Die Einführung der Digital Operational Resilience Act (DORA) ab dem 17. Januar 2025 hebt die Bedeutung eines robusten IKT-Risikomanagements auf eine neue Ebene. Als Teil des operationellen Risikos erlangen IKT-Risiken besondere Relevanz, da ihre Auswirkungen nicht nur die operative Stabilität, sondern auch die Kapital- und Liquiditätsplanung von Banken direkt beeinflussen. Im Rahmen des Internal Capital Adequacy Assessment Process (ICAAP) und Internal Liquidity Adequacy Assessment Process (ILAAP) sind operationelle Risiken, einschließlich IKT-Risiken, daher systematisch zu identifizieren, zu bewerten und zu steuern. Der Beitrag beleuchtet Ansätze zur Approximation und Quantifizierung von IKT-Risiken, analysiert deren Profil mithilfe der Szenariotechnik und erörtert die Auswirkungen von Betriebsvorfällen auf Liquiditätslage sowie mögliche Liquiditätsabflüsse. Mittelfristiges Ziel der Kreditinstitute muss es sein, praktikable Ansätze für die Integration von IKT-Risiken in bestehende Risikomanagementsysteme zu entwickeln.
IKT-Risiken als Teil der operationellen Risiken
IKT-Risiken setzen sich in der europäischen (Banken-)Regulierung gemäß EBA [2017] aus fünf Teilrisikoarten zusammen. Das spezifische Risikopotential eines Kreditinstituts ergibt sich hierbei aus den jeweiligen Beträgen des IKT-Verfügbarkeits- und Kontinuitätsrisikos, des IKT-Sicherheitsrisikos, des IKT-Änderungsrisikos, des IKT-Auslagerungsrisiko sowie des IKT-Datenintegritätsrisikos. Das IKT-Risiko selbst ist dem operationellen Risiko eines Kreditinstituts zuzurechnen. Gemäß Art. 4 Nr. 52 CRR ist es als Risiko von Verlusten definiert, die durch die Unangemessenheit oder das Versagen von internen Verfahren, Menschen, Systemen oder durch externe Ereignisse verursacht werden, einschließlich Rechtsrisiken.
Das IKT-Verfügbarkeits- und Kontinuitätsrisiko umfasst das Risiko, dass die Leistung und die Verfügbarkeit von IKT-Systemen und -Daten nachteilig beeinflusst werden, einschließlich der mangelnden Fähigkeit zur rechtzeitigen Wiederherstellung nach einem Ausfall. Das IKT-Sicherheitsrisiko fokussiert sich auf den unbefugten Zugang zu IKT-Systemen und Datenzugriffs von innerhalb oder außerhalb des Instituts (z. B. durch Cyber- oder Insider-Attacken). Das Risiko, das sich aus der mangelnden Fähigkeit des Instituts ergibt, IKT-Systemänderungen zeitgerecht und kontrolliert zu steuern, wird als IKT-Änderungsrisiko bezeichnet. Ein besonderer Schwerpunkt liegt hier auf umfangreichen und komplexen Programmen zur IT-Transformation. Als IKT-Auslagerungsrisiko (unter DORA auch als IKT-Drittparteienrisiko bezeichnet) ist das Risiko definiert, das die Beauftragung eines Dritten mit der Bereitstellung von IKT-Systemen oder der Erbringung damit zusammenhängender IKT-Dienstleistungen das Leistungs- und Risikomanagement des Kreditinstituts nachteilig beeinflusst. Die Anforderungen gemäß DORA betreffen diese vier genannten Teilrisikoarten.
Als fünfte Teilrisikoart definiert EBA [2017] das IKT-Datenintegritätsrisiko. Hierbei handelt es sich um das Risiko, dass die von IKT-Systemen gespeicherten und verarbeiteten Daten über verschiedene IKT-Systeme hinweg unvollständig, ungenau oder inkonsistent sind. Die regulatorischen Anforderungen für diese Komponente des IKT-Risikos sind in EZB [2024a] sowie im AT 4.3.5 MaRisk festgelegt.
Vergleich von Kredit- und IKT-Risikomanagement
Die drei Bestandteile „schützenswertes Asset“, „potenzielle Gefahr“ und „Schwachstelle“ sind zentrale Voraussetzung für das Entstehen von Risiko. Um in der Zukunft nachteilige Auswirkungen wie z.B. Verlust von Eigenkapital oder Liquidität zu entfalten, müssen alle drei Elemente zusammen auftreten. Hierbei ist die Wechselwirkung nicht statisch, sondern insbesondere bei IKT-Risiken hochdynamisch. Aufgabe des Risikomanagements ist es nun, die Veränderungen der drei Elemente stetig zu beobachten, zu bewerten und ggfs. Gegenmaßnahmen einzuleiten.
