EZB: Ergebnisse des Banken­stress­tests zu Cyber­risiken im Sommer – 28 Institute werden “vertieft” untersucht

Die EZB-Bankenaufsicht will im Sommer Ergebnisse ihres ersten Cyber-Bankenstresstests für Banken veröffentlichen. Bei 109 direkt beaufsichtigten Geldhäusern werde 2024 geprüft, wie diese auf einen Cyberangriff reagieren und wie sie ihren Geschäftsbetrieb wiederherstellen, teilte die Europäische Zentralbank (EZB) am Mittwoch in Frankfurt mit.

Der Stresstest zur Cyberresilienz sei in erster Linie ein qualitativer Test. Er wird sich nicht über eine Säule-2-Empfehlung (Details) auf das Kapital der Banken auswirken. Letztere ist eine bankspezifische Empfehlung zur Kapitalausstattung, die über die verbindlichen Anforderungen hinausgeht.

Im Stresstestszenario verursacht ein erfolgreicher Cyberangriff Störungen im Tagesgeschäft der Banken. Dann testen die Banken ihre als Reaktion auf einen Cyberangriff und zur Wiederherstellung des Geschäftsbetriebs vorgesehenen Maßnahmen. Anschließend beurteilt die Aufsicht, inwieweit die Banken mit einem solchen Szenario umgehen können.”

EZB-Bankenaufsicht

Vertiefter Bankenstresstest bei 28 Geldhäusern

28 Institute werden nach EZB-Angaben (Website) im Zuge des Tests eingehender unter die Lupe genommen. Sie müssen zusätzliche Informationen dazu bereitstellen, wie sie mit dem Cyberangriff umgegangen sind. Diese Stichprobe umfasse Banken mit verschiedenen Geschäftsmodellen aus diversen geografischen Gebieten, teilte die EZB mit. So solle “ein aussagekräftiges Bild des Bankensystems im Euroraum gewonnen” werden.

Die EZB beaufsichtigt seit November 2014 die führenden Banken im Euroraum direkt. Derzeit sind dies 113 Institute, darunter aus Deutschland unter anderen: Deutsche Bank und Commerzbank, DZ Bank und Dekabank sowie Deutschlands größte deutsche Sparkasse, die Hamburger Haspa, außerdem die Deutsche Apotheker- und Ärztebank (Apo-Bank), die Volkswagen Bank und diverse Landesbanken (BayernLB, LBBW, Helaba, Nord LB).

Zuletzt wieder mehr Cyberattacken

Genau hinschauen will die EZB dort, wo Banken IT-Prozesse an Drittanbieter übergeben, um Geld zu sparen, wie Anneli Tuominen, die dem Aufsichtsgremium der EZB-Bankenaufsicht angehört, im November ankündigte: “Das geht nicht unbedingt mit gutem Risikomanagement einher.” IT- oder Cloud-Anbieter seien “sicherlich ein Thema, mit dem wir uns eingehender beschäftigen müssen”.

Die Bankenaufseher hatten sich von der zuletzt zunehmenden Zahl an Angriffen auf IT-Systeme von Banken alarmiert gezeigt. Bislang habe es zwar keinen so schwerwiegenden Angriff gegeben, dass einzelne Institute oder gar das gesamte Bankensystem destabilisiert worden wäre, hatte Tuominen im November gesagt. Doch sie warnte: “Eine erfolgreiche Attacke ist jederzeit möglich.”dpa