Schlagwort: Banken

Artikel Kundenbeziehungen

„Ich kenne wen, der wen kennt“ – Innovative Ansätze zur Potenzialkundenanalyse

In allen Medi­en sind Schlag­wor­te wie „Big Data“ und „Machi­ne Lear­ning“ omni­prä­sent. Vie­les von dem, was wir dort lesen kön­nen, ist rich­tig und gut. Aber beschleicht uns nicht manch­mal das Gefühl, dass wir nun alle wis­sen, wie wich­tig die­se The­men sind und wir nun end­lich ins Han­deln kom­men sollten?

Die Rea­li­tät sieht der­zeit lei­der so aus, dass wir eini­ge Akti­vi­tä­ten im Ban­ken­sek­tor sehen, wirk­li­che Pro­jek­te mit dem Ziel kon­kre­ter Pro­duk­te und Funk­tio­nen sind aber noch rar.

Unser Ansatz bei ban­kon ist es, mit unse­ren Kun­den kon­kre­te Lösun­gen zu ent­wi­ckeln und umzu­set­zen. Des­halb haben wir ein Ver­fah­ren zur Kun­den­ana­ly­se basie­rend auf der Gra­phen­ana­ly­se entwickelt.

Wozu das Ganze?

Nicht erst seit Insta­gram wis­sen wir, dass Influen­cer einen erheb­li­chen Wert haben, wenn es um die Bewer­bung von Pro­duk­ten geht. Gute Influen­cer zeich­nen sich unter ande­rem durch fol­gen­de Merk­ma­le aus:

Hohe Reich­wei­te

Reich­wei­te drückt sich am bes­ten durch die Anzahl der Fol­lower aus. Damit erreicht Wer­bung die­ser Fol­lower in der Regel eine kon­kre­te affi­ne und gro­ße Zielgruppe.

Ver­trau­en

Fol­lower von Influen­cern ver­trau­en die­sen in der Regel sehr, wenn die­se Pro­duk­te vor­stel­len. Das wirkt sich posi­tiv auf Kam­pa­gnen­er­fol­ge aus.


Der wah­re Schatz der Kre­dit­in­sti­tu­te sind ihre Kunden!


Die­sen Satz wür­de wohl jeder Ver­triebs­vor­stand sofort unter­schrei­ben. Aber was bedeu­tet das kon­kret und wie kann ein Insti­tut die­ses Poten­zi­al zum Wohl der Kun­den und des Ver­triebs­er­folgs nutzen?

Neben den vor­ge­nann­ten klas­si­schen Influen­cern auf You­Tube, Tik­Tok, Insta­gram usw. gibt es aber eine völ­lig unter­schätz­te Grup­pe von Men­schen, die eben­falls bewuss­te und unbe­wuss­te Mei­nungs­bild­ner sind, und die­se Men­schen sind alle auch Bank­kun­den. Schau­en wir uns im Fir­men­kun­den­um­feld um:

  • Der Geschäfts­füh­rer eines seriö­sen mit­tel­stän­di­schen Unter­neh­mens ist im Sport­ver­ein tätig und kennt dort die Inha­be­rin eines Fachhandelsunternehmens.
  • Die Pro­ku­ris­tin ist im Eltern­bei­rat tätig und tauscht sich mit Ande­ren – nicht nur über schu­li­sche Belan­ge aus.
  • Bei­de Per­so­nen haben ein gutes Ver­hält­nis zu den Nachbarn.

Dar­aus kön­nen wir schlie­ßen, dass die­se Per­so­nen „natür­li­che“ Influen­cer sind, die um auch bei Bank­ge­schäf­ten um ihren Rat gefragt wer­den und deren Mei­nung man vertraut.

Was heißt das für den Vertrieb?

Die­se Influen­cer soll­ten im Fokus einer umfas­sen­den und qua­li­ta­tiv hoch­wer­ti­gen Kun­den­be­treu­ung stehen

  • Posi­ti­ve Erfah­run­gen mit der Bank, deren Pro­duk­ten und Men­schen wer­den posi­tiv verstärkt.
  • Glei­ches gilt bei nega­ti­ven Erfah­run­gen: Die­se sind im schlimms­ten Fall vor Geschäfts­schluss im Bekann­ten­kreis publik und wer­den damit einer gro­ßen Grup­pe kommuniziert.

Wie können diese Potenzialkunden erkannt werden?

Die klas­si­schen Ver­fah­ren zur Kun­den­seg­men­tie­rung schei­tern hier all­zu oft:

  • Ein sol­cher Influen­cer ist oft nicht zwin­gend im Fokus von Poten­zi­al­ana­ly­sen, da die­se oft­mals nur Fak­ten wie Umsatz­hö­hen und Fir­men­ver­bin­dun­gen ers­ten Gra­des erfassen.
  • Die manu­el­le Erhe­bung über die Kun­den­be­treu­er kann meist nicht alle inter­es­san­ten Ver­bin­dun­gen erfassen.

Hier kommt die Gra­phen­ana­ly­se ins Spiel: Aus den vor­lie­gen­den Kun­den­da­ten kön­nen die­se Netz­wer­ke ermit­telt und bewer­tet werden.

Abbil­dung 1: Prin­zip­bild Kun­den­be­zie­hun­gen © 2024 bankon

Mit­tels des von ban­kon ent­wi­ckel­ten Ver­fah­rens wer­den dabei nicht nur die nahe­lie­gen­den und direk­ten Bezie­hun­gen wie Geschäfts­füh­rer, Gesell­schaf­ter usw. ermit­telt, son­dern je nach Daten­qua­li­tät auch Infor­ma­tio­nen wie gemein­sa­me Steu­er­be­ra­ter, Nach­barn und Geschäfts­part­ner einbezogen!

Wie sieht ein Ergebnis aus?

Es wer­den unter ande­rem Per­so­nen mit hoher Zen­tra­li­tät ermittelt:

Wer kennt beson­ders vie­le wei­te­re Per­so­nen? Dabei ist nicht nur die Anzahl direk­ter Ver­bin­dun­gen inter­es­sant, son­dern auch, wie vie­le Ver­bin­dun­gen zu ande­ren Per­so­nen exis­tie­ren, die wie­der­um Per­so­nen mit vie­len wei­te­ren Ver­bin­dun­gen kennen.

  • Es erfolgt eine gra­phi­sche Auf­be­rei­tung in Form einer inter­ak­ti­ven Web­sei­te, um die Ergeb­nis­se explo­ra­tiv wei­ter zu ana­ly­sie­ren („Drill­down”).
  • Das Ergeb­nis wird in Form von Lis­ten mit unter­schied­li­chen Gewich­tun­gen (z.B. Anzahl direk­ter Ver­bin­dun­gen oder Zen­tra­li­tät) aus­ge­ge­ben, die in den Ver­triebs­sys­te­men des Insti­tuts ein­fach wei­ter­ver­ar­bei­tet wer­den können.

