonnen, IT-Sicherheit und Cyberrisiken zählen zu unseren Aufsichtsprioritäten. Der Zeitpunkt des Stresstests ist meiner Ansicht nach sehr günstig. Es gibt Risiken, die von Angriffen durch mit Staaten verbundene Gruppen ausgehen. Der Council on Foreign Relations schätzt, dass 77% aller mutmaßlich von Staaten unterstützten Cyberangriffe seit 2005 auf vier autoritäre Staaten zurückgehen. Das ist ziemlich alarmierend. Uns allen muss klar sein, dass die Bedrohung zugenommen hat.

Was wir wollen, ist eine qualitative Übung. Es ist wichtig, dass die Banken ihr eigenes Risikoprofil verstehen. Auf Grundlage der Testergebnisse möchten wir ihnen Feedback geben, zum Beispiel dazu, Industriestandards zur IT-Hygiene unternehmensweit einzuführen.

Natürlich fließen sie in den SREP ein. Aber es handelt sich nicht um eine Übung, deren Zweck es wäre, mehr Eigenkapital anzusammeln. Damit kann man Cyberrisiken nicht wirklich verhindern. Nur in schwerwiegenden Fällen, wenn erhebliche Mängel im Risikomanagement oder in der Unternehmensführung einer Bank offenbar werden, könnte sich dies indirekt auf die Säule-2-Anforderung auswirken.

Die geopolitischen Risiken sind gravierender denn je. Ich glaube schon, dass Erkenntnisse über die Verwundbarkeiten der Banken bedeuten, dass aufsichtliche Schwellenwerte steigen werden. Eine andere Sache betrifft die Abhängigkeit der Banken von Drittanbietern. Die Institute versuchen, Geld zu sparen, indem sie einen Teil ihrer IT-Prozesse an diese auslagern. Das geht nicht unbedingt mit gutem Risikomanagement einher. Die Banken sollten auch die mit der Auslagerung verbundenen Risiken begreifen.

Ich kann nicht im Detail auf das Stresstest-Szenario eingehen. Aber solche Drittanbieter sind sicherlich ein Thema, mit dem wir uns eingehender beschäftigen müssen. Ich erinnere mich an einen Cyberangriff Anfang dieses Jahres gegen einen Finanzhandelsdienstleister, der zur Folge hatte, dass auch der Geschäftsbetrieb einiger Banken unterbrochen wurde. Sie konnten ihre Arbeit wieder aufnehmen, doch der Vorfall zeigt, welche Abhängigkeiten vorliegen. Das müssen wir ernst nehmen.

Die Zahl der Cyberangriffe liegt auf einem höheren Niveau als vor der Corona-Pandemie. DDoS-Attacken, bei denen die Angreifer Bankdienstleistungen stören, indem sie die Server der Banken mit falschen Anfragen fluten und überlasten, haben am meisten zugenommen. Wir sehen auch mehr Angriffe auf Drittanbieter und mehr Ransomware-Attacken. Bei Letzteren haben Opfer keinen Zugriff mehr auf die Daten auf ihren eigenen Geräten, bis sie ein Lösegeld gezahlt haben. Bisher haben sich die Banken im Euroraum jedoch als widerstandsfähig erwiesen. Die Angriffe waren nicht so schwerwiegend, dass sie einzelne Institute oder das Bankensystem destabilisiert hätten. Dennoch müssen wir vorbereitet sein. Eine erfolgreiche Attacke ist jederzeit möglich.

Das betrifft die gesamte Gesellschaft und ist äußerst bedenklich. Ob hybride Gefahren, Fake News oder der Einsatz von künstlicher Intelligenz, die Risikoarten nehmen jedenfalls zu.

Wir müssen Bedrohungen wie Desinformation mehr Aufmerksamkeit schenken. Ich glaube, dass wir im Moment noch nicht genug tun. Die einzige Möglichkeit für Banken, diesen Risiken zu begegnen, besteht darin, den Informationsfluss so aktiv wie möglich zu gestalten. Wenn es zu einem Angriff mit irreführenden Informationen kommt, muss eine Bank schnell handeln, sonst kann das fatale Folgen haben.

Ich denke nicht, dass es seit Bestehen der EZB-Bankenaufsicht einen solchen Vorfall gegeben hat. Allerdings hat Mitte 2014 eine Desinformationsoffensive auf bulgarische Banken einen Bank Run ausgelöst.

Ich möchte, dass wir uns stärker auf diesen Bereich konzentrieren und dies in Zukunft testen. Banken müssen auf solche Ereignisse mit einer guten Krisenkommunikation reagieren, denn sie ist das wichtigste Instrument gegen Desinformation. Das Bewusstsein für diese Art von Angriffen muss geschärft werden.

Wir alle wissen, was Desinformation in der Gesellschaft und in der Politik bedeutet. Aber vielleicht haben wir noch nicht ausreichend erkannt, dass Desinformation auch den Finanzsektor betreffen kann. Ich hoffe, dass Banken nicht von solchen Ereignissen betroffen sein werden, aber wir müssen uns darüber im Klaren sein, dass die Möglichkeit besteht.

So wie mit den anderen Risiken: Die Banken brauchen ein vernünftiges Gerüst für das Risikomanagement. Sie müssen ihr Bewusstsein in Bezug auf ihr eigenes Risikoprofil schärfen. Und natürlich müssen sie über genügend Personal und Expertise verfügen. Das ist etwas, das ich wieder und wieder betonen möchte. Es ist teuer, aber notwendig.

Dafür gibt es keine speziellen Vorschriften, es sei denn, sie fallen unter das sogenannte Crisis Communication Framework. Aber ich würde davon ausgehen, dass es im Falle eines solchen Angriffs selbstverständlich ist, dass die betroffene Bank ihre Aufseher informiert. Denn sie hat ja ein Problem und möchte es lösen. Das wäre die korrekte Vorgehensweise.

Die weltweiten geopolitischen Entwicklungen. Davon hängt so vieles ab.

Die Geopolitik hat an Bedeutung gewonnen, und wir müssen den mit ihr verbundenen Risiken Rechnung tragen. Auch deshalb pochen wir darauf, dass Banken widerstandsfähig sein und über ausreichende Kapital- und Liquiditätspuffer sowie ein gutes Risikomanagement verfügen müssen. Wir müssen alle damit verbundenen Risiken verstehen, insbesondere die operationellen Risiken einschließlich der zunehmenden Cyberbedrohungen. Wir erleben auch operative und Reputationsrisiken bei europäischen Banken, die in Russland tätig sind, einschließlich des Risikos der Geldwäsche. Wir haben diese Banken deshalb aufgefordert, einen Fahrplan für ihre Strategien zur Risikominderung zu entwickeln.

Wenn wir sehen, dass übermäßige Risiken bestehen, dann sollten die Banken diese unserer Meinung nach verringern.

Claudia ist eine sehr kompetente Frau, und sie gehört bereits dem Aufsichtsgremium der EZB an, wo die Entscheidungen getroffen werden. Natürlich hat jeder seinen eigenen Stil, daher kann ich noch nicht sagen, ob es in dieser Hinsicht Veränderungen geben wird. Die Art und Weise, wie die EZB-Bankenaufsicht bisher funktioniert hat, ist sehr erfolgreich. Daher sehe ich keinen Bedarf für grundlegende Veränderungen. Verbesserungspotenzial besteht aber immer.