Im Kreditrisikomanagement bilden die Forderungen der Bank gegenüber Kunden die schützenswerten Assets. Deren (sich verschlechternde) Kreditwürdigkeit stellt eine Gefahr dar. Zudem können im Kreditprozess des Instituts aus verschiedenen Gründen Schwachstellen auftreten. Es resultiert ein Risikobetrag, welcher vom Risikoappetit der Bank abgedeckt sein muss. Verschlechtert sich die Bonität eines Kunden z.B. infolge von Arbeitslosigkeit, erhöht sich tendenziell dieser Betrag. Eine intensivere Betreuung durch die Bank (Reduktion der Informationsasymmetrie als Schwachstelle) oder die Rückführung von offenen Linien sowie die Forderung nach weiteren Sicherheiten (Reduktion des schützenswerten Assets) können geeignete Maßnahmen eines aktiven Kreditrisikomanagements sein.
Abbildung 1: Drei Komponenten für die Entstehung von Risiko
Das in Abb. 1 ersichtliche Zusammenspiel der Elemente gilt analog auch für das IKT-Risikomanagement. Banken müssen einen stets aktuellen Überblick über ihre IKT-Assets wie Hardware- und Softwarekomponenten besitzen, die grundsätzlich Träger von IKT-Risiken sind. Vielschichtige Bedrohungen wie z.B. von geopolitisch beeinflussten Angreifern, finanziell motivierten Kriminellen oder unzureichend geschulten Mitarbeitenden stellen potenzielle Gefahrenquellen dar. Der regelmäßige Austausch mit der Finanzwirtschaft zeigt zudem eine breite Variation an Schwachstellen, beginnend von zahlreichen noch genutzten „End-of-Lifetime“-Anwendungen über unzureichend getestete IDV-Lösungen bis zu Mängeln in der operativen Informationssicherheit. Eine besondere Herausforderung für das notwendige IKT-Risikomanagement bildet die hohe Innovationsdynamik, die sich insbesondere in den Bereichen Gefahrenquellen und Schwachstellen verdeutlicht. Erfahrungen aus dem bereits langfristig etablierten Kreditrisikomanagement sind daher außerordentlich wertvoll für die Weiterentwicklung der bestehenden Systeme zum IKT-Risikomanagement.
ICAAP und ILAAP in der Gesamtbank
EZB [2018a] und EZB [2018b] definieren Grundsätze, die ein solides internes Kapital- und Liquiditätsmanagement gewährleisten sollen. Diese beiden bankinternen Prozesse ICAAP und ILAAP sind essenziell, um die Widerstandsfähigkeit einer Bank zu sichern, indem Kapital- und Liquiditätsrisiken systematisch erfasst und gesteuert werden. Eine zentrale Rolle spielt die Verantwortung der Geschäftsleitung, die für die Umsetzung und Integration von ICAAP und ILAAP in die strategische und operative Steuerung verantwortlich ist.
Ein weiterer Schwerpunkt liegt auf der Vollständigkeit der Risikoerfassung. Sämtliche wesentlichen Risiken, einschließlich operationeller und IKT-Risiken, müssen berücksichtigt werden, wobei der ILAAP insbesondere Liquiditätsabflüsse in kritischen Szenarien adressiert. Die eingesetzten Methoden und Modelle zur Risikoidentifikation und -bewertung müssen dabei sowohl auf die spezifischen Gegebenheiten der Bank zugeschnitten als auch regulatorischen Anforderungen angemessen sein.
Von entscheidender Bedeutung ist die Fähigkeit der Bank, Risiken durch ausreichendes Kapital oder Liquidität abzudecken. Diese Risikotragfähigkeit ist in normativen und ökonomischen Perspektiven zu analysieren und nachzuweisen. Ergänzend dazu erfordert ein robustes Managementsystem umfassende Stresstests, die potenzielle Auswirkungen interner und externer Risikofaktoren beleuchten. Die Ergebnisse und Annahmen dieser Analysen müssen detailliert dokumentiert und gegenüber den Aufsichtsbehörden transparent kommuniziert werden.
Abbildung 2: ICAAP und ILAAP als zentrale bankinterne Prozesse auch bei IKT-Risiken
Schließlich ist wie in Abb. 2 ersichtlich die enge Verknüpfung von ICAAP und ILAAP mit anderen zentralen Prozessen wie Geschäftsplanung, Risikomanagement und Berichterstattung unerlässlich. Durch die konsequente Anwendung dieser Prinzipien können Kreditinstitute ihre Widerstandsfähigkeit weiter stärken.
Ausgewählte Implikationen des IKT-RM für ICAAP und ILAAP
Eine integrative Governance von ICAAP und ILAAP ist entscheidend für eine effektive Gesamtbanksteuerung, insbesondere im Hinblick auf das Management von IKT-Risiken. Da diese Risiken zunehmend komplexer und weitreichender werden, bedarf es einer engen Verzahnung von Risikomanagement, Geschäftsstrategie und operativen Prozessen. Besonders im Bereich der IKT-Risiken ist die Kompetenz der Geschäftsleitung von zentraler Bedeutung. Nur durch ausreichende Digital- und Datenkompetenz können die berichteten Risikolagen adäquat bewertet und fundierte Entscheidungen getroffen werden. Diese Fähigkeiten ermöglichen es, die spezifischen Auswirkungen von IKT-Risiken auf Kapital- und Liquiditätsreserven zu verstehen und wirksame Steuerungsmaßnahmen zu ergreifen.
