Schlagwort: Regulatorik

Horizont

„Handlungsdruck für Banken – BAIT-Neuerungen 2021“

Als 2017 die Bank­auf­sicht­li­chen Anfor­de­run­gen an die IT, kurz BAIT, als Kon­kre­ti­sie­rung der in den MaRisk gere­gel­ten regu­la­to­ri­schen Anfor­de­run­gen an die Infor­ma­ti­ons­tech­nik von Ban­ken ein­ge­führt wur­den, ging ein Rau­nen durch die Com­mu­ni­ty. In der BAIT wur­de erst­mals kon­kret vor­ge­ge­ben, wie die Auf­sicht sich die regu­la­to­rik­kon­for­me Aus­ge­stal­tung der Ban­ken IT vor­stellt. Zwar galt für die BAIT das Pro­por­tio­na­li­täts­prin­zip, das eine Aus­ge­stal­tung anhand der kon­kre­ten Situa­ti­on des jewei­li­gen Insti­tuts zuließ. Prü­fungs­er­fah­run­gen von EZB, Bun­des­bank, BaFin, aber auch der haus­ei­ge­nen Revi­si­ons­ab­tei­lun­gen haben jedoch gezeigt, dass die BAIT nicht als gestal­tungs­frei­er „Papier­ti­ger“ ver­stan­den, son­dern als „umzu­set­zen“ vor­ge­ge­ben wer­den. Die spe­zi­fi­schen Anfor­de­run­gen für kri­ti­sche IT-Struk­tu­ren in dem im Jahr 2018 ergänz­ten KRITS-Modul mach­ten deut­lich, dass der mit der BAIT ein­ge­schla­ge­ne Weg sei­tens der BaFin kon­se­quent fort­ge­führt wird.

Zwei Jah­re sind seit­dem ver­gan­gen. Vie­le Insti­tu­te sind auch heu­te noch damit beschäf­tigt, die auf Grund­la­ge der BAIT erfolg­ten Fest­stel­lun­gen aus inter­nen und exter­nen Prü­fun­gen zu bear­bei­ten und ihre IT com­pli­ant zu gestal­ten. Da steht auch bereits eine signi­fi­kan­te Erwei­te­rung der Anfor­de­run­gen aus der BAIT in den Start­blö­cken. 2020 erfolg­te die Kon­sul­ta­ti­ons­pha­se mit den Insti­tu­ten. Für das kom­men­de Jahr 2021 ist vom Go-live der neu­en Ansprü­che auszugehen.

Drei neue Kapi­tel ergän­zen die bestehen­den Anfor­de­run­gen, von denen die ope­ra­ti­ve IT-Sicher­heit und das IT-Not­fall­ma­nage­ment die bei­den bedeut­sa­me­ren sind im Ver­gleich zum Kapi­tel Kun­den­be­zie­hun­gen zu Zahlungsdienstleistern.

Mit dem neu­en Kapi­tel „ope­ra­ti­ve IT-Sicher­heit“ wer­den die bis­he­ri­gen Anfor­de­run­gen an Netz­werk­si­cher­heit, Sys­tem­här­tung, Pene­tra­ti­ons- und Schwach­stel­len­test geschärft und in einem eige­nen Kapi­tel gebündelt.

Das neue Kapi­tel IT-Not­fall­ma­nage­ment trägt der Tat­sa­che Rech­nung, dass sich die EBA-Gui­de­lines expli­zit mit die­sem Hand­lungs­feld befas­sen und ergänzt die BAIT um Inhal­te des IT-Not­fall­ma­nage­ments sowie des Busi­ness-Con­ti­nui­ty-Manage­ments. Neben der Identifi­kation der für Not­fäl­le rele­van­ten Res­sour­cen und Pro­zes­se ste­hen Maß­nah­men zur Gewähr­leis­tung der Fort­füh­rung des Geschäfts­be­triebs im Fal­le von Not­fäl­len im Fokus die­ses Kapi­tels. Hin­zu kom­men Anfor­de­run­gen an die Durch­fü­gung von Tests und Übun­gen zur Sicher­stel­lung der Wirk­sam­keit der defi­nier­ten Vorkehrungen.

Über die neu­en Kapi­tel hin­aus wur­den auch bestehen­de Stel­len kon­kre­ti­siert oder erwei­tert. Eine wesent­li­che Ver­än­de­rung im Ver­gleich zu der bestehen­den BAIT liegt im pro­zes­sua­len Betrachtungsgegenstand.

Stan­den bis­her die IT-Pro­zes­se sowie die IT-Sys­te­me als Infor­ma­ti­ons­ver­bund im Mit­tel­punkt der Betrach­tung, sind jetzt sämt­li­che Geschäfts­pro­zes­se im Fokus, und zwar hin­sicht­lich ihrer Unter­stüt­zung mit­tels IT-Anwen­dun­gen, Infra­struk­tu­ren und Daten. Die­ses ist neu und erwei­tert den Scope nach­hal­tig. Vor allem auch des­halb, weil die Ein­bin­dung von exter­nen Dienst­leis­tungs­part­nern nicht mehr pri­mär auf das Hand­lungs­feld Sourcing/Dienstleister­steuerung beschränkt ist. Viel­mehr sind die IT-rele­van­ten Ele­men­te ihrer Leistungsunter­stützung im Pro­zess rele­van­te Sco­pes. Der Infor­ma­ti­ons­ver­bund als Betrach­tungs­ge­gen­stand erhält so eine ande­re Kom­ple­xi­tät, die es in der Bank regu­la­to­risch zu mana­gen gilt.

