„Die geopolitischen Risiken sind gravierender denn je“
Im Interview: Anneli Tuominen
„Die geopolitischen Risiken sind gravierender denn je“
Wachsende Bedrohung durch Hacker und Desinformation bereitet EZB-Bankenaufseherin Sorge – Institute sollen sich gegen Fake News wappnen
Von Tobias Fischer, Frankfurt
Frau Tuominen, die Bankenaufsicht der EZB beginnt im Januar mit ihrem Cyber-Stresstest. Wie hart wird es für die Banken?
Es wird ein schwerer Cyberangriff simuliert, der den Geschäftsbetrieb unterbricht. Aus Sicht der Institute wird es also ernst. Wir wollen wissen, wie die Banken auf einen Cyberangriff reagieren, sich von ihm erholen und den normalen Geschäftsbetrieb wieder aufnehmen. Unser Hauptziel ist, dabei die Schwachstellen der Banken zu ermitteln.
Es handelt sich um den ersten Cyber-Stresstest der EZB.
Ja, es ist eine Lernübung für die Banken und für uns. Stresstests dieser Art sind noch nicht sehr verbreitet, aber ich denke, das wird sich in Zukunft ändern. Die dänische Finanzaufsichtsbehörde hat bereits einen Cyber-Stresstest durchgeführt, ebenso wie die britische Prudential Regulation Authority.
Wie läuft das Ganze ab?
Fast alle direkt von uns beaufsichtigten Banken, derzeit 109, sind einbezogen. Von ihnen nehmen 28 zusätzlich an einem erweiterten Test teil, bei dem sie detailliertere Informationen einreichen müssen.
Welche Banken müssen sich der vertieften Prüfung unterziehen? Die größten und komplexesten?
Wir versuchen, einen wesentlichen Teil des Finanzsektors des Euroraums abzudecken, geografische Ausgewogenheit zu erreichen und zudem verschiedene Geschäftsmodelle und Größen abzudecken.
Die Übung findet zu einer Zeit statt, in der in Europa und im Nahen Osten Kriege toben und allgemein die geopolitischen Spannungen zunehmen. Hat der Ukraine-Krieg bei der Konzeption des Tests eine Rolle gespielt?
Das Thema Cybersicherheit steht bereits seit einigen Jahren auf unserer Agenda. Wir haben 2017 mit dem Cyber Incident Reporting begonnen, IT-Sicherheit und Cyberrisiken zählen zu unseren Aufsichtsprioritäten. Der Zeitpunkt des Stresstests ist meiner Ansicht nach sehr günstig. Es gibt Risiken, die von Angriffen durch mit Staaten verbundene Gruppen ausgehen. Der Council on Foreign Relations schätzt, dass 77% aller mutmaßlich von Staaten unterstützten Cyberangriffe seit 2005 auf vier autoritäre Staaten zurückgehen. Das ist ziemlich alarmierend. Uns allen muss klar sein, dass die Bedrohung zugenommen hat.
Was stellt die EZB mit den Ergebnissen an?
Was wir wollen, ist eine qualitative Übung. Es ist wichtig, dass die Banken ihr eigenes Risikoprofil verstehen. Auf Grundlage der Testergebnisse möchten wir ihnen Feedback geben, zum Beispiel dazu, Industriestandards zur IT-Hygiene unternehmensweit einzuführen.
Werden die Ergebnisse im SREP berücksichtigt?
Natürlich fließen sie in den SREP ein. Aber es handelt sich nicht um eine Übung, deren Zweck es wäre, mehr Eigenkapital anzusammeln. Damit kann man Cyberrisiken nicht wirklich verhindern. Nur in schwerwiegenden Fällen, wenn erhebliche Mängel im Risikomanagement oder in der Unternehmensführung einer Bank offenbar werden, könnte sich dies indirekt auf die Säule-2-Anforderung auswirken.
Werden die aufsichtsrechtlichen Anforderungen an die Cyberabwehr von Banken infolge des Tests steigen?
