
„Metzlern“ im historischen Herrenhaus in Alt-Bonames
Die FIRM-Herbstkonferenz hat eine lange Tradition. Und doch ist in diesem Jahr vieles anders. Die Mitglieder waren in das historische Herrenhaus der Bankiersfamilie Metzler in Alt-Bonames geladen. Die Gastfreundschaft, die exklusive Lokation und herrlicher Sonnenschein gaben der Konferenz einen besonderen Rahmen, den wir mit spannenden Vorträgen füllen konnten. Entsprechend war die Konferenz ausgebucht bis auf den letzten Platz.
Wir freuen uns, FIRM und
Stefanie Buchmann
seine Mitglieder an diesem
besonderen Ort willkommen
zu heißen.
Stefanie Buchmann, im Vorstand des Bankhauses Metzler unter anderem für Risk und Compliance verantwortlich, erklärte gleich zu Beginn, wann und wie das ehrwürdige Haus heute genutzt wird: für Veranstaltungen, nur auf Einladung und nur für ausgewählte Runden. „Das, was hier in besonderer Atmosphäre besprochen wird, nennt man metzlern“, so Buchmann. Ein Wort, das sicher vielen Teilnehmen- den in Erinnerung bleiben wird.
Gemetzlert wurde an diesem 18. September 2024 über ESG, Governance, Cyberrisiken, DORA, organisatorisches Fehlverhalten und geopolitische Risiken. Prof. Günter Franke und Dr. Wilfried Paus, die als Beiratsvorsitzende den inhaltlichen Rahmen für die Veranstaltung steckten, hatten auf ein breites Themenfeld gesetzt, um alle FIRM-Schwerpunkte 2024 zu adressieren.

WETTBEWERB VOR KLIMASCHUTZ
Den Auftakt machte Joshua Jung von ING Deutschland. Sein Thema: „Why ESG Matters“. Jung zeigte auf, dass sich das Blatt in der kommenden Legislaturperiode wohl wenden werde. Dann stehe nicht mehr der Klimaschutz, sondern die Wettbewerbsfähigkeit ganz oben auf der Agenda. Zwar bleibe der „Green Deal“ bestehen, jedoch würden keine bedeutenden Erweiterungen oder Optimierungen der bestehenden Klimaregulierungen erwartet. Trotz des sinkenden politischen Drucks auf Unternehmen, strikte Dekarbonisierungsziele zu erreichen, werde Dekarbonisierung dennoch zur wirtschaftlichen Realität, wie Jung betonte. Dies zeige sich insbesondere in den Bereichen Energieerzeugung, Mobilität und Bauwesen, wo erneuerbare Energien und neue Technologien zunehmend konkurrenzfähig sind. Jung ging auch auf die Chancen ein, die die Finanzierung von Klimaschutzmaßnahmen bietet. Ein Wachstumsfeld seien beispielsweise saubere Technologien; hier wird mit einem drastisch ansteigenden Finanzierungsbedarf bis 2025 gerechnet. Wie die ING Klimarisiken in ihre Kreditvergabeprozesse integriert und langfristige Übergangsrisiken in verschiedenen Sektoren, wie z. B. im Zementsektor, managt, erklärte Jung abschließend. Hierzu werden ESG- Bewertungssysteme verwendet, um Unternehmen nach ihrem Beitrag zur Klimaneutralität zu kategorisieren.
GOVERNANCE FÜR WENIGER HAFTUNGSRISIKEN
Prof. Dr. Josef Scherer von der Technischen Hochschule Deggendorf befasste sich mit den aktuellen Anforderungen im Bereich Governance, Risiko- und Compliance-Management (GRC) im Kontext von ESG (Environmental, Social, Governance). Als zentralen Punkt sieht er hier die zunehmende Bedeutung von Governance für Unternehmen, insbesondere durch verschärfte Haftungsrisiken für Führungskräfte. Scherer verwies auf den Deutschen Corporate Governance Kodex 2022 und betonte, dass Unternehmen effektive Risikomanagement- und Compliance-Systeme benötigen, um rechtlichen Anforderungen zu genügen.
Als weiteren Schwerpunkt ging er auf das Hinweisgeberschutzgesetz ein, das den Schutz von Whistleblowern stärkt und die Aufdeckung von Verstößen erleichtert. Zu- dem stellte Scherer die erweiterten Berichtsanforderun- gen durch die EU-Richtlinie zur Nachhaltigkeitsberichterstattung (CSRD) heraus, die auch kleinere Unternehmen betrifft. An vielen Beispielen zeigte Scherer auf, warum nachhaltige Unternehmensführung nicht nur rechtlich not- wendig, sondern auch wirtschaftlich vorteilhaft ist, da sie die Resilienz und den Unternehmenswert langfristig stärkt.