Eben­so eine Aus­wei­tung erfah­ren die Anfor­de­run­gen an IT-Ser­vice­pro­zes­se. So sind mit der Erwei­te­rung der BAIT die bei­den ITIL-Pro­zes­se Capa­ci­ty-Manage­ment und Avai­la­bi­li­ty-Manage­ment in den Insti­tu­ten zu etablieren.

Das Capa­ci­ty-Manage­ment sichert die Kapa­zi­tät der IT-Ser­vices sowie der IT-Infra­struk­tur. Ziel ist, dass alle Kom­po­nen­ten der IT-Ser­vices die ver­ein­bar­ten Kapa­zi­täts- und Per­for­man­ce­zie­le errei­chen, auch unter Berück­sich­ti­gung zukünf­ti­ger Anforderungen.

Das Avai­la­bi­li­ty-Manage­ment stellt die Ver­füg­bar­keit der IT-Ser­vices sicher, in dem alle Kom­po­nen­ten der IT-Ser­vices die ver­ein­bar­ten Ver­füg­bar­keits­zie­le erreichen.

Wich­tig ist hier­bei der Bezug zu den oben beschrie­be­nen Aus­wei­tun­gen in der Defi­ni­ti­on des Infor­ma­ti­ons­ver­bun­des. Dadurch wird deut­lich, dass eine bank­in­ter­ne Betrach­tung der bei­den neu­en Pro­zes­se zu kurz greift und die betei­lig­ten Dienst­leis­tungs­part­ner ein­zu­bin­den sind.

Nach­ste­hen­de Abbil­dung fasst die­se neu­en, respek­ti­ve ver­schärf­ten Ansprü­che der BAIT-Anfor­de­rung zusam­men und zeigt, wel­che Effek­te die­se auf die Insti­tu­te erwar­ten lassen.

Schon auf den ers­ten Blick wird deut­lich, dass die neu­en eben­so wie die erwei­ter­ten Anfor­de­run­gen der BAIT nicht mit­tels eines „Quick Hit“ zu bewäl­ti­gen sind. Zu umfang­reich waren und sind die Her­aus­for­de­run­gen aus den 2017 und 2018 for­mu­lier­ten Anfor­de­run­gen der BAIT für die Banken.

Ent­spre­chend der indi­vi­du­el­len Aus­gangs­si­tua­ti­on des Insti­tuts und dem Grad der für die eige­ne IT gewähl­ten Stan­dar­di­sie­rung gibt es hin­sicht­lich des Umset­zungs­ho­ri­zonts kurz­fris­ti­ge Aspek­te, grund­sätz­lich aber eher eine lang­fris­ti­ge Per­spek­ti­ve. Durch die Aus­wei­tung des Infor­ma­ti­ons­ver­bun­des sind die BAIT kein aus­schließ­li­ches IT-The­ma mehr, son­dern ein Pro­zess­the­ma, das die IT-Unter­stüt­zung des jewei­li­gen Pro­zes­ses im Fokus hat. Damit sind neben den Spe­zia­lis­ten des eige­nen IT-Bereichs zuneh­mend sol­che der rele­van­ten Dienst­leis­tungs­part­ner ein­zu­bin­den. Dar­über hin­aus sind auch Exper­ten aus den Fach­be­rei­chen der Bank zu involvieren.

Damit wird deut­lich, dass ins­ge­samt ein hoher Auf­wand für die Insti­tu­te mit der Umset­zung der Neue­run­gen in der BAIT ver­bun­den ist.

Vor die­sem Hin­ter­grund sind zwei Tätig­kei­ten von her­aus­ge­ho­be­ner Bedeu­tung. Ers­tens die Iden­ti­fi­ka­ti­on des Infor­ma­ti­ons­ver­bunds für die betrof­fe­nen Geschäfts­pro­zes­se, um den Hand­lungs­rah­men und die ein­zu­bin­den­den Par­tei­en trans­pa­rent und voll­stän­dig zu iden­ti­fi­zie­ren. Zwei­tens die dar­auf auf­bau­en­de Ablei­tung einer Umset­zungs­road­map, die auch den aktu­el­len Sta­tus quo des Insti­tuts berücksichtigt.

Um die­ses so ziel­ge­rich­tet wie mög­lich zu tun, ist nicht nur die Kennt­nis der regu­la­to­ri­schen Anfor­de­run­gen ent­schei­dend. Wesent­lich bedeut­sa­mer ist die umfang­rei­che Pra­xis­exper­ti­se zu Bank­pro­zes­sen sowie der in den Pro­zes­sen ein­ge­setz­ten IT-Sys­te­me und ihrer Schnitt­stel­len unter­ein­an­der. In Kom­bi­na­ti­on mit Erfah­run­gen aus Audit- und Umset­zungs­pro­jek­ten im Kon­text Ban­ken­re­gu­la­to­rik stel­len sie die kri­ti­schen Erfolgs­fak­to­ren dar, eine effi­zi­en­te Umset­zung der BAIT-Neue­run­gen zu pla­nen und durchzuführen.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge unter­stützt ban­kon effi­zi­ent und ziel­ge­rich­tet in der Iden­ti­fi­ka­ti­on aller betei­lig­ten Assets am Infor­ma­ti­ons­ver­bund, der effi­zi­en­ten Erstel­lung einer Umsetzungs­roadmap für die BAIT-Neue­run­gen sowie der Umset­zung selbst.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Heizung

„IT-Regulatorik 2021“ – Wieviel Regulatorik vertragen die deutschen Banken?