Was passiert mit dem Ergebnis?

Die ermit­tel­ten Per­so­nen, also Influen­cer, kön­nen nun – ggf. ange­rei­chert mit wei­te­ren Daten – inten­siv betreut werden:

  • Ein­be­zie­hung in Kampagnen.
  • Zuord­nung zu hoch­wer­ti­gen und damit inten­siv betreu­ten Kundensegmenten.
  • Ein­la­dung zu Ver­an­stal­tun­gen und ggf. zur Kom­mu­ni­ka­ti­on von Erfah­rungs­be­rich­ten in Social Media Kampagnen

Konkrete Umsetzung

Das vor­ge­stell­te Ana­ly­se­ver­fah­ren wur­de basie­rend auf den Daten­struk­tu­ren von OSPlus der Finanz Infor­ma­tik ent­wi­ckelt und ist damit mit gerin­gem Auf­wand in Spar­kas­sen bzw. OSPlus nut­zen­den Insti­tu­ten ein­setz­bar. Eine Anpas­sung an ande­re Quell­sys­te­me ist selbst­ver­ständ­lich eben­so möglich.

Zu beach­ten sind hier­bei immer die aktu­el­len daten­schutz­recht­li­chen Voraussetzungen.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Filialschließung – und was kommt dann – Comeback des Telefons als Vertriebskanal

Oft kommt sie schlei­chend und nahe­zu unbe­merkt, manch­mal mit einem Big Bang – die Schlie­ßung von Filia­len der klas­si­schen Uni­ver­sal­ban­ken im Bundesgebiet.

© 2023 bankon

Abbil­dung 1: Ent­wick­lung Anzahl Bank­fi­lia­len in Deutsch­land gemäß Bank­stel­len­be­richt der Bundesbank

Ver­schie­de­ne Ursa­chen kön­nen hier­für ver­ant­wort­lich sein. Seit Jah­ren bereits bau­en Spar­kas­sen, Genos­sen­schaf­ten und Groß­ban­ken ihre Fili­al­prä­senz deut­lich zurück. Vie­le der ehe­ma­li­gen Bera­tungs­punk­te wer­den aus Kos­ten­grün­den oder auf­grund nied­ri­ger Besuchs­fre­quenz in Selbst­be­die­nungs­stand­or­te umge­wan­delt oder ent­fal­len ganz. Die Com­merz­bank zum Bei­spiel wähl­te abwei­chend hier­von einen Big Bang Ansatz, in dem inner­halb eines sehr kur­zen Zeit­raums 2022 ein erheb­li­cher Anteil der bis­he­ri­gen Stand­or­te geschlos­sen oder nach der Coro­na-Pan­de­mie nicht wie­der geöff­net wur­de. An ihre Stel­le trat das Leis­tungs­an­ge­bot der Bera­tungs­cen­ter, über die den Kun­den Leis­tun­gen via Tele­fon und Video­kon­fe­renz in Kom­bi­na­ti­on mit Online-Leis­tun­gen offe­riert wurden.

Ein wei­te­res Phä­no­men ergänzt die­se Ver­än­de­rungs­ten­denz für die Kun­den vor allem im länd­li­chen Raum. Durch die hohe Zahl von Geld­au­to­ma­ten­spren­gun­gen kommt es zu einer Reduk­ti­on des Ange­bots an Selbst­be­die­nungs­stand­or­ten, weil die Kos­ten für die Wie­der­her­stel­lung oder Absi­che­rungs­maß­nah­men immens gestie­gen sind.

Was heißt das für den Kunden?

Geleb­te Gewohn­hei­ten im Zugang zu Bank­dienst­leis­tun­gen ver­än­dern sich. Das Gespräch mit einem Bera­ter der Bank bedarf einer expli­zi­ten Ter­min­ver­ein­ba­rung und einer Fahrt zum jewei­li­gen Stand­ort. Die Bedeu­tung von Selbst­be­die­nungs­an­ge­bo­ten am Auto­ma­ten oder via Online-Ban­king nimmt deut­lich zu, da nur noch die­se Kanä­le für die Durch­füh­rung von Trans­ak­tio­nen zur Ver­fü­gung ste­hen. Je nach Ange­bot des Insti­tuts steht alter­na­tiv ein Bera­ter via Tele­fon oder mul­ti­me­di­al zur Verfügung.

Die­se Ent­wick­lung ist für den Kun­den nicht über­ra­schend, aber inzwi­schen sind die Ver­än­de­run­gen für jeden spür­bar und erfor­dern eine ver­stärk­te Anpas­sung des Nutzungs­verhaltens von Bankdienstleistungen.

Was heißt das für die Bank?

Die Auf­ge­schlos­sen­heit der Kun­den für die Nut­zung media­ler Kanä­le wächst und erleich­tert den Kre­dit­in­sti­tu­ten den Abbau sta­tio­nä­rer Ange­bo­te. Gemäß Daten von Sta­tis­ta stieg der Anteil der Online-Ban­king Nut­zer in den Jah­ren von 2014 bis 2023 von 53 % auf 76 %. Selbst in der Alters­grup­pe der Senio­ren nut­zen inzwi­schen nahe­zu 50 % der Bank­kun­den das Online-Ange­bot. Ist damit der Switch vom sta­tio­nä­ren zum media­len Ange­bot für die Ban­ken ein Erfolgs­mo­dell? Aus mei­ner Sicht wäre die­se Ein­schät­zung trü­ge­risch und gefährlich.

Kri­ti­k­ali­tät der Entwicklung

Vie­le Fili­al­stand­or­te haben vor ihrer Schlie­ßung pri­mär ein Ser­vice­an­ge­bot und nur stan­dar­di­sier­te Bera­tungs­leis­tun­gen offe­riert, so dass durch den Wech­sel auf Selbst­be­die­nung oder media­les Ange­bot, eine Ver­än­de­rung durch den Kun­den als akzep­ta­bel emp­fun­den wurde.

Kri­ti­scher ist jedoch, dass vie­le Infor­ma­tio­nen aus dem unmit­tel­ba­ren Kun­den­kon­takt nicht mehr in der Bank vor­lie­gen, und in Form eines Cus­to­mer Rela­ti­onship Manage­ment genutzt wer­den kön­nen. Damit ein­her gehen drei kri­ti­sche Entwicklungen:

  • Die inhalt­li­che Dif­fe­ren­zier­bar­keit der Bank von Anbie­tern aus dem Fin­Tech-Umfeld nimmt ab
  • Kon­di­tio­nen bekom­men eine stär­ke­re Bedeu­tung bei der Ent­schei­dung des Kun­den für einen Anbieter
  • Die Loya­li­tät des Kun­den für sei­ne Bank nimmt ste­tig wei­ter ab

Das ist grund­sätz­lich nicht neu. Inter­es­sant ist aber Fol­gen­des: Trotz hoher Bereit­schaft zur Nut­zung media­ler Kanä­le, deu­ten die in den letz­ten Wochen auf­ge­tre­te­nen Schlan­gen vor den ver­blie­be­nen Filia­len der Com­merz­bank dar­auf hin, dass es Anfor­de­run­gen gibt, die durch die neue Struk­tur der Bera­tungs­cen­ter bis­her nur unzu­rei­chend abge­bil­det werden.