Die Risikomessung von IKT-Risiken stellt eine besondere Herausforderung dar, da sich diese (noch) nicht direkt wie finanzielle Risiken quantifizieren lassen (z.B. erwarteter Verlust bei Kreditrisiken als Produkt aus Ausfallwahrscheinlichkeit PD, Verlustquote LGD und Forderungsbetrag EAD). Dennoch ist die Ermittlung eines konkreten Risikobetrags essenziell, insbesondere im Hinblick auf Kapital- und Liquiditätsrisiken. Im Gegensatz zu Markt- oder Kreditrisiken fehlen für IKT-Risiken oft historische Daten und derzeit noch standardisierte Modelle, was die präzise Quantifizierung erschwert.
Ein praktikabler Ansatz ist die Nutzung von Szenarien zur Approximation. Dabei werden mögliche Ereignisse, wie Cyberangriffe oder Systemausfälle, simuliert, um die potenziellen Auswirkungen auf das Eigenkapital und die Liquiditätslage zu bewerten. Solche Szenarien erlauben es, Annahmen über Schadenshöhen und Wiederherstellungszeiten zu treffen, die in die Risikoanalyse einfließen. Von besonderer Bedeutung ist hierbei die Analyse von Liquiditätsabflussquoten nach (öffentlich bekannten) Störfällen. Neben „Nachholeffekten“ könnten zunehmend digital betreute Kunden Einlagen kurzfristig auf andere Institute umleiten. Auch qualitative Elemente wie Experteneinschätzungen spielen hier eine wichtige Rolle, um Unsicherheiten zu adressieren und ein umfassendes Risikoprofil zu erstellen. Dieser Ansatz fördert eine integrative Betrachtung von IKT-Risiken im Rahmen des ICAAP und ILAAP.
Sowohl der ICAAP als auch der ILAAP unterliegen einer regelmäßigen Überprüfung, die mindestens einmal jährlich in Form einer umfassenden Validierung stattfindet. Ziel dieser Validierung ist es, die Angemessenheit und Wirksamkeit der Prozesse zu überprüfen und sicherzustellen, dass sie den aktuellen regulatorischen Anforderungen sowie den spezifischen Risiken der Bank entsprechen. Ein ähnlicher Ansatz gilt für den IKT-Risikomanagementrahmen nach DORA, der ebenfalls einer jährlichen Validierung bedarf. Die parallelen Anforderungen an diese Überprüfungen eröffnen Chancen für eine integrative und abgestimmte Durchführung.
Besonders wichtig ist hierbei, dass Schwächen oder Mängel im IKT-Risikomanagementrahmen direkte Auswirkungen auf die Aussagefähigkeit von ICAAP und ILAAP haben können. Beispielsweise könnte eine unzureichende Identifikation oder Bewertung von IKT-Risiken die Belastbarkeit von Kapital- und Liquiditätsprognosen erheblich beeinträchtigen. Durch eine koordinierte Validierung lassen sich Synergien nutzen und sicherstellen, dass die Systeme nicht isoliert, sondern als Teil eines integrierten Risikomanagementansatzes betrachtet werden. Dies stärkt nicht nur die Aussagekraft der jeweiligen Systeme, sondern fördert auch die Gesamtresilienz der Bank.
Fazit
Das IKT-Risikomanagement hat mit der Einführung von DORA eine solide Basis erhalten, doch ähnlich wie das Kreditrisikomanagement vor 20 Jahren steckt es noch in einer frühen Entwicklungsphase. Banken können noch ein großes Potenzial ausschöpfen, um IKT-Risiken systematisch und vergleichbar zu steuern. Dazu ist zunächst ein stärkerer Kompetenzaufbau beim Leitungsorgan erforderlich, um Risiken fundiert bewerten und steuern zu können. Gleichzeitig bedarf es der Entwicklung und Etablierung von Standardmodellen zur Quantifizierung von IKT-Risiken, um deren Messbarkeit und Vergleichbarkeit zu erhöhen. Neben diesen Risikomanagementmaßnahmen ist es essenziell, mit mindestens gleichem Engagement die Chancen der digitalen Transformation (vgl. EZB [2024b]) zu nutzen, um Innovationen und Wettbewerbsfähigkeit nachhaltig zu fördern.
Literatur
EBA [2017]: Guidelines on ICT Risk Assessment under the Supervisory Review and Evaluation process (SREP), London 2017.
EZB [2018a]: Guide to the internal capital adequacy assessment process (ICAAP), Frankfurt 2018.
EZB [2018a]: Guide to the internal liquidity adequacy assessment process (ILAAP), Frankfurt 2018.
EZB [2024a]: Guide on effective risk data aggregation and risk reporting, Frankfurt 2024.
EZB [2024b]: Supervisory priorities 2025-27, Frankfurt 2024.