EBA-ICT, MaRisk 6. Novel­le, BAIT – von allen Sei­ten wer­den die IT- und Gover­nan­ce-Spe­zia­lis­ten der Ban­ken im Moment mit neu­en oder teil­wei­se ver­schärf­ten regu­la­to­ri­schen Anfor­de­run­gen kon­fron­tiert. In kei­ner Wei­se soll die posi­ti­ve Absicht hin­ter die­sen Maß­nah­men in Abre­de gestellt wer­den. Aber es stellt sich den­noch die Fra­ge, wie­viel die­ser regu­la­to­ri­schen Vor­ga­ben durch die deut­schen Ban­ken bewäl­tigt wer­den kön­nen und wie. Ver­schärft wird die­se Fra­ge durch die Tat­sa­che, dass vie­le Insti­tu­te aktu­ell Pro­jek­te und Vor­ha­ben durch­füh­ren, die noch vor­an­ge­gan­ge­ne Anfor­de­run­gen umset­zen oder die Eta­blie­rung im Lini­en­be­trieb sicherstellen.

Regulatorik - Neue Anforderungen RJO
Regu­la­to­rik – Neue Anforderungen

Erschwe­rend kommt eben­falls noch hin­zu, dass die Umset­zung durch die Auf­sichts­gre­mi­en in zuneh­mend enge­rer Tak­tung kon­trol­liert wird. EZB, Bun­des­bank und BaFin sind umfang­reich in den Insti­tu­ten vor Ort, um die erfolg­rei­che Umset­zung zu ver­pro­ben. Erfolg­reich heißt hier­bei jedoch nicht nur die Doku­men­ta­ti­on eines abge­schlos­se­nen Pro­jek­tes, son­dern die ope­ra­ti­ve Nach­weis­füh­rung, dass die ein­ge­führ­ten oder ver­än­der­ten Pro­zes­se in der Linie eta­bliert sind und kon­se­quent durch­lau­fen wer­den. Dar­auf auf­bau­en­de KVP- oder Les­sons-Lear­ned-Pro­zes­se wer­den dabei als obli­ga­to­risch imple­men­tiert vorausgesetzt.

Die Prü­fun­gen mani­fes­tie­ren damit eine deut­lich gestie­ge­ne Anfor­de­rungs­qua­li­tät an den in den Insti­tu­ten ver­an­ker­ten regu­la­to­ri­schen Reifegrad.

Nun lässt sich zwar fest­stel­len, dass vie­le der regu­la­to­ri­schen Vor­ga­ben auf­ein­an­der auf­bau­en. Anfor­de­run­gen aus der euro­päi­schen Per­spek­ti­ve (EBA-ICT) wer­den im Rah­men der 6. MaRisk-Novel­le in natio­na­le Vor­ga­ben über­führt und in den BAIT kon­kre­ti­siert. Die­se poten­zi­el­le Syn­er­gie gilt aber nicht in aller Voll­stän­dig­keit für Insti­tu­te jeder Grö­ßen­klas­se. Dar­über hin­aus blei­ben auch unter Berück­sich­ti­gung die­ser Fak­to­ren erheb­li­che Umset­zungs­an­for­de­run­gen für die Ban­ken. Die Her­aus­for­de­run­gen, die sich für die Insti­tu­te dar­aus erge­ben, sind unterschiedlich:

Grö­ße­re Insti­tu­te, vor allem mit inter­na­tio­na­ler Aus­rich­tung, erreicht die „vol­le Wucht“ der regu­la­to­ri­schen Anfor­de­run­gen. Die­se tref­fen aber auch auf Zen­tral­be­rei­che der IT, Gover­nan­ce oder Com­pli­ance, die grund­sätz­lich über die zur Bewäl­ti­gung die­ser Anfor­de­run­gen erfor­der­li­che Qua­li­fi­ka­ti­on und quan­ti­ta­ti­ve Aus­prä­gung verfügen.

Klei­ne­re Insti­tu­te mit eher regio­na­ler Aus­rich­tung sind von regu­la­to­ri­schen Anfor­de­run­gen unter­schied­lich betrof­fen. Eine wesent­li­che Unter­schei­dungs­kom­po­nen­te ist hier der Umfang aus­ge­la­ger­ter Tätig­kei­ten. Je höher und je indi­vi­du­el­ler der Aus­la­ge­rungs­grad, umso stär­ker die regu­la­to­ri­schen Berüh­rungs­punk­te. Ver­stär­kend kommt hier jedoch hin­zu, dass gera­de bei einer weit­ge­hen­den Aus­la­ge­rung das Exper­ten­wis­sen dadurch abge­baut wur­de. Viel­fach ist das zur Bewäl­ti­gung der regu­la­to­ri­schen Anfor­de­run­gen erfor­der­li­che Know-how nicht mehr in aus­rei­chen­der Quan­ti­tät in den Insti­tu­ten vorhanden.