Hand­lungs­er­for­der­nis­se für die Bank

Die Ent­schei­dung einer Bank, statt sta­tio­nä­rer Leis­tungs­an­ge­bo­te aus­schließ­lich auf Selbst­be­die­nung oder Online-Ange­bo­te zu set­zen, ist nach unse­rer Ein­schät­zung kein erfolg­ver­spre­chen­des Modell. Auch der inzwi­schen ver­brei­te­te Ein­satz von Ava­ta­ren oder Robo-Advi­sor-Ange­bo­ten greift hier zu kurz.

Durch die fort­schrei­ten­de tech­ni­sche Ent­wick­lung erfährt statt­des­sen ein ande­res Medi­um eine Renais­sance – das Tele­fon. Die Mög­lich­kei­ten eines Leis­tungs­an­ge­bo­tes gehen weit über das hin­aus, was frü­her als Call-Cen­ter oder Com­mu­ni­ca­ti­on-Cen­ter bezeich­net wurde.

Bereits Ende der Neun­zi­ger­jah­re zeig­te die Advan­ce Bank, wel­che Mög­lich­kei­ten in der Bera­tung via Tele­fon ste­cken. Ver­mö­gens­be­ra­tung, Ver­trieb geschlos­se­ner Fonds, Bau­fi­nan­zie­rungs­an­ge­bo­te (in Tei­len sogar in Kom­bi­na­ti­on mit Online-Funk­tio­nen) wur­den den Kun­den damals offe­riert. Die damals damit noch ver­bun­de­nen Kos­ten ver­hin­der­ten einen lang­fris­ti­gen Erfolg die­ses Ansatzes.

Der Ansatz der Bera­tungs­cen­ter der Com­merz­bank greift vie­le die­ser The­men wie­der auf, und bie­tet über das Tele­fon ein brei­tes Spek­trum von Ser­vice­leis­tun­gen bis hin zu spe­zia­li­sier­ten Bera­tungs­leis­tun­gen im Kon­text Wert­pa­pier und Finan­zie­rung an.

Ein der­ar­ti­ges Ange­bot erfor­dert jedoch Vor­aus­set­zun­gen in drei Handlungsfeldern:

  1. Hohe tech­ni­sche Inte­gra­ti­on der Kom­po­nen­ten der Kernbankplattform
  2. Tech­ni­sche Aus­stat­tung des Arbeits­plat­zes im Hin­blick auf Infor­ma­ti­on, Kommuni­kation und Dokumentation
  3. Spe­zi­fi­sche Qua­li­fi­ka­ti­on der Bera­te­rin­nen und Bera­ter für die Bera­tung via Telefon

Zu 1. Tech­ni­sche Integration

Die für die Erbrin­gung von Ser­vice- und Bera­tungs­leis­tun­gen erfor­der­li­chen Infor­ma­tio­nen müs­sen in einer Ober­flä­che gebün­delt sein. Ein Zusam­men­tra­gen erfor­der­li­cher Infor­ma­tio­nen aus unter­schied­li­chen Anwen­dungs­sys­te­men wäh­rend eines Kunden­gesprächs ist zu ver­mei­den. Glei­ches gilt für die Nut­zung von Work­flow-Kom­po­nen­ten. Bera­tungs­un­ter­stüt­zung und Wei­ter­ga­be von Bearbeitungs­aufträgen sowie regu­la­to­rik­kon­for­me Doku­men­ta­ti­on des Bera­tungs­ge­sprächs müs­sen ohne Sys­tem­wech­sel mög­lich sein. Andern­falls wird die Qua­li­tät der Ser­vice- oder Bera­tungs­leis­tung dem Kun­den gegen­über deut­lich beein­träch­tigt. Vie­le Ban­ken haben die­se Inte­gra­ti­on heu­te nicht. In der Erbrin­gung von Leis­tun­gen im sta­tio­nä­ren Ver­trieb war die Bedeu­tung die­ser Inte­gra­ti­on deut­lich geringer.

Zu 2. Arbeitsplatzausstattung

Alle erfor­der­li­chen Infor­ma­tio­nen zum Kun­den müs­sen am Arbeits­platz des Bera­ters zusam­men­lau­fen. Ver­ein­ba­run­gen mit Kol­le­gin­nen und Kol­le­gen aus vor­an­ge­gan­ge­nen Gesprä­chen zäh­len hier eben­so dazu, wie Infor­ma­tio­nen zu erfolg­ten Online-Akti­vi­tä­ten des Kun­den oder zu Besu­chen im sta­tio­nä­ren Ver­trieb. Ohne die­se Infor­ma­ti­ons­ba­sis ist eine per­so­nen­un­ab­hän­gi­ge Leis­tungs­er­brin­gung nicht darstellbar.

Hin­zu kommt neben einer geeig­ne­ten Tele­fo­nie auch die erfor­der­li­che akus­ti­sche Ruhe am Arbeits­platz. Wäh­rend eines ver­trau­li­chen, tele­fo­ni­schen Bera­tungs­ge­sprächs darf für den Kun­den kein „kom­mu­ni­ka­ti­ves Grund­rau­schen“ aus par­al­lel­lau­fen­den Kunden­gesprächen ver­nehm­bar sein. Eben­so sind die Arbeits­plät­ze für die Durch­füh­rung von Videobe­ratun­gen aus­zu­stat­ten. Die­se Aus­stat­tung endet nicht bei der Aus­wahl einer Soft­ware. Viel­mehr dür­fen kei­ne Per­so­nen durch das Bild der Video­kon­fe­renz lau­fen oder Spie­ge­lun­gen von Bild­schir­men ande­rer Bera­ter für den Kun­den sicht­bar sein.

Nach­ste­hen­de Abbil­dung fasst wesent­li­che Aspek­te der Punk­te „tech­ni­sche Inte­gra­ti­on” und „Arbeits­platz­aus­stat­tung” zusammen:

© 2023 bankon

Abbil­dung 2: Tech­ni­sche Inte­gra­ti­on und Arbeitsplatzausstattung

Zu 3. Qualifikationsbedarf

Die Qua­li­fi­ka­ti­on eines erfolg­rei­chen Ban­kers im sta­tio­nä­ren Ver­trieb ist eine gute Vor­aus­set­zung für eine Fort­füh­rung des Erfolgs mit­tels Tele­fon oder Video-Chat. Aus­rei­chend allein ist sie jedoch nicht.

