Aufrufe
vor 6 Jahren

RISIKO MANAGER 04.2017

  • Text
  • Risiken
  • Risiko
  • Risikomanagement
  • Kmus
  • Unternehmen
  • Beispielsweise
  • Risikomanagements
  • Controlling
  • Informationen
  • Anforderungen
RISIKO MANAGER ist das führende Medium für alle Experten des Financial Risk Managements in Banken, Sparkassen und Versicherungen. Mit Themen aus den Bereichen Kreditrisiko, Marktrisiko, OpRisk, ERM und Regulierung vermittelt RISIKO MANAGER seinen Lesern hochkarätige Einschätzungen und umfassendes Wissen für fortschrittliches Risikomanagement.

18 firm Frankfurter

18 firm Frankfurter Institut für Risikomanagement und Regulierung INTERVIEW Risiken in Zeiten des digitalen Bankschalters Interview mit Herbert Saurugg, Sicherheitsexperte. Digitalisierung, Cybersicherheit, disruptive Innovationen und neue Geschäftsmodelle – die Bankenwelt müht sich mit vielen Themen. Vor allem klassische Banken müssen ihre Geschäftsmodelle überdenken, wollen sie zukunftsfähig bleiben. Ein wichtiger Schritt liegt in einem neuen und zugleich vernetzten Denken als wesentlicher Schlüsselfaktor in Zeiten des digitalen Bankschalters. Nur so lassen sich Risiken besser erkennen und die Chancen für heute und morgen wahren. Welche Ansätze das sind, und wie der Transformationsprozess gelingen kann, darüber sprach die FIRM-Redaktion mit dem Sicherheitsexperten Herbert Saurugg. FIRM-Redaktion: Herr Saurugg, wie tätigen Sie Ihre Bankgeschäfte? Herbert Saurugg: Seit ich einen Internetzugang habe, also seit 20 Jahren, so gut wie ausschließlich über Online Banking. FIRM-Redaktion: Was ist Ihre Meinung: Sollten Kunden wieder verstärkt auf die Old-School-Variante setzen und lieber zum Bankschalter gehen, um ihre Transaktionen durchzuführen. Und wäre das in Zeiten zunehmender Cyberangriffe ein probates Mittel, um sich vor Attacken zu schützen? Herbert Saurugg: Natürlich wäre das auf den ersten Blick sicherer, aber ehrlich, würden Sie das heute wirklich noch wollen? Ich auf jeden Fall nicht! Ganz abgesehen davon, dass immer mehr Bankfilialen aus Kostengründen geschlossen werden und es einen ganz schönen Aufwand für beide Seiten bedeuten würde. Bei mir ist in den letzten zwanzig Jahren nie etwas schiefgegangen, zumindest soweit ich das beobachtet habe. Eine größere Falschbuchung wurde nicht durch einen Cyber-Angriff ausgelöst, aber durch meine Achtsamkeit korrigiert. Wie man so hört, haben aber Banken in den vergangenen Jahrzehnten auch oft Dinge im Hintergrund glattgebügelt, noch bevor es die Kunden bemerken konnten. Der Aufwand dafür soll deutlich gestiegen sein, sodass es auch zunehmend in die Kosten geht. Nichtsdestotrotz ist der Bankensektor sicher einer der sichersten, da man hier mit der dunklen Seite des Internets schon sehr lange und sehr intensive Erfahrungen gemacht hat. Trotzdem werden noch immer Erfolge beim digitalen Bankraub erzielt, wie man ja fallweise aus den Medien erfährt. Vor allem, wenn es um ganz große Beträge geht. Ich denke, dass Online Banking für den Einzelnen auch weiterhin sehr sicher ist, wenn man gewisse Grundregeln beachtet und den gesunden Menschenverstand einschaltet. Mit der heutigen Zwei-Faktor- Authentifizierung muss man schon ziemlich viel falsch machen, damit man bestohlen werden kann. Der Missbrauch passiert eher auf anderen Ebenen, vor allem durch Social Engineering, wo der gesunde Menschenverstand überlistet wird, oder die Gier diesen ausschaltet. FIRM-Redaktion: Die durchgehende Digitalisierung und Vernetzung macht auch vor dem Finanzsektor nicht Halt. Banken propagieren das Bezahlen per App als leichte und zugleich sichere Möglichkeit. Teilen Sie vor allem den letzten Part der Aussage? Herbert Saurugg: Durch die durchgehende Digitalisierung können vor allem teure Medienbrüche verhindert und damit natürlich auch Kosten eingespart werden. Ich denke schon, dass hier für alle Seiten positive Effekte entstehen. Ob die Kosteneinsparungen auch beim Kunden ankommen, ist eine andere Frage. Ob die Apps sicher sind? Zumindest so lange bis das Gegenteil bewiesen wurde. Ich bin recht zuversichtlich, dass die Banken hier kein leichtfertiges Risiko eingehen. Man muss aufpassen, dass hier das Geschäftsinteresse nicht höher priorisiert wird als die Sicherheitsüberlegungen. Trotz allem denke ich, dass das Risiko für den Einzelnen von dieser Seite her doch überschaubar bleibt. Natürlich gilt auch hier wieder das vorhin gesagte: Gesunden Menschenverstand einschalten und Achtung: Gier frisst Hirn. Wenn die Brieftasche gestohlen wird oder verloren geht, ist das Geld auch weg. Noch schneller und einfacher als im digitalen Umfeld. Daher muss man hier durchaus die Kirche im Dorf lassen, auch wenn sich Sicherheitsrisiken verschieben. FIRM-Redaktion: Bleiben wir noch kurz beim Thema Digitalisierung. Junge Start-up-Unternehmen, die sogenannten FinTechs machen den etablierten Geldhäusern massiv Konkurrenz. Welche Weichen müssen die Großen der Zunft stellen, um zukünftig wettbewerbsfähig zu bleiben und gleichzeitig die notwenige Sicherheit im Bankgeschäft nicht zu vernachlässigen?