PENETRATIONSTESTS FÜR MEHR DIGITALE RESILIENZ
Dr. Michael Riecker und Saed Alavi von Protiviti richteten den Fokus auf die praktische Anwendung von Open Source Intelligence (OSINT) im Kontext des Digital Operational Resilience Act (DORA). DORA verlangt von Finanzinstituten, Programme zur Stärkung der digitalen Resilienz zu entwickeln, die insbesondere Penetrationstests und Angriffssimulationen umfassen. Hierbei kommen verschiedene Testansätze wie Red Teaming, Purple Teaming und Schwachstellen- Scans zum Einsatz, um Sicherheitslücken in IT-Systemen zu identifizieren und die Reaktionsfähigkeit auf Cyberbedrohungen zu verbessern.
Riecker und Alavi gingen detailliert auf das Threat-Led Penetration Testing (TLPT) ein, bei dem reale Angriffsszenarien simuliert werden, um Schwachstellen in den Sicherheitsmaßnahmen eines Finanzinstituts aufzudecken. Wie genau Informationen für solche Angriffe gesammelt werden, zeigte Alavi an verschiedenen Praxisbeispielen. So können zur Vorbereitung von Angriffsszenarien verschiedene öffentlich zugängliche Quellen genutzt werden, etwa die Analyse von Mitarbeitenden, Netzwerke oder Leaks im Code. Techniken wie Phishing, SMiShing und physischer Zugang (z. B. durch gefälschte Badges) wurden als konkrete Angriffsmethoden vorgestellt, um Sicherheitslücken auszunutzen.
VOM INDIVIDUELLEN FEHLVERHALTEN ZUR UNTERNEHMENSKRISE
Dr. Sebastian Fritz-Morgenthal von Advisense thematisierte den Übergang von organisatorischem Fehlverhalten hin zu organisatorischer Resilienz. Anhand prominenter Beispiele wie der LIBOR-Manipulation, Wirecard, FTX (Sam Bankman- Fried) und dem Springer-Julian-Reichelt-Skandal zeigte er auf, wie individuelles Fehlverhalten, Gruppenmechanismen und organisatorische Schwächen zu großen Skandalen und Unternehmenskrisen führen können.
Organisatorisches Fehlverhalten (Organizational Misbehavior, OMB) entsteht durch eine Kombination aus mangelhafter Struktur, widersprüchlichen Zielen, unzureichender Überwachung und fehlendem Risikomanagement. Diese Schwächen führen zu einem „Practical Drift“, bei dem sich die tägliche Praxis zunehmend von den dokumentierten Regeln entfernt. Dies begünstigt Rationalisierungen und Normalisierungen von Fehlverhalten innerhalb der Organisation, oft verstärkt durch Gruppenmechanismen wie Groupthink.
Im Gegensatz dazu wurde im zweiten Teil des Vortrags das Konzept der organisatorischen Resilienz vorgestellt. Diese basiert auf einem robusten Risikomanagement, klaren Strukturen und einer Kultur, die Frühwarnsignale ernst nimmt und proaktiv handelt, um Krisen zu vermeiden.
Geopolitische Risiken und die Auswirkungen auf Kreditratings
Dr. Mark Rosenberg von GeoQuant und Hannah J.V. Dimpker von FITCH gaben wertvolle Einblicke, wie Ratingagenturen mit den zunehmenden geopolitischen Risiken umgehen. Rosenberg ist Gründer von GeoQuant, einem Unternehmen, das sich auf die Quantifizierung politischer Risiken spezialisiert hat.
Es nutzt moderne Datenanalyse- und maschinelle Lerntechnologien, um politische Risiken in Echtzeit zu messen und vorherzusagen. Durch die Kombination von großen Datenmengen, maschinellem Lernen und Expertenwissen erstellt GeoQuant detaillierte und fortlaufend aktualisierte Risikobewertungen für Länder, Märkte und politische Ereignisse weltweit. Wie dies in der Praxis funktioniert, erläuterte Rosenberg anhand verschiedener Modelle. Er zeigte, dass Länder mit höheren GeoQuant-Risiken eine größere Wahrscheinlichkeit für Abwertungen, steigende CDS-Preise und andere negative Marktbewegungen haben.
Die Daten lassen den Schluss zu, dass steigende geopolitische Risiken mit höheren Chancen für Staatsausfälle und Ratings-Abstufungen korrelieren. GeoQuant bietet hierbei ein Frühwarnsystem, das besser abschneidet als alternative Inputs wie die World Governance Indicators (WGI). Besonders nützlich sind diese Daten bei der Vor- hersage von Währungsbewegungen und Schwankungen in Schwellenländern. Rosenberg ist überzeugt, dass GeoQuant-Daten FinanzmarktteilnehmerInnen wertvolle Einblicke in bevorstehende Kreditereignisse und Marktvolatilitäten bieten und somit entscheidende Informationen zur Risikobewertung und -steuerung liefern.