Die unmit­tel­ba­re Inter­ak­ti­on mit dem Kun­den via Tele­fon, die sich weder auf­hal­ten noch unter­bre­chen lässt, stellt ergän­zen­de Anfor­de­run­gen in Punk­to Kom­mu­ni­ka­ti­on, Kon­flikt­ma­nage­ment oder Abschluss­ori­en­tie­rung. Non­ver­ba­le Infor­ma­tio­nen des Kun­den im Gespräch feh­len oder sind über den Video­ka­nal anders als in einem Face-to-Face-Gespräch.

Hin­zu kommt eine deut­lich erhöh­te Tak­tung der Gesprä­che, nicht nur im Ser­vice­um­feld, son­dern auch in der qua­li­fi­zier­ten Bera­tung. In der Vor­be­rei­tung unter­las­se­ne Akti­vi­tä­ten las­sen sich im Gespräch kaum nach­ho­len. Noch ein­mal ande­re Anfor­de­run­gen zur Tak­tung stel­len sich aus Out­bound-Calls. Hier ist grund­sätz­lich zu über­le­gen, ob die glei­chen Per­so­nen In- und Out­bound telefonieren.

Abschlie­ßend besteht in vie­len Fäl­len ein Unter­schied in der per­sön­lich emp­fun­de­nen Wer­tig­keit des Kun­den­kon­takts via Tele­fon im Ver­gleich zum sta­tio­nä­ren Ver­trieb. Hier­für besteht kein Grund, den­noch ist die­se Emp­fin­dung immer wie­der festzustellen. 

Per­spek­ti­ven zur Weiterentwicklung

Im Rah­men der tech­ni­schen Inte­gra­ti­on ist es von hoher Bedeu­tung, dass End-to-End-Pro­zes­se in ihren Pro­zess­be­stand­tei­len an unter­schied­li­chen Stel­len bear­bei­tet wer­den kön­nen. Waren sta­tio­nä­re Stand­or­te der Ban­ken oft auch dadurch gekenn­zeich­net, dass in ihnen in Tei­len Back­of­fice-Tätig­kei­ten durch­ge­führt wur­den, so ist die­ses im Rah­men des tele­fo­ni­schen Kun­den­kon­tak­tes nur noch ganz rudi­men­tär mög­lich, z. B. bei Adressänderungen.

Je inte­grier­ter die Work­flow-Unter­stüt­zung in der Pro­zess­be­ar­bei­tung ist, umso fle­xi­bler las­sen sich die Pro­zes­s­tei­le auf­split­ten. Die­ses ermög­licht bei­spiels­wei­se die organisa­torische Aus­glie­de­rung von Leis­tun­gen in Ser­vice­ge­sell­schaf­ten. Aus Kos­ten­grün­den bie­ten die­se ihre Leis­tun­gen nicht mehr nur obli­ga­to­risch in Deutsch­land an, son­dern auch an aus­län­di­schen Stand­or­ten. Hier­aus erge­ben sich für die Ban­ken neue Mög­lich­kei­ten, stan­dar­di­sier­te Back­of­fice-Pro­zes­se kos­ten­güns­tig abzubilden.

ban­kon unter­stützt Groß- und Lan­des­ban­ken, Spar­kas­sen und Genos­sen­schafts­ban­ken bei der Neu­strukturierung ihrer Ver­triebs­ka­nä­le. Lang­jäh­ri­ge Pra­xis­er­fah­rung ermög­licht ban­kon, gemein­sam mit den Kun­den das für den jewei­li­gen Ver­triebs­ka­nal geeig­ne­te Pro­dukt- und Leis­tungs­spek­trum zu defi­nie­ren. Basis ist die Erkennt­nis, dass das Leis­tungs­an­ge­bot sehr eng mit den eta­blier­ten Pro­zes­sen sowie mit deren tech­ni­scher Basis zusam­men­spielt und nur in einem ganz­heit­li­chen Ansatz kon­zi­piert wer­den kann. Bank­fach­li­che und pro­zes­sua­le Kennt­nis­se ermög­li­chen es den ban­kon-Bera­tern, erfor­der­li­che Anpas­sun­gen an den End-to-End-Pro­zes­sen vor­zu­neh­men, erfor­der­li­che Über­gangs­pro­zes­se zu kon­zi­pie­ren und je Ver­triebs­ka­nal ein opti­ma­les Pro­dukt-Pro­zess-Port­fo­lio zu spezifizieren. 

Dar­über hin­aus ver­fügt ban­kon über lang­jäh­ri­ge Erfah­rung in der regu­la­to­rik­kon­for­men Aus­la­ge­rung von Back­of­fice-Pro­zes­sen inner­halb Deutsch­lands sowie an ver­schie­de­ne, rele­van­te Anbie­ter von Leis­tun­gen im Near- oder Offshoring. 

Pro­fi­tie­ren Sie von der lang­jäh­ri­gen Exper­ti­se unse­rer ban­kon Bera­ter in der Gestal­tung kanal-über­grei­fen­der, erfolg­rei­cher Ver­triebs- und Backoffice-Prozesse. 

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Cloudfeld

Cloudcomputing für Banken – Eine gute Vorbereitung ist entscheidend

Die rich­ti­ge Cloud Stra­te­gie als Erfolgsbasis

Die hohe Geschwin­dig­keit des Wan­dels setzt Ban­ken aller Grö­ßen­ord­nun­gen unter Druck, die Agi­li­tät zu erhö­hen, die Digi­ta­li­sie­rung vor­an­zu­trei­ben und Inno­va­tio­nen zu beschleu­ni­gen. Auf­grund die­ser Ent­wick­lun­gen stellt sich nicht mehr die Fra­ge, “ob“, son­dern „wann“ und in wel­chem Umfang die Cloud­nut­zung für ein Finanz­in­sti­tut ein ech­tes The­ma sein wird.

Ein­her­ge­hend mit der Cloud­nut­zung wird u. a. eine Ver­rin­ge­rung von Kos­ten, eine stets moder­ne Infra­struk­tur und die Ein­hal­tung von stren­gen Sicherheits‑, Com­pli­ance– sowie regu­la­to­ri­schen Anfor­de­run­gen in Aus­sicht gestellt. Selbst den Zweif­lern ist nun klar, dass eine „digi­ta­li­sier­te Bank“ eine Men­ge zu bie­ten hat. Inno­va­tio­nen ermög­li­chen immer mehr neue Pro­duk­te, Pro­zes­se oder neue bzw. erwei­ter­te Geschäfts­mo­del­le. Inno­va­ti­ons­zy­klen wer­den kür­zer und offe­ner. Zudem wer­den die Daten zusam­men mit der IT-Infra­struk­tur immer mehr zu einem Innovationstreiber.

Wie geht man ein der­ar­ti­ges Vor­ha­ben rich­tig an, wel­che Ent­schei­dun­gen und Vor­be­rei­tun­gen sind not­wen­dig und was sind die kri­ti­schen Erfolgsfaktoren?

