In allen Medien sind Schlagworte wie „Big Data“ und „Machine Learning“ omnipräsent. Vieles von dem, was wir dort lesen können, ist richtig und gut. Aber beschleicht uns nicht manchmal das Gefühl, dass wir nun alle wissen, wie wichtig diese Themen sind und wir nun endlich ins Handeln kommen sollten?
Die Realität sieht derzeit leider so aus, dass wir einige Aktivitäten im Bankensektor sehen, wirkliche Projekte mit dem Ziel konkreter Produkte und Funktionen sind aber noch rar.
Unser Ansatz bei bankon ist es, mit unseren Kunden konkrete Lösungen zu entwickeln und umzusetzen. Deshalb haben wir ein Verfahren zur Kundenanalyse basierend auf der Graphenanalyse entwickelt.
Wozu das Ganze?
Nicht erst seit Instagram wissen wir, dass Influencer einen erheblichen Wert haben, wenn es um die Bewerbung von Produkten geht. Gute Influencer zeichnen sich unter anderem durch folgende Merkmale aus:
Hohe Reichweite
Reichweite drückt sich am besten durch die Anzahl der Follower aus. Damit erreicht Werbung dieser Follower in der Regel eine konkrete affine und große Zielgruppe.
Vertrauen
Follower von Influencern vertrauen diesen in der Regel sehr, wenn diese Produkte vorstellen. Das wirkt sich positiv auf Kampagnenerfolge aus.
Der wahre Schatz der Kreditinstitute sind ihre Kunden!
Diesen Satz würde wohl jeder Vertriebsvorstand sofort unterschreiben. Aber was bedeutet das konkret und wie kann ein Institut dieses Potenzial zum Wohl der Kunden und des Vertriebserfolgs nutzen?
Neben den vorgenannten klassischen Influencern auf YouTube, TikTok, Instagram usw. gibt es aber eine völlig unterschätzte Gruppe von Menschen, die ebenfalls bewusste und unbewusste Meinungsbildner sind, und diese Menschen sind alle auch Bankkunden. Schauen wir uns im Firmenkundenumfeld um:
Der Geschäftsführer eines seriösen mittelständischen Unternehmens ist im Sportverein tätig und kennt dort die Inhaberin eines Fachhandelsunternehmens.
Die Prokuristin ist im Elternbeirat tätig und tauscht sich mit Anderen – nicht nur über schulische Belange aus.
Beide Personen haben ein gutes Verhältnis zu den Nachbarn.
Daraus können wir schließen, dass diese Personen „natürliche“ Influencer sind, die um auch bei Bankgeschäften um ihren Rat gefragt werden und deren Meinung man vertraut.
Was heißt das für den Vertrieb?
Diese Influencer sollten im Fokus einer umfassenden und qualitativ hochwertigen Kundenbetreuung stehen
Positive Erfahrungen mit der Bank, deren Produkten und Menschen werden positiv verstärkt.
Gleiches gilt bei negativen Erfahrungen: Diese sind im schlimmsten Fall vor Geschäftsschluss im Bekanntenkreis publik und werden damit einer großen Gruppe kommuniziert.
Wie können diese Potenzialkunden erkannt werden?
Die klassischen Verfahren zur Kundensegmentierung scheitern hier allzu oft:
Ein solcher Influencer ist oft nicht zwingend im Fokus von Potenzialanalysen, da diese oftmals nur Fakten wie Umsatzhöhen und Firmenverbindungen ersten Grades erfassen.
Die manuelle Erhebung über die Kundenbetreuer kann meist nicht alle interessanten Verbindungen erfassen.
Hier kommt die Graphenanalyse ins Spiel: Aus den vorliegenden Kundendaten können diese Netzwerke ermittelt und bewertet werden.
Mittels des von bankon entwickelten Verfahrens werden dabei nicht nur die naheliegenden und direkten Beziehungen wie Geschäftsführer, Gesellschafter usw. ermittelt, sondern je nach Datenqualität auch Informationen wie gemeinsame Steuerberater, Nachbarn und Geschäftspartner einbezogen!
Wie sieht ein Ergebnis aus?
Es werden unter anderem Personen mit hoher Zentralität ermittelt:
Wer kennt besonders viele weitere Personen? Dabei ist nicht nur die Anzahl direkter Verbindungen interessant, sondern auch, wie viele Verbindungen zu anderen Personen existieren, die wiederum Personen mit vielen weiteren Verbindungen kennen.
Es erfolgt eine graphische Aufbereitung in Form einer interaktiven Webseite, um die Ergebnisse explorativ weiter zu analysieren („Drilldown”).
Das Ergebnis wird in Form von Listen mit unterschiedlichen Gewichtungen (z.B. Anzahl direkter Verbindungen oder Zentralität) ausgegeben, die in den Vertriebssystemen des Instituts einfach weiterverarbeitet werden können.
Was passiert mit dem Ergebnis?