Die Schluss­fol­ge­rung, dass in die­sen Fäl­len die erfor­der­li­che Exper­ti­se durch Ein­stel­lung neu­er Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter zuge­führt wer­den muss, ver­nach­läs­sigt eine wesent­li­che Kom­po­nen­te – den Fachkräftemangel.

Exper­ten in IT-Regu­la­to­rik, Gover­nan­ce oder Com­pli­ance sind am Markt stark gesucht und nicht in aus­rei­chen­der Quan­ti­tät vor­han­den. Die Wei­ter­bil­dung eige­ner Mit­ar­bei­te­rin­nen und Mit­ar­bei­ter in die­sen The­men ist eine eher lang­fris­tig aus­ge­rich­te­te Lösung. Das Wis­sen extern ein­zu­kau­fen ist aus Kos­ten­grün­den auch nicht ohne Wei­te­res möglich.

Wel­che Mög­lich­kei­ten gibt es aber, aus die­sem Dilem­ma zu ent­kom­men und den stei­gen­den regu­la­to­ri­schen Anfor­de­run­gen als Insti­tut gerecht zu werden?

Aus Sicht von ban­kon hat sich die Ein­rich­tung eines zen­tra­len Regu­la­to­rik-Office bewährt. Die­ses koor­di­niert insti­tuts­weit die Akti­vi­tä­ten zu regu­la­to­ri­schen Ver­än­de­run­gen sowie der Vor­be­rei­tung und Beglei­tung regu­la­to­ri­scher Prü­fun­gen. In sei­ner Aus­ge­stal­tung ermög­licht es insti­tuts­in­di­vi­du­el­le Anpas­sun­gen vor dem Hin­ter­grund der Grö­ße sowie der Geschäfts- und Risi­ko­struk­tur der Bank. Es ist damit der Sin­gle-Point-of-Truth für regu­la­to­ri­sche The­men in der Bank.

Regulatorik-Office RJO

Die Abbil­dung der aktu­el­len regu­la­to­ri­schen Situa­ti­on der Bank erfolgt über ein zen­tra­les Regu­la­to­rik-Back­log. Des­sen Inhalt sind die insti­tuts­in­di­vi­du­ell bewer­te­ten regu­la­to­ri­schen The­men sowie die im regu­la­to­ri­schen Kon­text iden­ti­fi­zier­ten bank­spe­zi­fi­schen Defizite.

Owner die­ses Back­logs ist das Regu­la­to­rik-Office, das auch für die inhalt­li­che Befül­lung ver­ant­wort­lich ist. Im Rah­men von inter­nen und exter­nen Prü­fungs­hand­lun­gen iden­ti­fi­zier­te Defi­zi­te wer­den hier zen­tral abge­legt. Sie sind die rele­van­te Infor­ma­ti­ons­quel­le für das Auf­set­zen regu­la­to­ri­scher Vor­ha­ben oder Pro­jek­te im Rah­men des Projektplanungsprozesses.

Die Vor­tei­le die­ser orga­ni­sa­to­ri­schen und infor­ma­to­ri­schen Bün­de­lung lie­gen auf der Hand:

  • För­de­rung der bank­in­ter­nen Ver­zah­nung von Berei­chen, die mit regu­la­to­ri­schen The­men befasst sind, z. B. Unter­neh­mens­steue­rung, IT, Infor­ma­ti­ons­si­cher­heit, Orga­ni­sa­ti­on, Pro­jekt­port­fo­lio­steue­rung, Not­fall­ma­nage­ment oder Dienstleistersteuerung
  • Mit­wir­kung bei über­grei­fen­den Initia­ti­ven, z. B. zum insti­tuts­grup­pen­spe­zi­fi­schen Umgang mit regu­la­to­ri­schen Anfor­de­run­gen im Kon­text Sourcing
  • Effi­zi­en­te Unter­stüt­zung inter­ner und vor allem exter­ner Prü­fun­gen durch die Wahr­neh­mung der Funk­ti­on eines zen­tra­len Prüfungs-Offices
  • Vor­aus­set­zung einer sys­te­ma­ti­schen, prio­ri­sier­ten Bear­bei­tung regu­la­to­ri­scher Defi­zi­te mit­tels Vor­ha­ben und Projekten
  • Sicher­stel­lung bank­in­ter­ner Ver­tre­tungs­mög­lich­kei­ten im Kon­text Regulatorik
  • Unter­stüt­zung der Aus­bil­dung bank­in­ter­nen Wis­sens zu regu­la­to­ri­schen Themen

Die Syn­er­gien und Vor­tei­le sichern den Insti­tu­ten die Fähig­keit, regu­la­to­ri­sche Anfor­de­run­gen bewäl­ti­gen zu kön­nen. Die Bün­de­lung der Kräf­te ermög­licht den Ban­ken, und hier beson­ders mit­tel­gro­ßen und klei­ne­ren Insti­tu­ten, die Sicher­stel­lung der erfor­der­li­chen regu­la­to­ri­schen Governance.