Grund­sätz­lich braucht ein der­ar­ti­ges Vor­ha­ben zu Beginn die Bereit­schaft, sich auf Ver­än­de­run­gen ein­zu­las­sen. Es han­delt sich dabei erst­mal um ein Vor­ha­ben, das mit kon­kre­ten fach­lich-funk­tio­na­len und pro­zes­sua­len Anfor­de­run­gen unter­legt wer­den soll­te. Im Grun­de geht es um die Defi­ni­ti­on einer indi­vi­du­ell aus­zu­ar­bei­ten­den Cloud Stra­te­gie. Ein Me-too-Ansatz, d. h. die Imi­ta­ti­on bereits defi­nier­ter Stra­te­gien ist nicht zwangs­läu­fig erfolgreich.

Die fol­gen­de Abbil­dung gibt einen ers­ten Über­blick, wel­che Stake­hol­der Anfor­de­run­gen an die Cloud­nut­zung defi­nie­ren, wel­cher Nut­zen ermög­licht wer­den kann und wel­che Ange­bo­te grund­sätz­lich in Fra­ge kommen:

Abbil­dung 1: Bei der Cloud Stra­te­gie sind unter­schied­li­che „Anfor­de­rer“ mit einzubeziehen

Ins­ge­samt han­delt es im Rah­men der Cloud Stra­te­gie um eine kon­struk­ti­ve Kon­ver­sa­ti­on, in der es um pro­zes­sua­le, funk­tio­na­le und archi­tek­to­ni­sche Ent­schei­dun­gen geht. Die Basis des geschäft­li­chen Erfolgs bil­den mit hoher Wahr­schein­lich­keit archi­tek­to­nisch gute Sys­te­me mit dem rich­tig defi­nier­ten Ser­vice­an­ge­bot. Die Clou­dan­bie­ter bie­ten ent­spre­chen­de Frame­works an, um sich mit den rele­van­ten grund­le­gen­den Fra­gen aus­ein­an­der­zu­set­zen. Ein gutes Ver­ständ­nis der nutz­ba­ren IT-Ser­vices eines Clou­dan­bie­ters sind für eine Erst­ein­schät­zung und deren Rea­li­sier­bar­keit hilfreich.

Die The­men einer Cloud Stra­te­gie bekom­men je Insti­tut sicher­lich eine unter­schied­li­che Gewich­tung. Die fol­gen­de Auf­stel­lung kann jedoch für eine ers­te Ein­ord­nung dienen.

1. Prüfung bzgl. nutzbarer Cloud-Modelle

  • Im ers­ten Schritt soll­te es dar­um gehen, die in Fra­ge kom­men­den Cloud­mo­del­le zu ver­ste­hen und sei­ne Anwen­dungs­land­schaft ent­spre­chend zu clus­tern, wel­che Tei­le der IT in die Cloud ver­la­gert wer­den kön­nen und wel­ches Modell in Fra­ge kommt.
  • Die Unter­schei­dung nach Pri­vat Cloud, Public Cloud, Hybrid Cloud usw. ist hier­bei zu bewer­ten. Dabei soll­ten die unter­schied­li­chen Vor­tei­le der Model­le abge­wo­gen werden.
  • Grund­le­gen­de und wesent­li­che Cha­rak­te­ris­ti­ka der Bereit­stel­lung und der Bedie­nung sind näher zu betrachten.
  • Defi­ni­ti­on der Cloud­bau­stei­ne sowie der grund­le­gen­den glo­ba­len Infrastruktur
  • Iden­ti­fi­zie­ren von Quel­len für Doku­men­ta­ti­on oder tech­ni­sche Unter­stüt­zung (zum Bei­spiel White­pa­per oder Sup­port-Tickets des Cloudanbieters)

2. Festlegung von Infrastruktur Prinzipien für einen effizienten Betrieb

  • Im zwei­ten Schritt wer­den Anfor­de­run­gen defi­niert, die sich an die Bereit­stel­lung und den Betrieb der Infra­struk­tur in der Cloud ergeben.
  • Es sind Mög­lich­kei­ten zu prü­fen, wel­che Preis­mo­del­le und Moni­to­ring-Ser­vices ange­bo­ten wer­den. Es sind Ser­vices zu wäh­len, die:
  • die Ent­wick­lung unter­stüt­zen und Workloads effek­tiv ausführen
  • Ein­bli­cke in die Betriebs­ab­läu­fe gewäh­ren und
  • den geschäft­li­chen Mehr­wert unter­stüt­zen­de Pro­zes­se und Ver­fah­ren fort­lau­fend verbessern.
  • Zu betrach­ten sind eben­falls Ser­vices für die Nut­zung tech­ni­scher Kom­po­nen­ten der Infra­struk­tur (Ser­ver, Daten­ban­ken, Spei­cher, Netz­werk usw.). Hier­bei geht um die Iden­ti­fi­ka­ti­on von Ser­vices, die den tech­ni­schen Betrieb, die Last­ver­tei­lung, Ska­lie­rung usw. betreffen.

3. Festlegung von Anforderungen an die Sicherheit, Definition von Schutzmaßnahmen

  • Bei den Prin­zi­pi­en zur Sicher­heit wird beschrie­ben, wie Daten, Sys­te­me und Kom­po­nen­ten geschützt wer­den können.
  • Es geht hier dar­um, wie Cloud-Tech­no­lo­gien genutzt wer­den kön­nen, um die Sicher­heits­la­ge zu ver­bes­sern, bzw. um regu­la­to­ri­sche Anfor­de­run­gen mit Ser­vices in der Cloud abzu­de­cken. Die klas­si­schen The­men sind das Benut­zer­ma­nage­ment für die Orga­ni­sa­ti­on, Authen­ti­fi­zie­rungs­ver­fah­ren, Iden­ti­fi­zie­rungs- und Zugriffs­ver­fah­ren, Ein­satz auto­ma­ti­sier­ter Sicher­heits­ver­fah­ren, Schutz der Daten sowie die Tren­nung von Daten und Nutzern.
  • Zu defi­nie­ren sind Haupt­aspek­te für Sicher­heit und Com­pli­ance der Cloud-Platt­form und des Sicherheitsmodells.