Auslagerungen im Finanzsektor: Überwachung kritischer IT-Drittanbieter
Bei der FIRM-Herbstkonferenz war auch die BaFin zu Gast, mit einem praxisnahen Vortrag zu DORA und der Überwachung von IKT-Drittdienstleistern im Finanzsektor. Dr. Sibel Kocatepe von der IT-Aufsicht legte den Fokus auf die wachsende Abhängigkeit des Finanz- marktes von IT-Dienstleistungen und den damit verbundenen Risiken, insbesondere im Hinblick auf Cyberbedrohungen und systemrelevante Betriebsstörungen.
Kocatepe betonte, dass der Finanzsektor in zunehmendem Maße von externen IT-Dienstleistungen abhängt, insbesondere von Cloud-Diensten. Generell können Abhängigkeiten der Finanzunternehmen von bestimmten Dienstleistungen oder Dienstleistern ein erhebliches Risiko für die Stabilität des Finanzsystems bergen, wenn diese Dienstleistungen von dem Finanzunternehmen selbst nicht erbracht wer- den können und auch nur schwer ersetzbar sind. Erste Analysen zeigen, dass die Finanzunternehmen davon aus- gehen, etwa die Hälfte der Auslagerungen nicht wieder in das eigene Unternehmen eingliedern zu können.
Umso wichtiger sei eine Überwachung der Auslagerungen, wie Kocatepe betonte. Seit 2022 müssen Finanzinstitute in Deutschland ihre wesentlichen Auslagerungen anzeigen, um eine bessere Übersicht über kritische Abhängigkeiten zu ermöglichen. Diese Anzeigen erhalten die BaFin und die Bundesbank bzw. die die Europäische Zentralbank (EZB). Die Überwachung soll dabei helfen, Risiken frühzeitig zu er- kennen und gezielt zu steuern.

Kocatepe ging detailliert auf den Digital Operational Resi- lience Act (DORA) ein. Das neue europäische Regelwerk, das den Finanzsektor widerstandsfähiger gegen Störungen digitaler Systeme machen soll, findet ab dem 17. Januar 2025 Anwendung. Es reguliert die Zusammenarbeit der Aufsichtsbehörden mit kritischen IKT-Drittdienstleistern und soll sicherstellen, dass auch bei schwerwiegenden Vorfällen die Kontinuität der Leistungserbringung gewahrt bleibt. DORA schafft einen harmonisierten und kohärenten Rahmen zur Überwachung kritischer IT-Drittanbieter und konzentriert sich insbesondere auf Anbieter von Cloud- Computing-Diensten.
Wie europäische und nationale Überwachung ineinander- greifen, ist ein weiteres wichtiges Thema, das Kocatepe vertiefte: Während DORA auf europäischer Ebene die Überwachung kritischer IKT-Drittdienstleister normiert, behalten nationale Aufsichtsbehörden wie die BaFin weiterhin die Kontrolle über Dienstleister, die auf nationaler Ebene als wichtig gelten. Um hier einen genauen Überblick über die Verflechtungen auf dem Finanzmarkt zu haben, analysiert die BaFin anhand von Auslagerungslandkarten auffällige Konzentrationen im Interesse der Finanzmarktstabilität.
Im Rahmen von DORA werden nur solche IKT-Drittdienstleister überwacht, die aufgrund ihrer systemischen Bedeutung von den europäischen Aufsichtsbehörden als kritisch eingestuft werden. Kriterien dafür sind unter anderem die Abhängigkeit der Finanzinstitute und die geringe Möglichkeit, diese Dienstleister durch Alternativen zu ersetzen. Ein Ausfall dieser Anbieter könnte erhebliche Folgen für die gesamte Finanzstabilität haben, wie Kocatepe betonte. Dies unterstreicht einmal mehr die zunehmende Bedeutung der Überwachung von IKT-Drittdienstleistern im Finanzsektor, bei der DORA eine Schlüsselrolle spielen wird. Kritische IKT- Drittdienstleister müssen sich dabei auf strenge Anforderungen vorbereiten.
Verleihung FIRM Jahrbuchpreis
Bei der Forschungskonferenz wurde auch der FIRM-Jahrbuchpreis verliehen. Ausgezeichnet wurde Dr. Rainer Glaser von Oliver Wyman für seinen Beitrag über Kontrolle und Validierung von Generativer KI (GenAI).

Der Beitrag beleuchtet die zentrale Bedeutung der Kontrolle und Validierung von generativer künstlicher Intelligenz (GenAI). Seit der Veröffentlichung von Tools wie ChatGPT ist GenAI in den Fokus vieler Unternehmen gerückt, die die Technologie in verschiedenen Funktionsbereichen nutzen wollen. Der FIRM-Jahrbuchpreis wird gestiftet vom FIRM- Ehrenmitglied Wolfgang Hartmann und wird jährlich im Rahmen der FIRM-Herbstkonferenz verliehen.
impressionen zur firm-herbstkonferenz 2024















































































Veranstaltungsdetails
18. September 2024 | 10:00 - 18:00 Villa Metzler in Frankfurt Bonames