Sind die Banken für Cyberrisiken gewappnet?

Der technische Fortschritt der letzten Jahre bietet Banken Chancen und Risiken: Zum einen unterstützt er das Management bei der Verbesserung der Margen und beim Risikomonitoring. Zudem bietet beispielsweise mobiles Banking neue Umsatzmöglichkeiten und Wettbewerbsvorteile. Zum anderen führt diese Entwicklung aber auch zu einer schnell wachsenden Bedrohung für die Banken: Die Qualität der Daten und ihre Funktion als Schlüsselinformationen für das globale Finanzsystem machen sie zu natürlichen Zielen von Kriminellen, terroristischen Gruppierungen oder auch Aktivisten. Angesichts der Maßnahmen, die gerade die großen Banken gegen bekannte Risiken unternommen haben, schätzt Standard & Poor’s die Gefahr für die Kreditwürdigkeit durch Cyberangriffe jedoch nur als "medium" ein. Dazu zählen etwa die hohe Priorität der Verteidigung gegen mögliche Cyberattacken und die höheren Mittel, die dafür im Budget eingeplant werden.

Reputationsschaden durch Cyberangriff

Standard & Poor’s zufolge hat ein Cyberangriff nur Auswirkungen auf die Kreditwürdigkeit, wenn ein entsprechend schwerer Vorfall zu einem Schaden für die Reputation der Bank und damit zu tatsächlichen negativen monetären und rechtlichen Konsequenzen führen würde. Obwohl es in der Vergangenheit immer wieder Zwischenfälle z.B. von Datendiebstahl gab und so Lücken in der Datensicherheit der Banken offenbar wurden, hatten diese bisher keine direkten Folgen bei Ratings von Standard & Poor’s, da sie auch keine signifikanten finanziellen oder Reputationsschäden bewirkten. Jedoch geht Standard & Poor’s davon aus, dass das Risiko von Cyberattacken ansteigt und daraus Herabstufungen bei Ratings von Finanzinstitutionen resultieren können.

Strategie zur Internetsicherheit

Umso wichtiger ist eine starke, gut durchdachte Strategie zur Internetsicherheit, auch wenn sich wohl kein System als absolut ausfallsicher erweisen wird. Jedoch sieht Standard & Poor’s die schnelle Fähigkeit einer Bank, Cyberangriffe aufzuspüren und sofort die notwendigen Maßnahmen zu ergreifen, als Schlüssel zu einer erfolgreichen Internetsicherheit-Strategie.

Auch die Gesetzgeber haben hier Handlungsbedarf erkannt. Auf EU-Ebene wird voraussichtlich bis Mitte 2016 die so genannte NIS-Strategie (Network and Information Security) entwickelt, die insbesondere EU-weite Kooperation für die Internetsicherheit vorschreibt und kritischen Sektoren - z.B. Banken - größere Transparenz im Umgang mit Cyberangriffen vorschreibt. Das im Sommer in Deutschland verabschiedete IT-Sicherheitsgesetz zielt ebenfalls in diese Richtung.

Cyberangriffe stellen ein wachsendes Risiko dar, das alle Industrien betrifft. Banken sind besonders betroffen, da Vertrauen und die Sensibilität bei Vertrauensverlust bei diesen Institutionen besonders wichtig ist. Es scheint, dass Banken und Regulierer die ersten Schritte unternehmen, um die Ernsthaftigkeit des Problems anzugehen. Jedoch schätzt Standard & Poor’s, dass Risiken wie mögliche Lösungen erst am Anfang stehen - Cyberangriffe und -verteidigung werden Risikomanager und Regulierer noch eine lange Zeit beschäftigen.

Von Stuart Plesser, Analyst von Standard & Poor’s Ratings Services in New York

Hier kommentieren jede Woche Analysten von Standard & Poor’s Ratings Services (S&P) die Entwicklungen in der Wirtschaft und an den Finanzmärkten - und welche Herausforderungen sich daraus für Wachstum und Stabilität ergeben. S&P ist seit 30 Jahren mit inzwischen neun Standorten in Europa vertreten, im Frankfurter Büro arbeiten 120 Mitarbeiter aus 19 Ländern. Mehr Infos unter www.spratings.de

Der obige Text spiegelt die Meinung des jeweiligen Kolumnisten wider. Die finanzen.net GmbH übernimmt für dessen Richtigkeit keine Verantwortung und schließt jegliche Regressansprüche aus.