4. Festlegung von Prinzipien zur Erreichung einer zuverlässigen und effizienten Infrastruktur

  • Durch die Vor­ga­be von KPIs oder beim Über­schrei­ten von Schwell­wer­ten kön­nen auto­ma­ti­sier­te Reak­tio­nen aus­ge­löst wer­den. Hier­bei geht es nicht nur um tech­ni­sche KPIs, son­dern auch um Kenn­zah­len von Geschäftsabläufen.
  • Eine „tem­po­rä­re“ Test­um­ge­bung kann effi­zi­ent und fle­xi­bel kon­fi­gu­riert wer­den, um fest­zu­stel­len, wel­che Ereig­nis­se zu Feh­lern füh­ren. Kos­ten fal­len dann ledig­lich für die Nut­zung der Test­um­ge­bung an.
  • Die Mes­sung von Kapa­zi­täts­aus­las­tun­gen, Ska­lie­run­gen, Elas­ti­zi­tä­ten sowie die Nut­zung steu­ern­der Ser­vices ver­ein­facht das tech­ni­sche Design erheblich. 
  • Zusätz­li­che Ser­vices, wie auto­ma­ti­sier­te Benach­rich­ti­gun­gen, ergän­zen das Ser­vice­an­ge­bot. Ser­vice­kon­tin­gen­te und die Netz­werk­to­po­lo­gie müs­sen für die zu erbrin­gen­den Geschäfts­ab­läu­fe ange­mes­sen defi­niert sein. Je nach Preis­mo­dell kön­nen durch geziel­te Buchung von Kapa­zi­tä­ten oder Volu­mi­na Kos­ten deut­lich redu­ziert werden.

5. Prüfung Kostenmanagement und Preismodelle

  • Im Rah­men der ange­bo­te­nen Preis­mo­del­le geht es um den kos­ten­op­ti­mier­ten Betrieb der defi­nier­ten Infra­struk­tur. Für die Opti­mie­rung der Kos­ten wer­den im Rah­men der Kon­to­ver­wal­tung und im Preis­ma­nage­ment von den Clou­dan­bie­tern Ser­vices zur Redu­zie­rung der Kos­ten angeboten.

6. Einleitung des Transformationsprozesses

  • Durch den Umzug in die Cloud erge­ben sich struk­tu­rel­le, pro­zes­sua­le, orga­ni­sa­to­ri­sche sowie wirt­schaft­li­che Veränderungen.
  • Ver­ant­wor­tun­gen und Zustän­dig­kei­ten ver­la­gern sich, Anfor­de­rungs­pro­fi­le ändern sich. So könn­te bei­spiel­wei­se ein IT-Mit­ar­bei­ter statt einer ope­ra­ti­ven Ver­ant­wor­tung für den Betrieb einer Platt­form in die Rol­le eines Dienst­leis­ter­steue­rers für Platt­for­men wechseln.
  • Ver­än­de­run­gen sind bereits im Rah­men der Cloud Stra­te­gie auf Pro­zess­ebe­ne zu iden­ti­fi­zie­ren und deren Umsetz­bar­keit in der Cloud zu verifizieren.
  • Da sich durch die Cloud­nut­zung v. a. auch das Risi­ko­pro­fil des Insti­tuts ver­än­dert, sind in der fol­gen­den Abbil­dung Aus­zü­ge wesent­li­cher Risi­ken auf­ge­führt, die von Ände­run­gen betrof­fen sind.
Abbil­dung 2: Ver­än­der­tes Risi­ko­pro­fil durch Cloudnutzung

Was sind nun die Gewinner bzw. Verlierer?

Durch eine Viel­zahl erfolg­rei­cher Pro­jek­te ken­nen wir die kri­ti­schen Erfolgs­fak­to­ren auf der stra­te­gi­schen und der ope­ra­ti­ven Ebe­ne und ver­fü­gen über umfang­rei­che Erfah­run­gen bei der Aus­rich­tung des Geschäfts­mo­dells bzw. der Errei­chung der gewünsch­ten Posi­tio­nie­rung durch eine indi­vi­du­ell defi­nier­te Cloud Strategie.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen Themenumfeld.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Fallschirm im Schnee

6. MaRisk-Novelle Änderungen AT 9 wesentliche Auslagerung für Sparkassen

Herausforderungen für nicht systemrelevante Kreditinstitute

ban­kon berät seit Jah­ren sei­ne Kun­den in Ban­ken und Spar­kas­sen bei der Bewäl­ti­gung von regu­la­to­ri­schen Her­aus­for­de­run­gen, die wei­ter­hin mit einer nicht enden­den Dyna­mik die Orga­ni­sa­ti­ons- und Pro­zess­struk­tu­ren der Häu­ser tref­fen. Wir beob­ach­ten für unse­re Kun­den die regu­la­to­ri­schen Ent­wick­lun­gen und sind zu einem frü­hen Zeit­punkt nah an den Auf­sichts­be­hör­den und deren Anfor­de­rungs­ent­wick­lun­gen dran. Aktu­ell sind die Arbei­ten der BaFin und der Spar­kas­sen zum The­ma der 6. MaRisk-Novel­le Ände­run­gen AT 9 ‑Aus­la­ge­rung- in vol­lem Gan­ge. So bewer­ten wir für die Spar­kas­sen die sich nun­mehr kon­kre­ti­sie­ren­den Anfor­de­run­gen an das Out­sour­cing- und Aus­la­ge­rungs­ma­nage­ment, die Pro­vi­der­steue­rung sowie das Risikomanagement.

Für die Spar­kas­sen, die nicht der euro­päi­schen Ban­ken­auf­sicht unter­lie­gen, tre­ten die EBA-Leit­li­ni­en/­neu­en Out­sour­cing-Stan­dards erst mit Über­füh­rung in natio­na­les Recht in Kraft. Die Über­füh­rung erfolgt sei­tens der BaFin über die Novel­le des Moduls AT 9 der MaRisk (6. MaRisk-Novel­le). Die­ser Pro­zess star­te­te im Herbst 2020 und wird im Jahr 2021 mit Hoch­druck weiterverfolgt.

Sich ver­än­dern­de The­men und Rah­men­be­din­gun­gen für die Spar­kas­sen wer­den hier von ban­kon nur exem­pla­risch benannt:

  • Aus­dif­fe­ren­zie­rung in der Kate­go­ri­sie­rung von großen/komplexen vs. kleinerer/weniger kom­ple­xer Insti­tu­te im Sin­ne der MaRisk-Novellierung
  • Para­me­ter zur Gestal­tung Risi­ko­ana­ly­se und Ergän­zung einer Sze­na­rio­ana­ly­se (qua­li­ta­ti­ve Ansät­ze vs. inter­ne und exter­ne Verlustdatensammlung)
  • Kon­kre­ti­sie­rung Rol­le zen­tra­ler Aus­la­ge­rungs­be­auf­trag­ter und wei­te­rer Rol­len wie z. B. Revision
  • Gestal­tungs­spiel­räu­me für zen­tra­le Erleich­te­run­gen nutz­bar gestal­ten (gemein­sa­me Not­fall­plä­ne, Aus­la­ge­rungs­re­gis­ter, etc.)
  • Gestal­tung und Nut­zung von Auslagerungsmusterverträgen

Die deut­schen Spar­kas­sen haben unter der Regie des Spit­zen­ver­ban­des DSGV und der Regio­nal­ver­bän­de reagiert und haben Ende 2020 ein Pro­jekt mit dem Ziel auf­ge­setzt, Rah­men­be­din­gun­gen, Vor­ga­ben und Hilfs­mit­tel zur Umset­zung der Vor­ga­ben aus der 6. Novel­le für ihre Mit­glieds­in­sti­tu­te zu ent­wi­ckeln und die­se in der Fol­ge nutz­bar für die Häu­ser zu gestalten.

