Die Finanzaufsicht erhält täglich Meldungen über Cyberangriffe auf deutsche Banken. Die Behörden sind deshalb alarmiert. Auch in zwei anderen Bereichen sehen sie große Risiken.
Frankfurt. Die steigenden Gefahren durch Cyberangriffe treiben die Bankenaufsicht um. „Die Angreifer werden immer professioneller“, sagte Raimund Röseler, der oberste Bankenaufseher der deutschen Finanzaufsicht Bafin, am Montag bei der Handelsblatt-Tagung Bankenaufsicht. „Wer denkt, alle Risiken im Griff zu haben, liegt mit hoher Sicherheit falsch.“
Die Bafin erhalte täglich Meldungen über Cyberattacken auf Banken, sagte Röseler. Irgendwann werde es zu einem groß angelegten, erfolgreichen Angriff kommen. „Dann wird es darauf ankommen, wie gut das betroffene Unternehmen darauf vorbereitet ist.“
Röselers Horrorszenario ist ein Cyberangriff, mit dem Hacker alle Konten einer großen deutschen Bank leer räumen. Die Wahrscheinlichkeit, dass es dazu komme, sei zwar „furchtbar gering“, sagte der Bafin-Exekutivdirektor. „Aber wenn es dazu kommt, ist der Schaden extrem hoch.“
Die Bafin will ihre Aktivitäten bei der Überwachung von IT-Risiken deshalb verstärken. Ihr Fokus liegt dabei auf dem Risikomanagement der Banken. Angesichts der erhöhten Gefahrenlage steigt der Druck auf die Geldhäuser, ihre IT-Sicherheit zu erhöhen.
Die zuletzt stark gestiegenen Gewinne der Geldhäuser seien „eine gute Gelegenheit“, mehr in zeitgemäße IT-Systeme zu investieren, sagte Claudia Buch, die Chefin der EZB-Bankenaufsicht. Die Aufsichtsbehörden hätten da „klare Erwartungen“ an Bankmanager.
Buch zufolge haben 90 Prozent aller Banken mindestens ein veraltetes System in Gebrauch. Würden diese Systeme nicht beizeiten ersetzt, seien die Institute anfällig für Cyberrisiken. „Das ist eine riesige Aufgabe, vor der die Branche steht.“
Die Bundesbank hat nach Angaben des Zentralbereichsleiters Bankenaufsicht, Karlheinz Walch, „vielfache und schwerwiegende Mängel“ bei etlichen Geldinstituten festgestellt. Walch fordert sie auf, zu investieren und ihr IT-Management den gestiegenen Risiken anzupassen. „Es gibt erheblichen Nachholbedarf.“
Laut José Manuel Campa, dem Chef der EU-Bankenaufsichtsbehörde Eba, hat die Zahl der Cyberangriffe in den vergangenen Jahren zugenommen, aber nicht die dadurch verursachten Schäden. „Ich weiß aber nicht, ob das daran liegt, dass unsere Abwehrsysteme so gut sind oder ob wir einfach Glück hatten“, sagte Campa.
» Lesen Sie auch: Eba-Chef: „Banken müssen sich auf mehrjährige Krise einstellen“
In Deutschland hatte Ende 2023 ein Kontoraub bei der Commerzbank für Aufsehen gesorgt. Dabei hatten Kriminelle die Konten von mehr als 100 Kunden leer geräumt. Verantwortlich war nach Angaben der Bank ein Fehler bei einem Software-Update bei einem Dienstleister. Die Bafin hatte bereits Anfang des Jahres angekündigt, dass sie die Auslagerungen von Banken genauer überwachen will.
Bafin warnt vor „Alte-Weiße-Männer-Syndrom“
Zudem will die Behörde bei Defiziten im Management und der Unternehmensführung (Governance) hart durchgreifen. Schieflagen von Banken entstünden meist, weil die Governance schlecht sei und das Risikomanagement miserabel, sagte Röseler. „Deswegen ist uns dieses Thema extrem wichtig.“
Bei vielen Banken, die in den vergangenen Jahren pleitegingen, habe er ein „Alte-Weiße-Männer-Syndrom“ beobachtet, sagte Röseler. „Es gab immer eine starke Figur. Und dann wurden Risiken schlagend, weil diese starke Figur sich vielleicht selbst überschätzt hat.“ Als Beispiele für Banken mit schlechter Governance nannte Röseler unter anderem die Maple Bank, die Dero Bank, die North Channel Bank und die 2021 pleitegegangene Greensill Bank.