Die ermittelten Personen, also Influencer, können nun – ggf. angereichert mit weiteren Daten – intensiv betreut werden:
Einbeziehung in Kampagnen.
Zuordnung zu hochwertigen und damit intensiv betreuten Kundensegmenten.
Einladung zu Veranstaltungen und ggf. zur Kommunikation von Erfahrungsberichten in Social Media Kampagnen
Konkrete Umsetzung
Das vorgestellte Analyseverfahren wurde basierend auf den Datenstrukturen von OSPlus der Finanz Informatik entwickelt und ist damit mit geringem Aufwand in Sparkassen bzw. OSPlus nutzenden Instituten einsetzbar. Eine Anpassung an andere Quellsysteme ist selbstverständlich ebenso möglich.
Zu beachten sind hierbei immer die aktuellen datenschutzrechtlichen Voraussetzungen.
Oft kommt sie schleichend und nahezu unbemerkt, manchmal mit einem Big Bang – die Schließung von Filialen der klassischen Universalbanken im Bundesgebiet.
Abbildung 1: Entwicklung Anzahl Bankfilialen in Deutschland gemäß Bankstellenbericht der Bundesbank
Verschiedene Ursachen können hierfür verantwortlich sein. Seit Jahren bereits bauen Sparkassen, Genossenschaften und Großbanken ihre Filialpräsenz deutlich zurück. Viele der ehemaligen Beratungspunkte werden aus Kostengründen oder aufgrund niedriger Besuchsfrequenz in Selbstbedienungsstandorte umgewandelt oder entfallen ganz. Die Commerzbank zum Beispiel wählte abweichend hiervon einen Big Bang Ansatz, in dem innerhalb eines sehr kurzen Zeitraums 2022 ein erheblicher Anteil der bisherigen Standorte geschlossen oder nach der Corona-Pandemie nicht wieder geöffnet wurde. An ihre Stelle trat das Leistungsangebot der Beratungscenter, über die den Kunden Leistungen via Telefon und Videokonferenz in Kombination mit Online-Leistungen offeriert wurden.
Ein weiteres Phänomen ergänzt diese Veränderungstendenz für die Kunden vor allem im ländlichen Raum. Durch die hohe Zahl von Geldautomatensprengungen kommt es zu einer Reduktion des Angebots an Selbstbedienungsstandorten, weil die Kosten für die Wiederherstellung oder Absicherungsmaßnahmen immens gestiegen sind.
Was heißt das für den Kunden?
Gelebte Gewohnheiten im Zugang zu Bankdienstleistungen verändern sich. Das Gespräch mit einem Berater der Bank bedarf einer expliziten Terminvereinbarung und einer Fahrt zum jeweiligen Standort. Die Bedeutung von Selbstbedienungsangeboten am Automaten oder via Online-Banking nimmt deutlich zu, da nur noch diese Kanäle für die Durchführung von Transaktionen zur Verfügung stehen. Je nach Angebot des Instituts steht alternativ ein Berater via Telefon oder multimedial zur Verfügung.
Diese Entwicklung ist für den Kunden nicht überraschend, aber inzwischen sind die Veränderungen für jeden spürbar und erfordern eine verstärkte Anpassung des Nutzungsverhaltens von Bankdienstleistungen.
Was heißt das für die Bank?
Die Aufgeschlossenheit der Kunden für die Nutzung medialer Kanäle wächst und erleichtert den Kreditinstituten den Abbau stationärer Angebote. Gemäß Daten von Statista stieg der Anteil der Online-Banking Nutzer in den Jahren von 2014 bis 2023 von 53 % auf 76 %. Selbst in der Altersgruppe der Senioren nutzen inzwischen nahezu 50 % der Bankkunden das Online-Angebot. Ist damit der Switch vom stationären zum medialen Angebot für die Banken ein Erfolgsmodell? Aus meiner Sicht wäre diese Einschätzung trügerisch und gefährlich.
Kritikalität der Entwicklung
Viele Filialstandorte haben vor ihrer Schließung primär ein Serviceangebot und nur standardisierte Beratungsleistungen offeriert, so dass durch den Wechsel auf Selbstbedienung oder mediales Angebot, eine Veränderung durch den Kunden als akzeptabel empfunden wurde.
Kritischer ist jedoch, dass viele Informationen aus dem unmittelbaren Kundenkontakt nicht mehr in der Bank vorliegen, und in Form eines Customer Relationship Management genutzt werden können. Damit einher gehen drei kritische Entwicklungen:
Die inhaltliche Differenzierbarkeit der Bank von Anbietern aus dem FinTech-Umfeld nimmt ab
Konditionen bekommen eine stärkere Bedeutung bei der Entscheidung des Kunden für einen Anbieter
Die Loyalität des Kunden für seine Bank nimmt stetig weiter ab
Das ist grundsätzlich nicht neu. Interessant ist aber Folgendes: Trotz hoher Bereitschaft zur Nutzung medialer Kanäle, deuten die in den letzten Wochen aufgetretenen Schlangen vor den verbliebenen Filialen der Commerzbank darauf hin, dass es Anforderungen gibt, die durch die neue Struktur der Beratungscenter bisher nur unzureichend abgebildet werden.