Der DGSV und die Regio­nal­ver­bän­de stel­len bereits heu­te und in über­ar­bei­te­ter Form zukünf­tig den Spar­kas­sen zen­tral Hand­bü­cher, Instrumente/Tools zum Aus­la­ge­rungs­ma­nage­ment sowie einen Aus­la­ge­rungs­mus­ter­ver­trag über die Kanä­le wie z. B. InDok+ und den Umset­zungs­bau­kas­ten zur Ver­fü­gung. Dar­über hin­aus kön­nen die Spar­kas­sen im Rah­men eines indi­rek­ten Steue­rungs­an­sat­zes sog. „Wer­tungs­hil­fen“ für Dienst­leis­ter über die Regio­nal­ver­bän­de in Anspruch nehmen.

Die Spar­kas­sen müs­sen heu­te und auch nach der Novel­lie­rung in Eigen­ver­ant­wor­tung die Maß­nah­men und Akti­vi­tä­ten zum Aus­la­ge­rungs­ma­nage­ment umsetzen.

Dabei wer­den die Spar­kas­sen aut­ark ent­schei­den müs­sen, in wel­chem Umfang sie auf die zen­tra­len Emp­feh­lun­gen und Instrumente/Tools der Ver­bands­sei­te zurück­grei­fen. Juris­ti­sche und kauf­män­ni­sche Bewer­tun­gen sowie Risi­ko­aspek­te wer­den von den Spar­kas­sen wei­ter­hin indi­vi­du­ell ver­ant­wor­tet wer­den müssen.

Die Gesamt­ver­ant­wor­tung für das Aus­la­ge­rungs­ma­nage­ment ver­bleibt auch nach er 6. Novel­le der MaRisk AT 9 bei der jewei­li­gen Spar­kas­se. Eine voll­stän­di­ge Ver­la­ge­rung der Ver­ant­wor­tung auf eine zen­tra­le Steue­rungs­ein­heit ist mit gro­ßer Wahr­schein­lich­keit nicht möglich.

Dem­nach müs­sen alle Spar­kas­sen in Deutsch­land nach der Been­di­gung der vor­be­rei­ten­den Ver­bands­pro­jek­te, die Umset­zung der 6. MaRisk-Novel­le Ände­run­gen AT 9 aktiv gestal­ten, die zen­tral vor­ge­ge­be­nen Emp­feh­lun­gen ihres Spit­zen­ver­bands bewer­ten und mit Blick auf die Indi­vi­dua­li­tät ihres Hau­ses die Nut­zung jeweils umsetzen.

Ger­ne hel­fen wir Ihnen bei der Bewer­tung, der Umset­zungs­ent­schei­dung und der ope­ra­ti­ven Imple­men­tie­rung der not­wen­di­gen Metho­den und Pro­zes­se und schaf­fen somit gemein­sam die opti­ma­le Aus­rich­tung Ihres Hau­ses auf die regu­la­to­ri­schen Anforderungen.

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text der MaRisk sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Background.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Cybersecurity

„Tiber-EU und Tiber-DE“ – Die europäische Antwort auf Cyberkriminalität in Banken?

Angrif­fe von Hackern auf Kre­dit­in­sti­tu­te sind kein loka­les oder natio­na­les Phä­no­men. Viel­mehr ist es ein welt­wei­tes The­ma, des­sen Auf­tre­ten nicht mehr nur „hin­ter vor­ge­hal­te­ner Hand“ dis­ku­tiert wird, son­dern bei­na­he im Wochen­tur­nus Schlag­zei­len in der Pres­se erzeugt.

In Deutsch­land waren bis­her im Jahr 2020 vie­le rele­van­te Ban­ken und Insti­tuts­grup­pen betrof­fen. Sei es mit­tel­bar, weil Kre­dit­kar­ten­in­for­ma­tio­nen unbe­rech­tig­ten Per­so­nen zugäng­lich wur­den oder unmit­tel­bar, weil Bank­funk­tio­na­li­tä­ten für Kun­den nicht mehr zugäng­lich waren. Der Glau­be, dass vor allem FinTechs oder Ban­ken mit Inter­net- oder Mobil­ge­rät-Schwer­punkt Ziel von Cyber­kri­mi­na­li­tät sind, hat sich als Irr­glau­be herausgestellt.

Neben wirt­schaft­li­chen Schä­den ist es vor allem der Repu­ta­ti­ons­scha­den in Form von Ver­trau­ens­ver­lust, der für die betrof­fe­nen Insti­tu­te rele­van­te Aus­wir­kun­gen haben kann.

Begriff­lich wer­den ganz all­ge­mein Straf­ta­ten, bei denen die Täter moder­ne Infor­ma­ti­ons­tech­nik nut­zen, als Cyber­kri­mi­na­li­tät bezeich­net. Fasst man die­sen Begriff etwas enger, so wer­den dar­un­ter Straf­ta­ten ver­stan­den, die auf Com­pu­ter­sys­te­me und Netz­wer­ke zie­len. Hier­un­ter wer­den auch Akti­vi­tä­ten der Cyber­spio­na­ge sub­sum­miert. Die bekann­tes­te Form von Cyber­kri­mi­na­li­tät ist das Phis­hing. Ziel­set­zung ist hier, z. B. Pass­wör­ter, Zugangs­in­for­ma­tio­nen oder per­sön­li­che Daten mit­tels gefälsch­ter E‑Mails oder Web­sites in Erfah­rung zu bringen.

Der Gegen­part zur Cyber­kri­mi­na­li­tät ist für die Ban­ken die Cyber­se­cu­ri­ty. Ziel ist der Schutz vor tech­ni­schen und orga­ni­sa­to­ri­schen Bedro­hun­gen, die die Sicher­heit von IT-Infra­struk­tu­ren und die Daten­si­cher­heit gefähr­den. Unter die­sem Begriff wer­den alle Kon­zep­te und Maß­nah­men zusam­men­ge­fasst, mit denen Ban­ken Gefähr­dun­gen erken­nen, bewer­ten, ver­fol­gen und vor­beu­gen mit der Ziel­set­zung, die Hand­lungs- und Funk­ti­ons­fä­hig­keit schnellst­mög­lich wiederherzustellen.

Das in die­sem Kon­text zu gestal­ten­de Maß­nah­men­bün­del setzt sich aus einer Viel­zahl unter­schied­li­cher Kom­po­nen­ten zusam­men, wie nach­ste­hen­des Prin­zip­bild zeigt.

