Europas Banken haben Nachbesserungsbedarf bei ihren IT-Systemen. Deren Alter mache sie anfällig für Pannen und Cyberattacken, warnt die EZB-Bankenaufsicht. Das zeigt die Auswertung von 100 Fragebögen zur Selbsteinschätzung des IT-Risikos bedeutender Banken in der Eurozone. fir Frankfurt – Die Bankenaufsicht der EZB (SSM) will sich infolge einer Umfrage unter Banken deren IT-Systeme, interne Audits und die IT-Festigkeit von Bankvorständen genauer anschauen. So hat die Analyse von 100 IT-Risikofragebögen, die der SSM im ersten Quartal vergangenen Jahres an von ihm überwachte Banken geschickt hatte, unter anderem auch zutage gefördert, dass offenbar ein Zusammenhang zwischen der Cyberresilienz einer Bank und der IT-Expertise im Führungsgremium besteht. Institute mit einer höheren Zahl von Vorstandsmitgliedern mit IT-Fachkenntnissen geben demnach zumindest laut Selbstauskunft höhere Ausgaben für IT-Innovationen und eine genauere Überwachung der IT-Risiken an, als dies in Banken mit einer geringeren Anzahl von Vorstandsmitgliedern mit IT-Fachwissen der Fall ist. Zudem bewerteten sie ihre IT-Risiken als niedriger. So seien weniger Cyberattacken erfolgreich und die Ausfallzeiten kritischer IT-Systeme kürzer. “Für Institute, die eine höhere Zahl von Vorstandsmitgliedern mit IT-Fachkenntnissen haben, fällt dies mit einer Reihe positiver Merkmale zusammen”, so der SSM.Diese und weitere Erkenntnisse aus den Selbstbewertungen sollen das Bewusstsein für das IT-Risikomanagement innerhalb der Banken erhöhen und ihre Widerstandsfähigkeit, die als kritischer Faktor für die Finanzstabilität angesehen werde, möglichst weiter stärken, wünscht sich die Aufsicht, wie sie im “Annual report on the outcome of the Srep IT Risk Questionnaire” darlegt. Mit Blick auf die IT-Expertise von Führungskräften heißt das, dass sie sich “auf die kollektive Eignung der Gremien im Hinblick auf ihr IT-Fachwissen” konzentrieren werde – ein Hinweis darauf, dass sie bei der Fit-&- Proper-Prüfung genauer hinschaut, um sicherzustellen, dass die in Bankvorständen bislang eher rar gesäte IT-Kompetenz stärker Beachtung findet. Bei den Prüfungen geht es um die Beurteilung der Eignung für Leitungspositionen nach fachlichen und persönlichen Kriterien. Mehr Cyber-MeldungenCyberrisiken gehören zu den Aufsichtsprioritäten des SSM für 2020, der IT-Defizite und Cyberkriminalität mit zu den höchsten Risiken für die bedeutenden Banken der Eurozone zählt. Sie sind seit 2017 verpflichtet, der EZB schwere Vorfälle, d. h. Cyberangriffe ebenso wie IT-Pannen, mitzuteilen. Die Zahl der Meldungen im Zuge dieses Cyber Incident Reporting Framework nehme Jahr für Jahr zu, heißt es vom SSM, wobei der Großteil der Vorfälle auf böswillige Absicht zurückgehe (vgl. BZ vom 15. Mai). Darüber hinaus nehmen Aufsichtsteams im Rahmen des aufsichtlichen Überprüfungs- und Bewertungsprozesses (Srep) auch IT-Inspektionen vor Ort vor.Die Analyse zeigt laut SSM auch, dass eine Reihe kritischer Geschäftsprozesse in erheblichem Maße von Systemen abhängig ist, die am Ende ihrer Lebensdauer (End of Life/EOL) angekommen sind (s. Grafik), und zwar auch solchen, die kritische Prozesse in den Instituten unterstützten. “Die allgemeine Präsenz von EOL-Systemen nimmt zu, wodurch die Institutionen möglichen Schwachstellen stärker ausgesetzt sind”, heißt es in dem Report. Die Bankenaufsicht plane deshalb, sich verstärkt eben jenen Instituten zu widmen, mit dem Ziel, die Abhängigkeiten von EOL-Systemen zu verringern.Darüber hinaus gedenkt sie, sich interne IT-Prüfungen der Banken genauer anzusehen. Wünschenswert sei, dass alle kritischen IT-Funktionen intern beurteilt würden, lässt sie wissen. Bestimmte IT-Bereiche seien nämlich nicht vollständig abgedeckt worden.