Denn unab­hän­gig von der Fra­ge, wie­viel Regu­la­to­rik deut­sche Ban­ken ver­tra­gen, lässt sich die Ten­denz zur Aus­wei­tung regu­la­to­ri­scher Anfor­de­run­gen zumin­dest auf Ebe­ne von Ein­zel­in­sti­tu­ten nicht auf­hal­ten. Es kön­nen aber sehr wohl die Vor­aus­set­zun­gen geschaf­fen und opti­miert wer­den, mit die­sen Anfor­de­run­gen umzugehen.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge unter­stützt ban­kon effi­zi­ent und ziel­ge­rich­tet im Set­up zen­tra­ler Regu­la­to­rik-Offices und der erfor­der­li­chen Über­füh­rung in einen Regel­be­trieb. Bei Bedarf unter­stützt ban­kon auch ope­ra­tiv im Betrieb des Regu­la­to­rik-Office z. B. in der Vor­be­rei­tung und Beglei­tung regu­la­to­ri­scher Prüfungen.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Gewinner-Verlierer

Deutscher Bankensektor: Quo vadis? – Gewinner oder Verlierer

Ver­än­de­run­gen im Ban­ken­markt – Sta­tus quo

Immer mehr regu­la­to­ri­sche Vor­schrif­ten (BAIT, EBA, ISO, MaRisk, BSI, Basel usw.), tech­no­lo­gi­sche Trends (FinTechs, Digi­ta­li­sie­rung …) und der Wan­del in ein bran­chen­über­grei­fen­des Öko­sys­tem sind wesent­li­che Trei­ber aktu­el­ler Ver­än­de­run­gen im Ban­ken­markt. Die Grund­satz­fra­ge nach der zukünf­ti­gen Rol­le von Ban­ken in einer digi­ta­len Welt beein­flusst die Aus­rich­tung des Geschäfts­mo­dells glei­cher­ma­ßen wie Inves­ti­tio­nen in die Ban­ken­ar­chi­tek­tur. Dabei wird dar­auf zu ach­ten sein, dass der Fokus nicht nur im „RUN the bank“ liegt, son­dern vor allem im „CHANGE the bank“. Das zukünf­ti­ge Ange­bot ori­en­tiert sich hier­bei sehr stark an den Bedürf­nis­sen von Kun­den, Mitarbeitern/Mitarbeiterinnen, Part­nern und Wett­be­wer­bern. Die Erfül­lung der Erwar­tun­gen unter­schied­li­cher Ziel­grup­pen (v. a. Fir­men­kun­den und Pri­vat­kun­den) ste­hen hier­bei im Mittelpunkt.

Erfolgsfaktoren
Erfolgs­fak­to­ren

Was sind nun wich­ti­ge Erfolgsfaktoren?

Die zukünf­ti­gen Geschäfts­mo­del­le der Ban­ken soll­ten auf fol­gen­de The­men ent­spre­chen­de Ant­wor­ten haben:

  • Bedürf­nis­se der Kun­den ken­nen, ver­ste­hen und die pas­sen­den Pro­duk­te und Ser­vices anbie­ten. Ein sen­si­bler Umgang mit Daten, der Mut zur Nut­zung von Inno­va­tio­nen und die Zusam­men­ar­beit mit FinTechs sind dabei wich­ti­ge Erfolgs­fak­to­ren. Das Ange­bot in der Filia­le wird dabei immer mehr durch Funk­tio­nen in der Smart­phone App abgelöst.
  • Neben der Umset­zung von regu­la­to­ri­schen Vor­ga­ben geht es immer mehr um die Öff­nung der Ban­ken nach außen. Die Nut­zung der Inno­va­ti­ons­kraft neu­er Anbie­ter im Markt durch FinTechs oder GAFAs kann sich durch­aus posi­tiv aus­wir­ken. Neue Anbie­ter stel­len die Inter­es­sen und Gewohn­hei­ten der Kun­den häu­fig anders in den Mittelpunkt.
  • Die Trans­for­ma­ti­on der Ban­ken-IT in eine modu­la­re Inno­va­tions-IT mit immer kür­ze­ren Update­zy­klen muss mit der wach­sen­den Regu­la­to­rik und den zuneh­men­den Kun­den­er­war­tun­gen Schritt hal­ten. Dies eröff­net zudem Mög­lich­kei­ten, neue Ertrags­quel­len zu erschließen.
  • Betrach­tet man die ope­ra­ti­ve Kos­ten­si­tua­ti­on der Ban­ken, sind die Belas­tun­gen trotz unver­meid­ba­rer regu­la­to­ri­scher Inves­ti­tio­nen in den letz­ten Jah­ren nur leicht gestie­gen. Die Eigen­ka­pi­tal­ren­di­te deut­scher Ban­ken liegt im inter­na­tio­na­len Ver­gleich dage­gen auf einem sehr nied­ri­gen Niveau. Der aktu­el­le Kon­so­li­die­rungs­kurs im Ban­ken­sek­tor wird sich wei­ter ver­stär­ken. Dabei wer­den sich zen­tra­le Pro­dukt- und Platt­form­an­bie­ter für spe­zi­fi­sche kun­den- und markt­re­le­van­te The­men her­aus­kris­tal­li­sie­ren. Zusätz­lich wird es eine wei­te­re Ver­schmel­zung von IT-Dienst­leis­tern sowie eine Kon­so­li­die­rung von Markt­fol­ge­tä­tig­kei­ten geben. Zudem lässt sich auch die Bil­dung von sog. Kom­pe­tenz­zen­tren in Ver­bün­den beobachten.
  • Ein wei­te­rer wich­ti­ger Fak­tor ist die Ver­än­de­rungs­be­reit­schaft. Der Kul­tur­wan­del bzw. die Ver­än­de­run­gen und deren Akzep­tanz soll­te von gestal­te­ri­schem Han­deln von­sei­ten des Bank­ma­nage­ments geprägt sein.