Tiber; Regulatorik Grafik 1
Prin­zip­bild mit Maßnahmenbündel

Für die Ban­ken stellt sich in die­sem Zusam­men­hang die Fra­ge einer regu­la­to­ri­schen Ori­en­tie­rung, für gro­ße, sys­tem­re­le­van­te oder inter­na­tio­nal agie­ren­de Insti­tu­te auch die eines euro­päi­schen Rah­mens für Cybersecurity.

Das Tiber-EU-Frame­work ist hier ein ers­ter Schritt. Es ist ein Euro­päi­sches Rah­men­werk für ein kon­trol­lier­tes und insti­tuts­in­di­vi­du­el­les Tes­ten in Bezug auf Cyber­an­grif­fe auf den Finanz­markt. Die Anwen­dung ist frei­wil­lig und liegt in der Ent­schei­dungs­ver­ant­wor­tung des ein­zel­nen Kreditinstitutes.

Sechs Ziel­set­zun­gen wer­den durch das Tiber-EU-Frame­work angestrebt:

  • Euro­pa­wei­te Stär­kung der Fähig­keit zur Abwehr von Cyber­an­grif­fen bei Finanzdienstleistungsunternehmen
  • Stan­dar­di­sie­rung und Har­mo­ni­sie­rung im Vor­ge­hen mit der Mög­lich­keit für natio­na­le Anpassungen
  • Leit­fa­den für Behör­den zur natio­na­len Eta­blie­rung und Ori­en­tie­rung zur länderüber­greifenden Vergleichbarkeit
  • Unter­stüt­zung eines län­der­über­grei­fen­den Vor­ge­hens für inter­na­tio­na­le Institute
  • Regu­la­to­ri­sche Ent­las­tung ein­zel­ner EU-Mitgliedsstaaten
  • Gemein­sa­me Doku­men­ta­ti­ons­richt­li­ni­en zum inter­na­tio­na­len Ergebnisaustausch

Unter dem Fokus Infor­ma­ti­ons- und Erkennt­nis­ge­win­nung wer­den kri­ti­sche Bank­sys­te­me mit rea­len Angriffs­sze­na­ri­en (Tak­ti­ken, Tech­ni­ken und Pro­zes­sen) kon­fron­tiert. Simu­liert wer­den in Form eines ethi­schen Hackings pra­xis­na­he Angrif­fe auf bank­fach­li­che Funk­tio­nen und die zugrun­de­lie­gen­den IT-Sys­te­me und IT-Infrastrukturen.

Die­se Ziel­set­zung spie­gelt sich in der Namens­ge­bung Tiber (Thre­at Intel­li­gence-based Ehti­cal Red Team­ing) wie­der. Wobei unter Thre­at Intel­li­gence die auf­be­rei­te­te Bereit­stel­lung aktu­el­ler Infor­ma­tio­nen zur Bedro­hungs­la­ge der IT-Sicher­heit durch Cyber­an­grif­fe und ande­re Gefah­ren aus unter­schied­li­chen Quel­len ver­stan­den wird.

Die Test­durch­füh­rung glie­dert sich in drei Phasen:

Testdurchführung
Drei Pha­sen der Testdurchführung
  1. Vor­be­rei­tung mit der Skiz­zie­rung der Bedro­hungs­si­tua­ti­on und Ris­ken im natio­na­len Finanz­sek­tor sowie dem for­ma­len Start des Tests mit Fest­le­gung der kon­kre­ten Ziel­set­zung, dem Staf­fing des eige­nen Teams und der Beauf­tra­gung der Dienst­leis­tungs­part­ner für Thre­at Intel­li­gence (TI) und Red-Team (RT)
  2. Test­durch­füh­rung durch die Dienst­leis­tungs­part­ner für TI und RT. Der TI-Part­ner erstellt Ziel­set­zung und Bedro­hungs­sze­na­rio für den „Angriff“ durch das RT
  3. In der Abschluss­pha­se erstel­len Angrei­fer (RT) und auch die Ver­tei­di­ger einen Abschluss­re­port, der in gemein­sa­men 360°-Workshops zusam­men­ge­fasst wird und in einen Maß­nah­men­plan mündet

Für das Insti­tut, das einen Tiber-EU-Test durch­führt, ste­hen sechs Zie­le im Vordergrund.

  • Rea­li­täts­na­he Prü­fung der eige­nen Sicherheit
  • Gewin­nung von Erkennt­nis­sen und Infor­ma­tio­nen zu Schwachstellen
  • Pra­xis­ba­sier­te Ver­an­schau­li­chung der Trag­wei­te von Cyberrisiken
  • Sen­si­bi­li­sie­rung der Geschäftsleitung
  • Erkennt­nis über die Not­wen­dig­keit von Schutzmaßnahmen
  • Ein „Durch­fal­len“ oder Nicht­be­stehen ist nicht möglich

Die Durch­füh­rung eines sol­chen ethi­schen Hacker­an­griffs erfor­dert durch das „ange­grif­fe­ne“ Insti­tut, auch wenn die­ser Angriff expli­zit beauf­tragt wird, vor­be­rei­ten­de und beglei­ten­de Maß­nah­men. Die gewünsch­te Rea­li­täts­nä­he kann zu Beein­träch­ti­gun­gen des rea­len Geschäfts­ab­laufs kom­men, denen sich das Insti­tut bewusst sein muss.

Aus die­sem Grund sind fol­gen­de Aspek­te expli­zit in der Vor­be­rei­tung und Durch­füh­rung zu berücksichtigen:

  • Sorg­fäl­ti­ge Aus­wahl der Dienst­leis­tungs­part­ner für Thre­at Intel­li­gence und Red Team
  • Begren­zung des Sco­pes und Abstim­mung inner­halb des Insti­tuts sowie mit der Aufsicht.
  • Vor­ab­re­ge­lung des Umgangs mit Daten und deren Auf­be­wah­rung im Fal­le eines erfolg­rei­chen Hackerangriffs
  • Die ver­trag­li­che Situa­ti­on zwi­schen Bank und bestehen­den IT-Dienst­leis­tungs­part­nern ist zu prü­fen, ob sie die Durch­füh­rung eines Tiber-EU-Tests ermöglichen
  • Pro­zes­sua­le Abschät­zung der Risi­ken des Angriffsszenarios
  • Aus­ge­stal­tung der Test­durch­füh­rung in der Form, dass Aus­wir­kun­gen auf­tre­ten­der Ser­vice­be­ein­träch­ti­gun­gen gering blei­ben und durch vor­be­rei­te­te Maß­nah­men zügig beho­ben wer­den können
  • Umgang mit den doku­men­tier­ten Ergeb­nis­sen des Tests im Span­nungs­feld zwi­schen Offen­le­gung und Vertraulichkeit

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge unter­stützt ban­kon effi­zi­ent und ziel­ge­rich­tet die Vor­be­rei­tung und Durch­füh­rung von Tiber-EU-Tests von der Ziel­set­zung bis zur Maßnahmenplanung.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de