fir Frankfurt – Sich häufende Cyberattacken und IT-Pannen treiben nicht nur die Schäden für einzelne Finanzinstitute in die Höhe, sondern bergen angesichts von Digitalisierung und Verflechtung ein systemisches Risiko für das Finanzsystem. Dazu kann es vor allem dann kommen, wenn sich ein einzelner Cybervorfall zum umfassenden Vertrauensverlust auswächst, wie der Europäische Systemrisikorat (European Systemic Risk Board, ESRB) festhält.”Ein allgemeiner Vertrauensverlust ins Finanzsystem sowie (erwartete) umfangreiche finanzielle Verluste sind zwei Schlüsselfaktoren, die bestimmen, ob ein Cybervorfall systemische Auswirkungen hat oder nicht”, heißt es in der am Mittwoch veröffentlichten Studie “Systemic Cyber Risk” des bei der Europäischen Zentralbank (EZB) angesiedelten Gremiums, das über das Finanzsystem in der Europäischen Union wacht. Im Ernstfall bis zum Bank RunSo wie mangelndes Vertrauen in der Finanzkrise 2007/08 dazu führte, dass sich Banken kein Geld mehr leihten, könnten aktuell hausgemachte IT-Probleme oder Cyberangriffe von außen zum gleichen Resultat führen. “Es besteht ein feiner, aber wesentlicher Unterschied zwischen zwei Finanzinstitutionen, die nicht in der Lage sind, sich mit Liquidität zu versorgen und solchen, die unwillig sind, sich Geld zu leihen”, schreibt der ESRB. “Die Erwartung großer finanzieller Einbußen und/oder eine kritische Masse an Gerüchten in sozialen Medien könnten ausreichen, um einen klassischen Bank Run auszulösen”, heißt es weiter.Die zu den operativen Risiken zählenden IT- und Cybergefahren mit einst geringen Auswirkungen auf die Finanzstabilität hätten sich längst zu potenziell zerstörerischen Kräften mit Folgen für die Realökonomie entwickelt. “Dieser Trend wird sich voraussichtlich fortsetzen, besonders, weil hoch entwickelte Instrumente und Methoden, die früher nur Nationalstaaten verfügbar waren, nun auch kriminellen Akteuren zu niedrigen oder null Kosten zugänglich sind”, erwartet der Systemrisikorat.Ihm zufolge sind Cyberrisiken drei Merkmale zu eigen, die sie von anderen operativen Risiken – Kredit-, Markt- und Liquiditätsrisiken – unterscheiden: Umfang und Geschwindigkeit der Ausbreitung sowie die Absichten der Angreifer. Ist es demnach Ziel von Cyberkriminellen, Geld zur persönlichen Bereicherung zu stehlen, sind anderen Akteure wie Staaten und Terrorgruppen destruktivere Bestrebungen zu eigen, beispielsweise Zerstörung von Daten und Infrastruktur sowie Unterbrechungen des Betriebsablaufs (s. Tabelle). Verbreitung von Fake NewsEs sind vor allem Letztere, befindet der ESRB, die der Finanzstabilität gefährlich werden können. “Ein schädlicher Cyberzwischenfall mit einem Beteiligten, der auf Profit aus ist, wird mit geringerer Wahrscheinlichkeit Verluste verursachen, die so groß sind, dass sie eine Systemkrise herbeiführen.” So hatte ein koordinierter Angriff auf die indische Cosmos Bank, bei dem binnen zwei Stunden mittels 14 000 Transaktionen in 28 Staaten insgesamt 11 Mill. Dollar gestohlen wurden, keine Auswirkungen auf die Finanzstabilität, wie der ESRB berichtet. Das sei durch finanzielle Verluste und Vertrauensschwund eher dann zu befürchten, wenn der Angreifer beabsichtigt, Teile des Finanzsystems zu blockieren oder zu zerrütten. “Weitreichende und nicht mehr rückgängig zu machende Datenverschlüsselung, Löschung oder Veränderung kritischer Daten sind Beispiele dafür, wie eine Systemkrise ausgelöst werden könnte. Erschwerend kommt hinzu, dass sich in einem solchen Fall Fake News und Desinformation über soziale Medien verbreiten könnten, möglicherweise als Bestandteil des Vorfalls, was Märkte und Gesellschaft noch weiter destabilisieren würde.”Schätzungen der weltweiten Gesamtkosten durch Cybervorfälle gehen der Studie zufolge weit auseinander und liegen für das Jahr 2018 zwischen 45 Mrd. und 654 Mrd. Dollar. Das sei zum einen dem Umstand geschuldet, dass nicht alle Zwischenfälle gemeldet würden. Würden sie gemeldet, sei zum anderen oftmals unklar, inwieweit neben den direkten Kosten etwa durch Ertragsverluste, Fehlerbehebung und Diebstahl indirekte Kosten berücksichtigt werden, zu denen Ruf- und Markenschädigung, Rechtskosten und Bußgelder zählen können, heißt es.