Sicher­lich gibt es noch wei­te­re Fak­to­ren, die hier genannt wer­den kön­nen. Der ein­ge­setz­te Trend lässt sich jedoch ein­deu­tig erken­nen. Die­ser wird auch noch deut­lich an Fahrt zunehmen.

Wer sind nun die Gewin­ner bzw. Verlierer?

Betrach­tet man die Mög­lich­kei­ten der Markt­po­si­tio­nie­rung, bil­den sich unter­schied­li­che Ent­wick­lungs­sze­na­ri­en her­aus. Ein Schwer­punkt liegt hier bei der Fokus­sie­rung auf eine bestimm­te Regi­on oder in der Kon­zen­tra­ti­on auf ein spe­zi­el­les Pro­dukt. Bei die­sem Sze­na­rio wer­den die Geschäfts­mo­del­le adap­tiert. Loka­len Ban­ken steht hier die Mög­lich­keit offen, die geo­gra­phi­sche Nähe zum Kun­den aus­zu­spie­len. Durch die regio­na­le Ver­an­ke­rung bie­ten Sie ein umfas­sen­des Pro­dukt­an­ge­bot an. Die Bank besetzt hier die wich­ti­ge Kun­den­schnitt­stel­le und bin­det ande­re Dienst­leis­ter und Anbie­ter an. Dane­ben bleibt die Mög­lich­keit, sich über ein spe­zi­fi­sches Pro­dukt oder Dienst­leis­tungs­an­ge­bot am Markt zu posi­tio­nie­ren. Loka­le und über­re­gio­na­le Ban­ken haben hier ver­gleich­ba­re Ansät­ze und tre­ten in eine Kon­kur­renz­si­tua­ti­on. Ban­ken ohne regio­na­le Ver­an­ke­rung oder eine ent­spre­chen­de Posi­tio­nie­rung als Anbie­ter wer­den im Wett­be­werb frü­her oder spä­ter der fort­schrei­ten­den Kon­so­li­die­rung zum Opfer fallen.

Betrach­ten wir nun die Bezie­hung zwi­schen der tra­di­tio­nel­len Bank und den Kun­den. Hier kommt es zu einem schnel­len und nach­hal­ti­gen Durch­bruch neu­er Tech­no­lo­gien, die von Kun­den­sei­te genutzt wer­den. Ein nach­hal­ti­ger Nut­zen wird erreicht, wenn ein Anbie­ter einem Kun­den ein opti­ma­les Ange­bot erstellt, erklärt und lie­fert. Je bes­ser die tech­no­lo­gi­schen Mög­lich­kei­ten genutzt wer­den, umso ein­fa­cher kann es für den Kun­den sein. So ist bei vie­len Dienst­leis­tun­gen, z. B. im Zah­lungs­ver­kehr, kein Kun­den­kon­takt not­wen­dig. Alter­na­tiv kann sich die Bank als Anbie­ter für Pro­duk­te posi­tio­nie­ren, die aus Risi­ko­sicht nicht über Platt­for­men ange­bo­ten wer­den (z. B. Finan­zie­run­gen). Die Rol­le der Bank als Risi­ko­part­ner ist vor allem für über­re­gio­na­le Ban­ken auf­grund der Diver­si­fi­zie­rung inter­es­sant. Wenn es dann noch gelingt, Ska­len­vor­tei­le nut­zen zu kön­nen, sind die Vor­aus­set­zun­gen schon viel­ver­spre­chend. Wich­tig hier­bei wird jedoch sein, das Pro­dukt­an­ge­bot wei­ter zu erneu­ern und den Kun­den­nut­zen wei­ter­hin im Blick zu haben. Die Kun­den­nä­he, die nach tra­di­tio­nel­ler Art immer durch eine vor Ort-Prä­senz defi­niert wur­de, wird immer mehr durch die Digi­ta­li­sie­rung zurückgedrängt.

Durch eine Viel­zahl erfolg­rei­cher Pro­jek­te ken­nen wir die kri­ti­schen Erfolgs­fak­to­ren auf der stra­te­gi­schen und der ope­ra­ti­ven Ebe­ne und ver­fü­gen über umfang­rei­che Erfah­run­gen bei der Aus­rich­tung des Geschäfts­mo­dells bzw. der Errei­chung der gewünsch­ten Positionierung.

Ger­ne sichern wir Ihren Pro­jekt­er­folg mit unse­rer Metho­den- und Umset­zungs­kom­pe­tenz in die­sem kom­ple­xen The­men­um­feld, damit die Bewer­tung der Zukunfts­trends wie­der aus­ge­gli­chen ist.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Cybersecurity

„Tiber-EU und Tiber-DE“ – Die europäische Antwort auf Cyberkriminalität in Banken?