Die geopolitischen Risiken sind gravierender denn je. Ich glaube schon, dass Erkenntnisse über die Verwundbarkeiten der Banken bedeuten, dass aufsichtliche Schwellenwerte steigen werden. Eine andere Sache betrifft die Abhängigkeit der Banken von Drittanbietern. Die Institute versuchen, Geld zu sparen, indem sie einen Teil ihrer IT-Prozesse an diese auslagern. Das geht nicht unbedingt mit gutem Risikomanagement einher. Die Banken sollten auch die mit der Auslagerung verbundenen Risiken begreifen.
Inwieweit wird die Auslagerung an Drittanbieter, zum Beispiel an IT- oder Cloud-Anbieter, eine Rolle im Stresstest spielen?
Ich kann nicht im Detail auf das Stresstest-Szenario eingehen. Aber solche Drittanbieter sind sicherlich ein Thema, mit dem wir uns eingehender beschäftigen müssen. Ich erinnere mich an einen Cyberangriff Anfang dieses Jahres gegen einen Finanzhandelsdienstleister, der zur Folge hatte, dass auch der Geschäftsbetrieb einiger Banken unterbrochen wurde. Sie konnten ihre Arbeit wieder aufnehmen, doch der Vorfall zeigt, welche Abhängigkeiten vorliegen. Das müssen wir ernst nehmen.
Wie schätzen Sie generell die Cybergefahr ein?
Die Zahl der Cyberangriffe liegt auf einem höheren Niveau als vor der Corona-Pandemie. DDoS-Attacken, bei denen die Angreifer Bankdienstleistungen stören, indem sie die Server der Banken mit falschen Anfragen fluten und überlasten, haben am meisten zugenommen. Wir sehen auch mehr Angriffe auf Drittanbieter und mehr Ransomware-Attacken. Bei Letzteren haben Opfer keinen Zugriff mehr auf die Daten auf ihren eigenen Geräten, bis sie ein Lösegeld gezahlt haben. Bisher haben sich die Banken im Euroraum jedoch als widerstandsfähig erwiesen. Die Angriffe waren nicht so schwerwiegend, dass sie einzelne Institute oder das Bankensystem destabilisiert hätten. Dennoch müssen wir vorbereitet sein. Eine erfolgreiche Attacke ist jederzeit möglich.
Nicht nur von mehr Cyberangriffen ist zu hören, sondern auch von zunehmender Desinformation, so auch angesichts des Krieges im Nahen Osten. Entspricht das auch Ihrem Eindruck?
Das betrifft die gesamte Gesellschaft und ist äußerst bedenklich. Ob hybride Gefahren, Fake News oder der Einsatz von künstlicher Intelligenz, die Risikoarten nehmen jedenfalls zu.
Anneli TuominenWir müssen Bedrohungen wie Desinformation mehr Aufmerksamkeit schenken.
Was ist also zu tun?
Wir müssen Bedrohungen wie Desinformation mehr Aufmerksamkeit schenken. Ich glaube, dass wir im Moment noch nicht genug tun. Die einzige Möglichkeit für Banken, diesen Risiken zu begegnen, besteht darin, den Informationsfluss so aktiv wie möglich zu gestalten. Wenn es zu einem Angriff mit irreführenden Informationen kommt, muss eine Bank schnell handeln, sonst kann das fatale Folgen haben.
Sind Ihnen Banken bekannt, die Ziel von Desinformationsangriffen waren?
Ich denke nicht, dass es seit Bestehen der EZB-Bankenaufsicht einen solchen Vorfall gegeben hat. Allerdings hat Mitte 2014 eine Desinformationsoffensive auf bulgarische Banken einen Bank Run ausgelöst.
Wird sich die EZB auch damit befassen und Banken in dieser Hinsicht prüfen?
Ich möchte, dass wir uns stärker auf diesen Bereich konzentrieren und dies in Zukunft testen. Banken müssen auf solche Ereignisse mit einer guten Krisenkommunikation reagieren, denn sie ist das wichtigste Instrument gegen Desinformation. Das Bewusstsein für diese Art von Angriffen muss geschärft werden.
Finden Sie, dass das Bewusstsein der Banken in Bezug auf Desinformation unterentwickelt ist?