19 Ausgabe 04/2017 Herbert Saurugg: Meine persönliche Einschätzung ist, dass wir in den nächsten Jahren massive Umbrüche und Turbulenzen erleben werden. Auch in diesem Sektor. Einerseits steht das weltweite Finanzsystem auf sehr tönernen Füßen, auch wenn das oft abgestritten oder anders dargestellt wird. Aber auch die großen Krisen, die ab 2007 durch das Finanzsystem ausgelöst wurden, wurden nicht vorhergesehen oder in ihrer Tragweite erkannt. Die Ursachen wurden im Wesentlichen nicht behoben, daher haben wir hier weiterhin ein systemisches Risiko, das uns wahrscheinlich in absehbarer Zukunft um die Ohren fliegen wird. Diesmal aber ohne Auffangnetze, denn die haben wir schon in den letzten zehn Jahren aufgebraucht. Zum anderen gerät unser dogmatisches Wirtschaftswachstumssystem zunehmend unter Druck. Sollten sich aktuelle Hype-Themen, wie etwa Blockchains, durchsetzen, was ich für realistisch halte und die auch sehr gut in die generelle Dezentralisierungstendenz bei der Transformation zur Netzwerkgesellschaft passen, dann würde das auch den Bankensektor auf den Kopf stellen. Die Automatisierung wird wohl auch diesen Sektor früher als später überrollen. Genau genommen passiert das ja schon seit vielen Jahren, nur die Geschwindigkeit wird weiter zunehmen. Um mit diesen Entwicklungen mithalten zu können, muss man die Dinge neu denken und verstehen, was bei dieser fundamentalen Transformation überhaupt passiert, und warum bisher bewährte Modelle nicht mehr funktionieren. Ein zentraler Punkt ist dabei, dass durch die Vernetzung die Komplexität steigt und komplexe Systeme sich nicht zentral steuern lassen. Die gut gemeinte Top-Down- Bankenregulierung, welche auch jede kleine Geschäftsbank gleichermaßen betrifft, erdrückt das System. Der eigentliche Zweck dieser Banken, die regionale Kreditvergabe ist kaum mehr möglich. Daher findet hier bereits eine „Schöpferische Zerstörung“ statt. Neue Lösungen werden die zu lösenden Probleme einfach besser und schneller lösen und damit die alten Systeme überflüssig machen. Siehe etwa Crowdfunding. Wobei mir wichtig ist, dass es nicht um ein Entweder-Oder, sondern immer um ein Sowohl-Als-Auch geht. Das heißt, es wird sicher auch weiterhin Nischen für das traditionelle Geldgeschäft geben, aber die Bedeutung wird zurückgehen. Zum anderen ermöglichen dezentrale Lösungen, wie etwa mit dem Blockchain-Verfahren, kostengünstige komplementäre regionale Währungs- und Tauschsysteme, die wiederum das Banksystem überflüssig machen. Wer daher weiterhin in alten Mustern denkt, wird diese Entwicklungen und die damit verbundenen Chancen verschlafen. Das hat jetzt relativ wenig mit Ihrer eigentlichen Frage zu tun, aber wenn man diese übergeordneten Themen nicht versteht oder auf dem Radar hat, dann wird man viel Energie in Lösungen investieren, die bald niemand mehr brauchen wird. Das gilt übrigens nicht nur für diesen Sektor. FIRM-Redaktion: Welche Risiken sehen Sie in punkto Cybersicherheit mittelfristig auf die Banken zukommen? Herbert Saurugg: Wie gesagt, Banken waren sicher bei den Cyber- Angriffszielen ganz vorne dabei und haben so ziemlich die meiste Erfahrung in diesem Bereich gesammelt, da es hier natürlich etwas zu holen gibt. Nachdem hier schon ein sehr hohes Sicherheitsniveau erreicht wurde, kommen zunehmend andere Sektoren ins Visier von Cyber-Kriminellen. Seit dem letzten