Angrif­fe von Hackern auf Kre­dit­in­sti­tu­te sind kein loka­les oder natio­na­les Phä­no­men. Viel­mehr ist es ein welt­wei­tes The­ma, des­sen Auf­tre­ten nicht mehr nur „hin­ter vor­ge­hal­te­ner Hand“ dis­ku­tiert wird, son­dern bei­na­he im Wochen­tur­nus Schlag­zei­len in der Pres­se erzeugt.

In Deutsch­land waren bis­her im Jahr 2020 vie­le rele­van­te Ban­ken und Insti­tuts­grup­pen betrof­fen. Sei es mit­tel­bar, weil Kre­dit­kar­ten­in­for­ma­tio­nen unbe­rech­tig­ten Per­so­nen zugäng­lich wur­den oder unmit­tel­bar, weil Bank­funk­tio­na­li­tä­ten für Kun­den nicht mehr zugäng­lich waren. Der Glau­be, dass vor allem FinTechs oder Ban­ken mit Inter­net- oder Mobil­ge­rät-Schwer­punkt Ziel von Cyber­kri­mi­na­li­tät sind, hat sich als Irr­glau­be herausgestellt.

Neben wirt­schaft­li­chen Schä­den ist es vor allem der Repu­ta­ti­ons­scha­den in Form von Ver­trau­ens­ver­lust, der für die betrof­fe­nen Insti­tu­te rele­van­te Aus­wir­kun­gen haben kann.

Begriff­lich wer­den ganz all­ge­mein Straf­ta­ten, bei denen die Täter moder­ne Infor­ma­ti­ons­tech­nik nut­zen, als Cyber­kri­mi­na­li­tät bezeich­net. Fasst man die­sen Begriff etwas enger, so wer­den dar­un­ter Straf­ta­ten ver­stan­den, die auf Com­pu­ter­sys­te­me und Netz­wer­ke zie­len. Hier­un­ter wer­den auch Akti­vi­tä­ten der Cyber­spio­na­ge sub­sum­miert. Die bekann­tes­te Form von Cyber­kri­mi­na­li­tät ist das Phis­hing. Ziel­set­zung ist hier, z. B. Pass­wör­ter, Zugangs­in­for­ma­tio­nen oder per­sön­li­che Daten mit­tels gefälsch­ter E‑Mails oder Web­sites in Erfah­rung zu bringen.

Der Gegen­part zur Cyber­kri­mi­na­li­tät ist für die Ban­ken die Cyber­se­cu­ri­ty. Ziel ist der Schutz vor tech­ni­schen und orga­ni­sa­to­ri­schen Bedro­hun­gen, die die Sicher­heit von IT-Infra­struk­tu­ren und die Daten­si­cher­heit gefähr­den. Unter die­sem Begriff wer­den alle Kon­zep­te und Maß­nah­men zusam­men­ge­fasst, mit denen Ban­ken Gefähr­dun­gen erken­nen, bewer­ten, ver­fol­gen und vor­beu­gen mit der Ziel­set­zung, die Hand­lungs- und Funk­ti­ons­fä­hig­keit schnellst­mög­lich wiederherzustellen.

Das in die­sem Kon­text zu gestal­ten­de Maß­nah­men­bün­del setzt sich aus einer Viel­zahl unter­schied­li­cher Kom­po­nen­ten zusam­men, wie nach­ste­hen­des Prin­zip­bild zeigt.

Tiber; Regulatorik Grafik 1
Prin­zip­bild mit Maßnahmenbündel

Für die Ban­ken stellt sich in die­sem Zusam­men­hang die Fra­ge einer regu­la­to­ri­schen Ori­en­tie­rung, für gro­ße, sys­tem­re­le­van­te oder inter­na­tio­nal agie­ren­de Insti­tu­te auch die eines euro­päi­schen Rah­mens für Cybersecurity.

Das Tiber-EU-Frame­work ist hier ein ers­ter Schritt. Es ist ein Euro­päi­sches Rah­men­werk für ein kon­trol­lier­tes und insti­tuts­in­di­vi­du­el­les Tes­ten in Bezug auf Cyber­an­grif­fe auf den Finanz­markt. Die Anwen­dung ist frei­wil­lig und liegt in der Ent­schei­dungs­ver­ant­wor­tung des ein­zel­nen Kreditinstitutes.

Sechs Ziel­set­zun­gen wer­den durch das Tiber-EU-Frame­work angestrebt:

  • Euro­pa­wei­te Stär­kung der Fähig­keit zur Abwehr von Cyber­an­grif­fen bei Finanzdienstleistungsunternehmen
  • Stan­dar­di­sie­rung und Har­mo­ni­sie­rung im Vor­ge­hen mit der Mög­lich­keit für natio­na­le Anpassungen
  • Leit­fa­den für Behör­den zur natio­na­len Eta­blie­rung und Ori­en­tie­rung zur länderüber­greifenden Vergleichbarkeit
  • Unter­stüt­zung eines län­der­über­grei­fen­den Vor­ge­hens für inter­na­tio­na­le Institute
  • Regu­la­to­ri­sche Ent­las­tung ein­zel­ner EU-Mitgliedsstaaten
  • Gemein­sa­me Doku­men­ta­ti­ons­richt­li­ni­en zum inter­na­tio­na­len Ergebnisaustausch

Unter dem Fokus Infor­ma­ti­ons- und Erkennt­nis­ge­win­nung wer­den kri­ti­sche Bank­sys­te­me mit rea­len Angriffs­sze­na­ri­en (Tak­ti­ken, Tech­ni­ken und Pro­zes­sen) kon­fron­tiert. Simu­liert wer­den in Form eines ethi­schen Hackings pra­xis­na­he Angrif­fe auf bank­fach­li­che Funk­tio­nen und die zugrun­de­lie­gen­den IT-Sys­te­me und IT-Infrastrukturen.