Handlungserfordernisse für die Bank
Die Entscheidung einer Bank, statt stationärer Leistungsangebote ausschließlich auf Selbstbedienung oder Online-Angebote zu setzen, ist nach unserer Einschätzung kein erfolgversprechendes Modell. Auch der inzwischen verbreitete Einsatz von Avataren oder Robo-Advisor-Angeboten greift hier zu kurz.
Durch die fortschreitende technische Entwicklung erfährt stattdessen ein anderes Medium eine Renaissance – das Telefon. Die Möglichkeiten eines Leistungsangebotes gehen weit über das hinaus, was früher als Call-Center oder Communication-Center bezeichnet wurde.
Bereits Ende der Neunzigerjahre zeigte die Advance Bank, welche Möglichkeiten in der Beratung via Telefon stecken. Vermögensberatung, Vertrieb geschlossener Fonds, Baufinanzierungsangebote (in Teilen sogar in Kombination mit Online-Funktionen) wurden den Kunden damals offeriert. Die damals damit noch verbundenen Kosten verhinderten einen langfristigen Erfolg dieses Ansatzes.
Der Ansatz der Beratungscenter der Commerzbank greift viele dieser Themen wieder auf, und bietet über das Telefon ein breites Spektrum von Serviceleistungen bis hin zu spezialisierten Beratungsleistungen im Kontext Wertpapier und Finanzierung an.
Ein derartiges Angebot erfordert jedoch Voraussetzungen in drei Handlungsfeldern:
Hohe technische Integration der Komponenten der Kernbankplattform
Technische Ausstattung des Arbeitsplatzes im Hinblick auf Information, Kommunikation und Dokumentation
Spezifische Qualifikation der Beraterinnen und Berater für die Beratung via Telefon
Zu 1. Technische Integration
Die für die Erbringung von Service- und Beratungsleistungen erforderlichen Informationen müssen in einer Oberfläche gebündelt sein. Ein Zusammentragen erforderlicher Informationen aus unterschiedlichen Anwendungssystemen während eines Kundengesprächs ist zu vermeiden. Gleiches gilt für die Nutzung von Workflow-Komponenten. Beratungsunterstützung und Weitergabe von Bearbeitungsaufträgen sowie regulatorikkonforme Dokumentation des Beratungsgesprächs müssen ohne Systemwechsel möglich sein. Andernfalls wird die Qualität der Service- oder Beratungsleistung dem Kunden gegenüber deutlich beeinträchtigt. Viele Banken haben diese Integration heute nicht. In der Erbringung von Leistungen im stationären Vertrieb war die Bedeutung dieser Integration deutlich geringer.
Zu 2. Arbeitsplatzausstattung
Alle erforderlichen Informationen zum Kunden müssen am Arbeitsplatz des Beraters zusammenlaufen. Vereinbarungen mit Kolleginnen und Kollegen aus vorangegangenen Gesprächen zählen hier ebenso dazu, wie Informationen zu erfolgten Online-Aktivitäten des Kunden oder zu Besuchen im stationären Vertrieb. Ohne diese Informationsbasis ist eine personenunabhängige Leistungserbringung nicht darstellbar.
Hinzu kommt neben einer geeigneten Telefonie auch die erforderliche akustische Ruhe am Arbeitsplatz. Während eines vertraulichen, telefonischen Beratungsgesprächs darf für den Kunden kein „kommunikatives Grundrauschen“ aus parallellaufenden Kundengesprächen vernehmbar sein. Ebenso sind die Arbeitsplätze für die Durchführung von Videoberatungen auszustatten. Diese Ausstattung endet nicht bei der Auswahl einer Software. Vielmehr dürfen keine Personen durch das Bild der Videokonferenz laufen oder Spiegelungen von Bildschirmen anderer Berater für den Kunden sichtbar sein.
Nachstehende Abbildung fasst wesentliche Aspekte der Punkte „technische Integration” und „Arbeitsplatzausstattung” zusammen:
Abbildung 2: Technische Integration und Arbeitsplatzausstattung
Zu 3. Qualifikationsbedarf
Die Qualifikation eines erfolgreichen Bankers im stationären Vertrieb ist eine gute Voraussetzung für eine Fortführung des Erfolgs mittels Telefon oder Video-Chat. Ausreichend allein ist sie jedoch nicht.
Die unmittelbare Interaktion mit dem Kunden via Telefon, die sich weder aufhalten noch unterbrechen lässt, stellt ergänzende Anforderungen in Punkto Kommunikation, Konfliktmanagement oder Abschlussorientierung. Nonverbale Informationen des Kunden im Gespräch fehlen oder sind über den Videokanal anders als in einem Face-to-Face-Gespräch.