Wir alle wissen, was Desinformation in der Gesellschaft und in der Politik bedeutet. Aber vielleicht haben wir noch nicht ausreichend erkannt, dass Desinformation auch den Finanzsektor betreffen kann. Ich hoffe, dass Banken nicht von solchen Ereignissen betroffen sein werden, aber wir müssen uns darüber im Klaren sein, dass die Möglichkeit besteht.
Sie haben Risiken durch künstliche Intelligenz angesprochen. Die Werkzeuge der Angreifer werden immer ausgefeilter und können auch Deepfakes beinhalten, also KI-generierte Bilder, Stimmen oder Videos. Wie geht die EZB mit dieser Gefahr um?
So wie mit den anderen Risiken: Die Banken brauchen ein vernünftiges Gerüst für das Risikomanagement. Sie müssen ihr Bewusstsein in Bezug auf ihr eigenes Risikoprofil schärfen. Und natürlich müssen sie über genügend Personal und Expertise verfügen. Das ist etwas, das ich wieder und wieder betonen möchte. Es ist teuer, aber notwendig.
Müssen Banken eigentlich Desinformationsangriffe der Aufsicht melden?
Dafür gibt es keine speziellen Vorschriften, es sei denn, sie fallen unter das sogenannte Crisis Communication Framework. Aber ich würde davon ausgehen, dass es im Falle eines solchen Angriffs selbstverständlich ist, dass die betroffene Bank ihre Aufseher informiert. Denn sie hat ja ein Problem und möchte es lösen. Das wäre die korrekte Vorgehensweise.
Was bereitet Ihnen am meisten Sorgen?
Die weltweiten geopolitischen Entwicklungen. Davon hängt so vieles ab.
Wie wirken sich denn die geopolitischen Spannungen auf die Arbeit der EZB-Bankenaufsicht aus?
Die Geopolitik hat an Bedeutung gewonnen, und wir müssen den mit ihr verbundenen Risiken Rechnung tragen. Auch deshalb pochen wir darauf, dass Banken widerstandsfähig sein und über ausreichende Kapital- und Liquiditätspuffer sowie ein gutes Risikomanagement verfügen müssen. Wir müssen alle damit verbundenen Risiken verstehen, insbesondere die operationellen Risiken einschließlich der zunehmenden Cyberbedrohungen. Wir erleben auch operative und Reputationsrisiken bei europäischen Banken, die in Russland tätig sind, einschließlich des Risikos der Geldwäsche. Wir haben diese Banken deshalb aufgefordert, einen Fahrplan für ihre Strategien zur Risikominderung zu entwickeln.
Die europäischen Banken sollten Russland also besser verlassen, so wie es Ihr Kollege Andrea Enria gefordert hat?
Wenn wir sehen, dass übermäßige Risiken bestehen, dann sollten die Banken diese unserer Meinung nach verringern.
Zum Schluss ein Themenwechsel: Claudia Buch wird bekanntlich am 1. Januar Enrias Nachfolge an der Spitze der EZB-Bankenaufsicht antreten. Was wird sich Ihrer Meinung nach mit ihrer Ernennung ändern?
Claudia ist eine sehr kompetente Frau, und sie gehört bereits dem Aufsichtsgremium der EZB an, wo die Entscheidungen getroffen werden. Natürlich hat jeder seinen eigenen Stil, daher kann ich noch nicht sagen, ob es in dieser Hinsicht Veränderungen geben wird. Die Art und Weise, wie die EZB-Bankenaufsicht bisher funktioniert hat, ist sehr erfolgreich. Daher sehe ich keinen Bedarf für grundlegende Veränderungen. Verbesserungspotenzial besteht aber immer.
Das Interview führte Tobias Fischer.
Die Finanzindustrie sieht sich einer zunehmenden Bedrohung durch die geopolitischen Konflikte ausgesetzt. EZB-Bankenaufseherin Anneli Tuominen warnt nicht nur vor Cyberattacken, die von Nationalstaaten ausgehen, sondern auch vor Desinformationskampagnen. Banken müssten sich besser dagegen rüsten.