Die­se Ziel­set­zung spie­gelt sich in der Namens­ge­bung Tiber (Thre­at Intel­li­gence-based Ehti­cal Red Team­ing) wie­der. Wobei unter Thre­at Intel­li­gence die auf­be­rei­te­te Bereit­stel­lung aktu­el­ler Infor­ma­tio­nen zur Bedro­hungs­la­ge der IT-Sicher­heit durch Cyber­an­grif­fe und ande­re Gefah­ren aus unter­schied­li­chen Quel­len ver­stan­den wird.

Die Test­durch­füh­rung glie­dert sich in drei Phasen:

Testdurchführung
Drei Pha­sen der Testdurchführung
  1. Vor­be­rei­tung mit der Skiz­zie­rung der Bedro­hungs­si­tua­ti­on und Ris­ken im natio­na­len Finanz­sek­tor sowie dem for­ma­len Start des Tests mit Fest­le­gung der kon­kre­ten Ziel­set­zung, dem Staf­fing des eige­nen Teams und der Beauf­tra­gung der Dienst­leis­tungs­part­ner für Thre­at Intel­li­gence (TI) und Red-Team (RT)
  2. Test­durch­füh­rung durch die Dienst­leis­tungs­part­ner für TI und RT. Der TI-Part­ner erstellt Ziel­set­zung und Bedro­hungs­sze­na­rio für den „Angriff“ durch das RT
  3. In der Abschluss­pha­se erstel­len Angrei­fer (RT) und auch die Ver­tei­di­ger einen Abschluss­re­port, der in gemein­sa­men 360°-Workshops zusam­men­ge­fasst wird und in einen Maß­nah­men­plan mündet

Für das Insti­tut, das einen Tiber-EU-Test durch­führt, ste­hen sechs Zie­le im Vordergrund.

  • Rea­li­täts­na­he Prü­fung der eige­nen Sicherheit
  • Gewin­nung von Erkennt­nis­sen und Infor­ma­tio­nen zu Schwachstellen
  • Pra­xis­ba­sier­te Ver­an­schau­li­chung der Trag­wei­te von Cyberrisiken
  • Sen­si­bi­li­sie­rung der Geschäftsleitung
  • Erkennt­nis über die Not­wen­dig­keit von Schutzmaßnahmen
  • Ein „Durch­fal­len“ oder Nicht­be­stehen ist nicht möglich

Die Durch­füh­rung eines sol­chen ethi­schen Hacker­an­griffs erfor­dert durch das „ange­grif­fe­ne“ Insti­tut, auch wenn die­ser Angriff expli­zit beauf­tragt wird, vor­be­rei­ten­de und beglei­ten­de Maß­nah­men. Die gewünsch­te Rea­li­täts­nä­he kann zu Beein­träch­ti­gun­gen des rea­len Geschäfts­ab­laufs kom­men, denen sich das Insti­tut bewusst sein muss.

Aus die­sem Grund sind fol­gen­de Aspek­te expli­zit in der Vor­be­rei­tung und Durch­füh­rung zu berücksichtigen:

  • Sorg­fäl­ti­ge Aus­wahl der Dienst­leis­tungs­part­ner für Thre­at Intel­li­gence und Red Team
  • Begren­zung des Sco­pes und Abstim­mung inner­halb des Insti­tuts sowie mit der Aufsicht.
  • Vor­ab­re­ge­lung des Umgangs mit Daten und deren Auf­be­wah­rung im Fal­le eines erfolg­rei­chen Hackerangriffs
  • Die ver­trag­li­che Situa­ti­on zwi­schen Bank und bestehen­den IT-Dienst­leis­tungs­part­nern ist zu prü­fen, ob sie die Durch­füh­rung eines Tiber-EU-Tests ermöglichen
  • Pro­zes­sua­le Abschät­zung der Risi­ken des Angriffsszenarios
  • Aus­ge­stal­tung der Test­durch­füh­rung in der Form, dass Aus­wir­kun­gen auf­tre­ten­der Ser­vice­be­ein­träch­ti­gun­gen gering blei­ben und durch vor­be­rei­te­te Maß­nah­men zügig beho­ben wer­den können
  • Umgang mit den doku­men­tier­ten Ergeb­nis­sen des Tests im Span­nungs­feld zwi­schen Offen­le­gung und Vertraulichkeit

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Regu­la­to­rik sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Auf die­ser Grund­la­ge unter­stützt ban­kon effi­zi­ent und ziel­ge­rich­tet die Vor­be­rei­tung und Durch­füh­rung von Tiber-EU-Tests von der Ziel­set­zung bis zur Maßnahmenplanung.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de