Hinzu kommt eine deutlich erhöhte Taktung der Gespräche, nicht nur im Serviceumfeld, sondern auch in der qualifizierten Beratung. In der Vorbereitung unterlassene Aktivitäten lassen sich im Gespräch kaum nachholen. Noch einmal andere Anforderungen zur Taktung stellen sich aus Outbound-Calls. Hier ist grundsätzlich zu überlegen, ob die gleichen Personen In- und Outbound telefonieren.
Abschließend besteht in vielen Fällen ein Unterschied in der persönlich empfundenen Wertigkeit des Kundenkontakts via Telefon im Vergleich zum stationären Vertrieb. Hierfür besteht kein Grund, dennoch ist diese Empfindung immer wieder festzustellen.
Perspektiven zur Weiterentwicklung
Im Rahmen der technischen Integration ist es von hoher Bedeutung, dass End-to-End-Prozesse in ihren Prozessbestandteilen an unterschiedlichen Stellen bearbeitet werden können. Waren stationäre Standorte der Banken oft auch dadurch gekennzeichnet, dass in ihnen in Teilen Backoffice-Tätigkeiten durchgeführt wurden, so ist dieses im Rahmen des telefonischen Kundenkontaktes nur noch ganz rudimentär möglich, z. B. bei Adressänderungen.
Je integrierter die Workflow-Unterstützung in der Prozessbearbeitung ist, umso flexibler lassen sich die Prozessteile aufsplitten. Dieses ermöglicht beispielsweise die organisatorische Ausgliederung von Leistungen in Servicegesellschaften. Aus Kostengründen bieten diese ihre Leistungen nicht mehr nur obligatorisch in Deutschland an, sondern auch an ausländischen Standorten. Hieraus ergeben sich für die Banken neue Möglichkeiten, standardisierte Backoffice-Prozesse kostengünstig abzubilden.
bankon unterstützt Groß- und Landesbanken, Sparkassen und Genossenschaftsbanken bei der Neustrukturierung ihrer Vertriebskanäle. Langjährige Praxiserfahrung ermöglicht bankon, gemeinsam mit den Kunden das für den jeweiligen Vertriebskanal geeignete Produkt- und Leistungsspektrum zu definieren. Basis ist die Erkenntnis, dass das Leistungsangebot sehr eng mit den etablierten Prozessen sowie mit deren technischer Basis zusammenspielt und nur in einem ganzheitlichen Ansatz konzipiert werden kann. Bankfachliche und prozessuale Kenntnisse ermöglichen es den bankon-Beratern, erforderliche Anpassungen an den End-to-End-Prozessen vorzunehmen, erforderliche Übergangsprozesse zu konzipieren und je Vertriebskanal ein optimales Produkt-Prozess-Portfolio zu spezifizieren.
Darüber hinaus verfügt bankon über langjährige Erfahrung in der regulatorikkonformen Auslagerung von Backoffice-Prozessen innerhalb Deutschlands sowie an verschiedene, relevante Anbieter von Leistungen im Near- oder Offshoring.
Profitieren Sie von der langjährigen Expertise unserer bankon Berater in der Gestaltung kanal-übergreifender, erfolgreicher Vertriebs- und Backoffice-Prozesse.
Die hohe Geschwindigkeit des Wandels setzt Banken aller Größenordnungen unter Druck, die Agilität zu erhöhen, die Digitalisierung voranzutreiben und Innovationen zu beschleunigen. Aufgrund dieser Entwicklungen stellt sich nicht mehr die Frage, “ob“, sondern „wann“ und in welchem Umfang die Cloudnutzung für ein Finanzinstitut ein echtes Thema sein wird.
Einhergehend mit der Cloudnutzung wird u. a. eine Verringerung von Kosten, eine stets moderne Infrastruktur und die Einhaltung von strengen Sicherheits‑, Compliance– sowie regulatorischen Anforderungen in Aussicht gestellt. Selbst den Zweiflern ist nun klar, dass eine „digitalisierte Bank“ eine Menge zu bieten hat. Innovationen ermöglichen immer mehr neue Produkte, Prozesse oder neue bzw. erweiterte Geschäftsmodelle. Innovationszyklen werden kürzer und offener. Zudem werden die Daten zusammen mit der IT-Infrastruktur immer mehr zu einem Innovationstreiber.
Wie geht man ein derartiges Vorhaben richtig an, welche Entscheidungen und Vorbereitungen sind notwendig und was sind die kritischen Erfolgsfaktoren?
Grundsätzlich braucht ein derartiges Vorhaben zu Beginn die Bereitschaft, sich auf Veränderungen einzulassen. Es handelt sich dabei erstmal um ein Vorhaben, das mit konkreten fachlich-funktionalen und prozessualen Anforderungen unterlegt werden sollte. Im Grunde geht es um die Definition einer individuell auszuarbeitenden Cloud Strategie. Ein Me-too-Ansatz, d. h. die Imitation bereits definierter Strategien ist nicht zwangsläufig erfolgreich.