Jahr gibt es beispielsweise eine explosionsartige Zunahme von erpresserischer Verschlüsselungs-Schadsoftware, die nun viele treffen kann und trifft. Warum einen aufwendigen Angriff auf eine Bank durchführen, wenn man einfacher zu Geld kommen kann? Wenngleich sich natürlich der Aufwand durchaus auch wieder lohnen kann, wenn man die ganz großen Angriffe anschaut, wo es dann um Milliardenbeträge geht. Leider kann man sich hier nicht zurücklehnen und die mögliche Schadenfreude genießen. Ein Angreifer muss nur einmal erfolgreich sein, der Verteidiger jedes Mal. Ich denke daher, dass die weit größere Gefahr für den Bankensektor derzeit von einer ganz anderen Richtung mit den absehbaren disruptiven Entwicklungen kommt. Nichtsdestotrotz muss man auch in diesem Sektor weiter am Ball bleiben, denn die Gegenseite schläft trotzdem nicht. FIRM-Redaktion: Andreas Dombret, Mitglied des Vorstands der Deutschen Bundesbank, sagte im vergangenen Jahr: „Der Finanzsektor ist nicht nur ein wichtiges Ziel von Cyberattacken, sondern auch anfällig für fast jedes erdenkliche Cyberrisiko. Das ist bedauerlich für den Finanzsektor, aber gut für andere Branchen, denn der Finanzsektor wird dadurch zur Quelle von vorbildlichen Praktiken, also von „best practices“, die auch in anderen Teilen der Wirtschaft anwendbar sind.“ Würden Sie diese „Vorbildfunktion“ der Banken unterstreichen? Herbert Saurugg: Ja und nein. Wie bereits angesprochen, hat der Bankensektor sicher sehr viel Erfahrung und Know-how, was die Abwehr und den Umgang mit Cyber-Angriffen betrifft, wovon andere lernen können und das auch genutzt werden sollte. Auf der anderen Seite ist es noch immer ein Unterschied, ob ich hauptsächlich virtuelle Systeme verteidigen muss oder dahinter physische Infrastruktursysteme stehen, bei denen ein Ausfall ganz andere Folgewirkungen nach sich ziehen könnte, als wenn virtuell Geld weg ist, das man vielleicht sogar noch zurückholen kann. Der Finanzsektor hat auch eindrucksvoll bewiesen, dass „too-big-tofail“-Systeme enorme gesellschaftliche Schäden verursachen können. Daher sollten wir vor allem davon lernen. Leider geschieht aber derzeit eher das Gegenteil. In vielen Sektoren passieren große Aufkäufe und Fusionen, wodurch noch mehr „too-big-to-fail“-Systeme entstehen. Die Reedereibranche steht schon unter massivem Druck, andere wie die Pharmaindustrie werden folgen. Und wenn es in diesen Bereichen zu krachen beginnt, dann wird das auch auf uns alle Auswirkungen haben. Jetzt bin ich zwar wieder etwas vom Thema abgekommen, aber ehrlich gesagt, macht mir das mehr Sorgen, als die unmittelbare Cyber-Bedrohung für Banken. FIRM-Redaktion: Stellen wir uns folgendes Szenario vor: Sie sind in verantwortlicher Position in einer Bank und müssen die strategische Ausrichtung hin zu mehr digitalen Angeboten federführend begleiten. Was würden Sie tun, und welche Sicherungsmechanismen würden Sie überdenken und gegebenenfalls neu aufsetzen? Herbert Saurugg: Zum Glück bin ich nicht in einer solchen Position und ich möchte auf keinen Fall und um nichts in der Welt mit jemandem in dieser Position tauschen. Nichtsdestotrotz gibt es aus der systemischen Betrachtung einige Grundregeln für ein lebensfähiges Systemdesign, die wohl auch hier erfolgreich angewendet werden könnten.

RISIKO MANAGER

 

Copyright Risiko Manager © 2004-2017. All Rights Reserved.