Aktuell sorgt die Volks- und Raiffeisenbank Bad Salzungen Schmalkalden für Schlagzeilen. Die Bafin hat Ende 2023 einen Sonderbeauftragten in die Thüringer Bank geschickt, der hohe Verluste drohen. Den Vorwurf, die Bafin habe zu spät eingegriffen, wies Röseler zurück. Jeder, der die Presse verfolge, wisse, „dass wir nicht erst Ende letzten Jahres aktiv geworden sind“, sagte er. Auf der Wegstrecke habe die Bafin aber „auch mal eine Niederlage erfahren“.
Röseler spielt damit darauf an, dass die Bafin bereits 2020 versucht hatte, den langjährigen Bankchef Stefan Siebert abzuberufen. Dann stellte die Staatsanwalt jedoch ein Ermittlungsverfahren gegen Siebert ein, woraufhin die Bafin ihr Absetzungsverfahren aussetzte. Nach dem Rückzug von Siebert Ende 2023 führt bei der Bank aktuell ein Sonderbeauftragter der Bafin die Geschäfte.
Röseler und seine Kollegin Buch finden es wichtig, dass die Bankenaufsicht bei Missständen zügig eingreift. Die Chefin der EZB-Bankenaufsicht verwies in diesem Zusammenhang auf die Schieflagen der amerikanischen Silicon Valley Bank und der Schweizer Großbank Credit Suisse im Frühjahr 2023 hin.
„Vor einem Jahr haben wir gesehen, was passieren kann, wenn die Aufsicht Erkenntnisse hat, welche Probleme es in Banken gibt, aber nicht schnell genug handelt“, sagte Buch. „Wenn wir bestimmte Erkenntnisse haben, was in den Banken schiefläuft, müssen wir einfach schneller handeln und auch klarer sagen, was dann unsere Handlungsoptionen sind und was wir tun.“
Gewerbeimmobilien: Lage bleibt herausfordernd
Sorgen bereitet der Bankenaufsicht auch der Gewerbeimmobilienmarkt, der wegen gestiegener Zinsen und Baukosten sowie des Trends zu mehr Homeoffice unter Druck steht. „Das ist schon ein Bereich, auf den wir sehr intensiv achten“, sagte Buch.
Das Gewerbeimmobilienportfolio der Banken sei gemessen an ihrer gesamten Bilanz zwar nicht besonders groß. Der Anteil an notleidenden Krediten in dem Segment sei mit etwa vier Prozent aber „fast doppelt so hoch wie für das Kreditportfolio insgesamt“.
Die Lage am Immobilienmarkt werde 2024 herausfordernd bleiben, sagte Jens Tolckmitt, Hauptgeschäftsführer des Pfandbriefverbands. Mit einer Stabilisierung der Preise am Gewerbeimmobilienmarkt rechnet er nicht vor Ende des Jahres.
„Die Risiken bei Gewerbeimmobilien sehen wir vor allem in den USA“, sagte Bafin-Aufseher Röseler. Dort seien nur wenige deutsche Institute aktiv. Er mache sich deshalb „nicht flächendeckend Sorgen um die Banken“.
Es gebe aber „sicherlich die eine oder andere Bank, die da besonders exponiert ist, die vielleicht auch sehr spät das Wachstumsfeld für sich gefunden hat und dann natürlich zu einem miserablen Zeitpunkt in diesen Markt eingestiegen ist“, sagte Röseler. In solchen Fällen stelle sich die Frage, ob eine Bank Geschäfte gemacht habe, „die sie nicht wirklich beherrscht“. „Das macht uns schon in Einzelfällen Sorgen.“
Von den deutschen Finanzierern von Gewerbeimmobilien stand zuletzt besonders die Pfandbriefbank aus Garching bei München im Fokus. Sie hatte den US-Markt erst 2017 für sich entdeckt und ihr Kreditportfolio bis Ende 2023 auf gut fünf Milliarden Euro gesteigert. Das entspricht etwa einem Sechstel des gesamten Immobilienkreditportfolios des Instituts und rund zehn Prozent der Bilanzsumme.