Die folgende Abbildung gibt einen ersten Überblick, welche Stakeholder Anforderungen an die Cloudnutzung definieren, welcher Nutzen ermöglicht werden kann und welche Angebote grundsätzlich in Frage kommen:
Abbildung 1: Bei der Cloud Strategie sind unterschiedliche „Anforderer“ mit einzubeziehen
Insgesamt handelt es im Rahmen der Cloud Strategie um eine konstruktive Konversation, in der es um prozessuale, funktionale und architektonische Entscheidungen geht. Die Basis des geschäftlichen Erfolgs bilden mit hoher Wahrscheinlichkeit architektonisch gute Systeme mit dem richtig definierten Serviceangebot. Die Cloudanbieter bieten entsprechende Frameworks an, um sich mit den relevanten grundlegenden Fragen auseinanderzusetzen. Ein gutes Verständnis der nutzbaren IT-Services eines Cloudanbieters sind für eine Ersteinschätzung und deren Realisierbarkeit hilfreich.
Die Themen einer Cloud Strategie bekommen je Institut sicherlich eine unterschiedliche Gewichtung. Die folgende Aufstellung kann jedoch für eine erste Einordnung dienen.
1. Prüfung bzgl. nutzbarer Cloud-Modelle
Im ersten Schritt sollte es darum gehen, die in Frage kommenden Cloudmodelle zu verstehen und seine Anwendungslandschaft entsprechend zu clustern, welche Teile der IT in die Cloud verlagert werden können und welches Modell in Frage kommt.
Die Unterscheidung nach Privat Cloud, Public Cloud, Hybrid Cloud usw. ist hierbei zu bewerten. Dabei sollten die unterschiedlichen Vorteile der Modelle abgewogen werden.
Grundlegende und wesentliche Charakteristika der Bereitstellung und der Bedienung sind näher zu betrachten.
Definition der Cloudbausteine sowie der grundlegenden globalen Infrastruktur
Identifizieren von Quellen für Dokumentation oder technische Unterstützung (zum Beispiel Whitepaper oder Support-Tickets des Cloudanbieters)
2. Festlegung von Infrastruktur Prinzipien für einen effizienten Betrieb
Im zweiten Schritt werden Anforderungen definiert, die sich an die Bereitstellung und den Betrieb der Infrastruktur in der Cloud ergeben.
Es sind Möglichkeiten zu prüfen, welche Preismodelle und Monitoring-Services angeboten werden. Es sind Services zu wählen, die:
die Entwicklung unterstützen und Workloads effektiv ausführen
Einblicke in die Betriebsabläufe gewähren und
den geschäftlichen Mehrwert unterstützende Prozesse und Verfahren fortlaufend verbessern.
Zu betrachten sind ebenfalls Services für die Nutzung technischer Komponenten der Infrastruktur (Server, Datenbanken, Speicher, Netzwerk usw.). Hierbei geht um die Identifikation von Services, die den technischen Betrieb, die Lastverteilung, Skalierung usw. betreffen.
3. Festlegung von Anforderungen an die Sicherheit, Definition von Schutzmaßnahmen
Bei den Prinzipien zur Sicherheit wird beschrieben, wie Daten, Systeme und Komponenten geschützt werden können.
Es geht hier darum, wie Cloud-Technologien genutzt werden können, um die Sicherheitslage zu verbessern, bzw. um regulatorische Anforderungen mit Services in der Cloud abzudecken. Die klassischen Themen sind das Benutzermanagement für die Organisation, Authentifizierungsverfahren, Identifizierungs- und Zugriffsverfahren, Einsatz automatisierter Sicherheitsverfahren, Schutz der Daten sowie die Trennung von Daten und Nutzern.
Zu definieren sind Hauptaspekte für Sicherheit und Compliance der Cloud-Plattform und des Sicherheitsmodells.
4. Festlegung von Prinzipien zur Erreichung einer zuverlässigen und effizienten Infrastruktur
Durch die Vorgabe von KPIs oder beim Überschreiten von Schwellwerten können automatisierte Reaktionen ausgelöst werden. Hierbei geht es nicht nur um technische KPIs, sondern auch um Kennzahlen von Geschäftsabläufen.
Eine „temporäre“ Testumgebung kann effizient und flexibel konfiguriert werden, um festzustellen, welche Ereignisse zu Fehlern führen. Kosten fallen dann lediglich für die Nutzung der Testumgebung an.
Die Messung von Kapazitätsauslastungen, Skalierungen, Elastizitäten sowie die Nutzung steuernder Services vereinfacht das technische Design erheblich.
Zusätzliche Services, wie automatisierte Benachrichtigungen, ergänzen das Serviceangebot. Servicekontingente und die Netzwerktopologie müssen für die zu erbringenden Geschäftsabläufe angemessen definiert sein. Je nach Preismodell können durch gezielte Buchung von Kapazitäten oder Volumina Kosten deutlich reduziert werden.
