bn Frankfurt – Die europäische Bankenaufsicht verstärkt schon seit längerem ihre Bemühungen in der Überwachung der IT-Risiken von Banken. “Spart nicht an der falschen Stelle”, warnte EZB-Generaldirektor Korbinian Ibel die Institute schon im Frühjahr 2005 im Interview der Börsen-Zeitung. Wenig später schickte die Notenbank den größten Banken Eurolands einen Fragebogen zur IT, der Beobachtern zufolge verdächtige Ähnlichkeiten mit einem von der US-Notenbank zu solchen Zwecken verwendeten Fragekatalog aufwies. Inzwischen hat die EZB Arbeitsbesuche absolviert bei Aufsehern in den USA, Großbritannien, Kanada, Singapur und Hongkong sowie bei Chief Information Officers (CIO) global systemrelevanter Banken, die unter direkter EZB-Aufsicht stehen, um sich auszutauschen und bewährte Verfahren in der Überwachung von IT-Risiken zu erkunden.”Die Besuche ergaben ein recht einheitliches Bild der IT-Risikolandschaft”, schreibt die EZB. Als die wichtigsten IT-Risiken stellten sich demnach heraus: Cyber-Risiken und -Widerstandkraft, IT-Kontinuität und operationelle Belastbarkeit, Outsourcing-Risiken, Identitäts- und Zugangsmanagement, das Management von Programmstücken, die zur nachträglichen Korrektur bereits genutzter Programme dienen, sowie des Schadenpotenzials, IT-Komplexität, das Risiko von Veränderungsprogrammen, die Architektur, die Qualität und die Überwachung von Daten sowie die IT-Fähigkeiten.Wegen der Lage in den Banken zeigen sich die Aufseher dabei beunruhigt: “Es ist bestürzend, dass die meisten global systemrelevanten Banken angaben, dass sie sich derzeit mit IT-Risiken konfrontiert sähen, deren Ausmaß das Niveau übersteige, mit dem sie sich hinsichtlich ihres Risikoappetits wohl fühlen”, resümiert die EZB: “Die Risiken werden noch auf Jahre hinaus hoch bleiben, ungeachtet der vielen Programme dieser Banken zur Risikoreduktion.” Aufseher außerhalb von Europa äußerten dieselbe Sorge. Keine primäre SorgeEs ist beileibe nicht die einzige: Tests zeigten, dass entschlossene oder gut informierte Cyber-Angreifer fast immer einen Weg in die Bank fänden, heißt es etwa. Keine der global systemrelevanten Banken, die interviewt worden seien, habe IT-Kontinuität und operationelle Belastbarkeit als eine primäre Sorge genannt. Eine Erhöhung der operationellen Widerstandskraft sei dabei ein kompliziertes Vorhaben, da viele Banken einen sehr hohen Grad an IT-Komplexität aufwiesen, heißt es. Die Steuerung der Nutzeridentitäten und des Zugangs zu IT-Ressourcen sei aber wichtiger denn je, weil Banken sich Cloud-Diensten und mobilen Apps zuwendeten, um ihre Ertragskraft zu steigern und Kosten zu senken. Sie kämpften dabei aber mit der Aufgabe, dies richtig zu tun. Sonst könne dies große Betrugsfälle und “sehr disruptive” Cyber-Attacken nach sich ziehen.Viele Banken quälten sich damit, ihre IT-Komplexität angemessen zu steuern, wie es weiter heißt. Neue Risiken, die es zu beachten gelte, gingen auch mit den von vielen Banken eingeleiteten Veränderungsprogrammen einher. Ein Chief Information Officer habe in diesem Zusammenhang von dem Versuch gesprochen, “ein Flugzeug während des Fluges umzubauen”. Sowohl Banken als auch Aufseher sähen zudem ein wiederkehrendes IT-Risiko in der schwachen Datenqualität, welche vernünftige Entscheidungen erschwere und in inakkuraten sowie ineffizienten Berichten an die Aufsicht münde.Den vermehrten Gebrauch von Clouds betrachten die Marktteilnehmer nicht als spezifisches IT-Risiko, sondern als Chance, wie es weiter heißt. Aufseher seien dagegen hauptsächlich wegen der Nutzung externer Cloud-Lösungen besorgt, welche wie gewöhnliches IT-Outsourcing betrachtet werde und an die daher dieselben aufsichtsrechtlichen Erwartungen gestellt würden. In der Regel ist der Einsatz einer externen Cloud für geschäftlich entscheidende Prozesse in Banken nicht grundsätzlich verboten.Die EZB denkt nun über eine “zentrale Koordination der IT-Risikoüberwachung” nach. Eine solche Einheit könne sich darauf konzentrieren, Leitlinien in den Markt zu geben und mit ihrer Expertise Aufseher vor Ort zu unterstützen. Auch will die Notenbank einen Austausch von Informationen zwischen Banken, aber auch zwischen den Banken und Aufsicht fördern sowie nicht auf IT spezialisierten Aufsehern Fortbildungen anbieten.