5. Prüfung Kostenmanagement und Preismodelle
Im Rahmen der angebotenen Preismodelle geht es um den kostenoptimierten Betrieb der definierten Infrastruktur. Für die Optimierung der Kosten werden im Rahmen der Kontoverwaltung und im Preismanagement von den Cloudanbietern Services zur Reduzierung der Kosten angeboten.
6. Einleitung des Transformationsprozesses
Durch den Umzug in die Cloud ergeben sich strukturelle, prozessuale, organisatorische sowie wirtschaftliche Veränderungen.
Verantwortungen und Zuständigkeiten verlagern sich, Anforderungsprofile ändern sich. So könnte beispielweise ein IT-Mitarbeiter statt einer operativen Verantwortung für den Betrieb einer Plattform in die Rolle eines Dienstleistersteuerers für Plattformen wechseln.
Veränderungen sind bereits im Rahmen der Cloud Strategie auf Prozessebene zu identifizieren und deren Umsetzbarkeit in der Cloud zu verifizieren.
Da sich durch die Cloudnutzung v. a. auch das Risikoprofil des Instituts verändert, sind in der folgenden Abbildung Auszüge wesentlicher Risiken aufgeführt, die von Änderungen betroffen sind.
Abbildung 2: Verändertes Risikoprofil durch Cloudnutzung
Was sind nun die Gewinner bzw. Verlierer?
Durch eine Vielzahl erfolgreicher Projekte kennen wir die kritischen Erfolgsfaktoren auf der strategischen und der operativen Ebene und verfügen über umfangreiche Erfahrungen bei der Ausrichtung des Geschäftsmodells bzw. der Erreichung der gewünschten Positionierung durch eine individuell definierte Cloud Strategie.
Gerne sichern wir Ihren Projekterfolg mit unserer Methoden- und Umsetzungskompetenz in diesem komplexen Themenumfeld.
Herausforderungen für nicht systemrelevante Kreditinstitute
bankon berät seit Jahren seine Kunden in Banken und Sparkassen bei der Bewältigung von regulatorischen Herausforderungen, die weiterhin mit einer nicht endenden Dynamik die Organisations- und Prozessstrukturen der Häuser treffen. Wir beobachten für unsere Kunden die regulatorischen Entwicklungen und sind zu einem frühen Zeitpunkt nah an den Aufsichtsbehörden und deren Anforderungsentwicklungen dran. Aktuell sind die Arbeiten der BaFin und der Sparkassen zum Thema der 6. MaRisk-Novelle Änderungen AT 9 ‑Auslagerung- in vollem Gange. So bewerten wir für die Sparkassen die sich nunmehr konkretisierenden Anforderungen an das Outsourcing- und Auslagerungsmanagement, die Providersteuerung sowie das Risikomanagement.
Für die Sparkassen, die nicht der europäischen Bankenaufsicht unterliegen, treten die EBA-Leitlinien/neuen Outsourcing-Standards erst mit Überführung in nationales Recht in Kraft. Die Überführung erfolgt seitens der BaFin über die Novelle des Moduls AT 9 der MaRisk (6. MaRisk-Novelle). Dieser Prozess startete im Herbst 2020 und wird im Jahr 2021 mit Hochdruck weiterverfolgt.
Sich verändernde Themen und Rahmenbedingungen für die Sparkassen werden hier von bankon nur exemplarisch benannt:
Ausdifferenzierung in der Kategorisierung von großen/komplexen vs. kleinerer/weniger komplexer Institute im Sinne der MaRisk-Novellierung
Parameter zur Gestaltung Risikoanalyse und Ergänzung einer Szenarioanalyse (qualitative Ansätze vs. interne und externe Verlustdatensammlung)
Konkretisierung Rolle zentraler Auslagerungsbeauftragter und weiterer Rollen wie z. B. Revision
Gestaltungsspielräume für zentrale Erleichterungen nutzbar gestalten (gemeinsame Notfallpläne, Auslagerungsregister, etc.)
Gestaltung und Nutzung von Auslagerungsmusterverträgen
Die deutschen Sparkassen haben unter der Regie des Spitzenverbandes DSGV und der Regionalverbände reagiert und haben Ende 2020 ein Projekt mit dem Ziel aufgesetzt, Rahmenbedingungen, Vorgaben und Hilfsmittel zur Umsetzung der Vorgaben aus der 6. Novelle für ihre Mitgliedsinstitute zu entwickeln und diese in der Folge nutzbar für die Häuser zu gestalten.
Der DGSV und die Regionalverbände stellen bereits heute und in überarbeiteter Form zukünftig den Sparkassen zentral Handbücher, Instrumente/Tools zum Auslagerungsmanagement sowie einen Auslagerungsmustervertrag über die Kanäle wie z. B. InDok+ und den Umsetzungsbaukasten zur Verfügung. Darüber hinaus können die Sparkassen im Rahmen eines indirekten Steuerungsansatzes sog. „Wertungshilfen“ für Dienstleister über die Regionalverbände in Anspruch nehmen.
Die Sparkassen müssen heute und auch nach der Novellierung in Eigenverantwortung die Maßnahmen und Aktivitäten zum Auslagerungsmanagement umsetzen.
Dabei werden die Sparkassen autark entscheiden müssen, in welchem Umfang sie auf die zentralen Empfehlungen und Instrumente/Tools der Verbandsseite zurückgreifen. Juristische und kaufmännische Bewertungen sowie Risikoaspekte werden von den Sparkassen weiterhin individuell verantwortet werden müssen.
Die Gesamtverantwortung für das Auslagerungsmanagement verbleibt auch nach er 6. Novelle der MaRisk AT 9 bei der jeweiligen Sparkasse. Eine vollständige Verlagerung der Verantwortung auf eine zentrale Steuerungseinheit ist mit großer Wahrscheinlichkeit nicht möglich.
Demnach müssen alle Sparkassen in Deutschland nach der Beendigung der vorbereitenden Verbandsprojekte, die Umsetzung der 6. MaRisk-Novelle Änderungen AT 9 aktiv gestalten, die zentral vorgegebenen Empfehlungen ihres Spitzenverbands bewerten und mit Blick auf die Individualität ihres Hauses die Nutzung jeweils umsetzen.
Gerne helfen wir Ihnen bei der Bewertung, der Umsetzungsentscheidung und der operativen Implementierung der notwendigen Methoden und Prozesse und schaffen somit gemeinsam die optimale Ausrichtung Ihres Hauses auf die regulatorischen Anforderungen.
Die Expertise der bankon-Berater aus mehr als fünfzehn Jahren Erfahrung mit Projekten im Kontext der MaRisk sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisationsstrukturen, Prozessen und IT-Systemen deutscher Sparkassen gewährleisten den erforderlichen fachlichen und technischen Background.
Angriffe von Hackern auf Kreditinstitute sind kein lokales oder nationales Phänomen. Vielmehr ist es ein weltweites Thema, dessen Auftreten nicht mehr nur „hinter vorgehaltener Hand“ diskutiert wird, sondern beinahe im Wochenturnus Schlagzeilen in der Presse erzeugt.
In Deutschland waren bisher im Jahr 2020 viele relevante Banken und Institutsgruppen betroffen. Sei es mittelbar, weil Kreditkarteninformationen unberechtigten Personen zugänglich wurden oder unmittelbar, weil Bankfunktionalitäten für Kunden nicht mehr zugänglich waren. Der Glaube, dass vor allem FinTechs oder Banken mit Internet- oder Mobilgerät-Schwerpunkt Ziel von Cyberkriminalität sind, hat sich als Irrglaube herausgestellt.
Neben wirtschaftlichen Schäden ist es vor allem der Reputationsschaden in Form von Vertrauensverlust, der für die betroffenen Institute relevante Auswirkungen haben kann.
Begrifflich werden ganz allgemein Straftaten, bei denen die Täter moderne Informationstechnik nutzen, als Cyberkriminalität bezeichnet. Fasst man diesen Begriff etwas enger, so werden darunter Straftaten verstanden, die auf Computersysteme und Netzwerke zielen. Hierunter werden auch Aktivitäten der Cyberspionage subsummiert. Die bekannteste Form von Cyberkriminalität ist das Phishing. Zielsetzung ist hier, z. B. Passwörter, Zugangsinformationen oder persönliche Daten mittels gefälschter E‑Mails oder Websites in Erfahrung zu bringen.
Der Gegenpart zur Cyberkriminalität ist für die Banken die Cybersecurity. Ziel ist der Schutz vor technischen und organisatorischen Bedrohungen, die die Sicherheit von IT-Infrastrukturen und die Datensicherheit gefährden. Unter diesem Begriff werden alle Konzepte und Maßnahmen zusammengefasst, mit denen Banken Gefährdungen erkennen, bewerten, verfolgen und vorbeugen mit der Zielsetzung, die Handlungs- und Funktionsfähigkeit schnellstmöglich wiederherzustellen.
Das in diesem Kontext zu gestaltende Maßnahmenbündel setzt sich aus einer Vielzahl unterschiedlicher Komponenten zusammen, wie nachstehendes Prinzipbild zeigt.
Prinzipbild mit Maßnahmenbündel
Für die Banken stellt sich in diesem Zusammenhang die Frage einer regulatorischen Orientierung, für große, systemrelevante oder international agierende Institute auch die eines europäischen Rahmens für Cybersecurity.
Das Tiber-EU-Framework ist hier ein erster Schritt. Es ist ein Europäisches Rahmenwerk für ein kontrolliertes und institutsindividuelles Testen in Bezug auf Cyberangriffe auf den Finanzmarkt. Die Anwendung ist freiwillig und liegt in der Entscheidungsverantwortung des einzelnen Kreditinstitutes.
Sechs Zielsetzungen werden durch das Tiber-EU-Framework angestrebt:
Europaweite Stärkung der Fähigkeit zur Abwehr von Cyberangriffen bei Finanzdienstleistungsunternehmen
Standardisierung und Harmonisierung im Vorgehen mit der Möglichkeit für nationale Anpassungen
Leitfaden für Behörden zur nationalen Etablierung und Orientierung zur länderübergreifenden Vergleichbarkeit
Unterstützung eines länderübergreifenden Vorgehens für internationale Institute
Gemeinsame Dokumentationsrichtlinien zum internationalen Ergebnisaustausch
Unter dem Fokus Informations- und Erkenntnisgewinnung werden kritische Banksysteme mit realen Angriffsszenarien (Taktiken, Techniken und Prozessen) konfrontiert. Simuliert werden in Form eines ethischen Hackings praxisnahe Angriffe auf bankfachliche Funktionen und die zugrundeliegenden IT-Systeme und IT-Infrastrukturen.
Diese Zielsetzung spiegelt sich in der Namensgebung Tiber (Threat Intelligence-based Ehtical Red Teaming) wieder. Wobei unter Threat Intelligence die aufbereitete Bereitstellung aktueller Informationen zur Bedrohungslage der IT-Sicherheit durch Cyberangriffe und andere Gefahren aus unterschiedlichen Quellen verstanden wird.
Die Testdurchführung gliedert sich in drei Phasen:
Drei Phasen der Testdurchführung
Vorbereitung mit der Skizzierung der Bedrohungssituation und Risken im nationalen Finanzsektor sowie dem formalen Start des Tests mit Festlegung der konkreten Zielsetzung, dem Staffing des eigenen Teams und der Beauftragung der Dienstleistungspartner für Threat Intelligence (TI) und Red-Team (RT)
Testdurchführung durch die Dienstleistungspartner für TI und RT. Der TI-Partner erstellt Zielsetzung und Bedrohungsszenario für den „Angriff“ durch das RT
In der Abschlussphase erstellen Angreifer (RT) und auch die Verteidiger einen Abschlussreport, der in gemeinsamen 360°-Workshops zusammengefasst wird und in einen Maßnahmenplan mündet
Für das Institut, das einen Tiber-EU-Test durchführt, stehen sechs Ziele im Vordergrund.
Realitätsnahe Prüfung der eigenen Sicherheit
Gewinnung von Erkenntnissen und Informationen zu Schwachstellen
Praxisbasierte Veranschaulichung der Tragweite von Cyberrisiken
Sensibilisierung der Geschäftsleitung
Erkenntnis über die Notwendigkeit von Schutzmaßnahmen
Ein „Durchfallen“ oder Nichtbestehen ist nicht möglich
Die Durchführung eines solchen ethischen Hackerangriffs erfordert durch das „angegriffene“ Institut, auch wenn dieser Angriff explizit beauftragt wird, vorbereitende und begleitende Maßnahmen. Die gewünschte Realitätsnähe kann zu Beeinträchtigungen des realen Geschäftsablaufs kommen, denen sich das Institut bewusst sein muss.
Aus diesem Grund sind folgende Aspekte explizit in der Vorbereitung und Durchführung zu berücksichtigen:
Sorgfältige Auswahl der Dienstleistungspartner für Threat Intelligence und Red Team
Begrenzung des Scopes und Abstimmung innerhalb des Instituts sowie mit der Aufsicht.
Vorabregelung des Umgangs mit Daten und deren Aufbewahrung im Falle eines erfolgreichen Hackerangriffs
Die vertragliche Situation zwischen Bank und bestehenden IT-Dienstleistungspartnern ist zu prüfen, ob sie die Durchführung eines Tiber-EU-Tests ermöglichen
Prozessuale Abschätzung der Risiken des Angriffsszenarios
Ausgestaltung der Testdurchführung in der Form, dass Auswirkungen auftretender Servicebeeinträchtigungen gering bleiben und durch vorbereitete Maßnahmen zügig behoben werden können
Umgang mit den dokumentierten Ergebnissen des Tests im Spannungsfeld zwischen Offenlegung und Vertraulichkeit
Expertise bankon Management Consulting
Die Expertise der bankon-Berater aus mehr als zehn Jahren Erfahrung mit Projekten im Kontext IT-Regulatorik sichert praxiserprobtes Wissen. Umfangreiche Kenntnis von Organisationsstrukturen, Prozessen und IT-Systemen deutscher Banken und Sparkassen gewährleisten den erforderlichen fachlichen und technischen Hintergrund.
Auf dieser Grundlage unterstützt bankon effizient und zielgerichtet die Vorbereitung und Durchführung von Tiber-EU-Tests von der Zielsetzung bis zur Maßnahmenplanung.
