Angst vor dem SystemabsturzEuropäische Zentralbank testet Banken – weil sie Horrorszenario fürchtet
Die Gefahr von Hackerangriffen auf Europas Banken – darunter die UBS – steigt. Die Folgen wären fatal. Jetzt handelt die neue Bankenaufseherin.
In ihrer ersten grossen Rede als neue Chefin der Bankenaufsicht der Europäischen Zentralbank (EZB) warnte Claudia Buch am Dienstag die Banken vor wachsenden Risiken. Sie nannte gestiegene Zinsen und Energiepreise, gesenkte Wachstumsprognosen, steigende klimabedingte Risiken und zunehmende Zahl der Cyberangriffe.
Doch vielen Banken fehle «die erforderliche Risikosensitivität», mahnte Buch. Die neuen Risiken würden derzeit nur unzureichend in den Risikomanagement-Prozessen der Banken berücksichtigt. «Entscheidungen der Banken könnten daher auf fehlerhaften oder unvollständigen Informationen beruhen.»
Die Europäische Zentralbank überwacht zurzeit 113 Grossbanken aus dem Euroraum, darunter die UBS Europe SE, eine in Frankfurt ansässige Tochterfirma der Schweizer Grossbank UBS. Deren Kerngeschäft bildet die Vermögensverwaltung für reiche Privatkunden. Sie verwaltet gemäss der EZB in zehn Ländern Vermögen zwischen 30 und 50 Milliarden Euro.
Unternehmensinsolvenzen und Kreditrisiken könnten zunehmen, hoch verschuldete Kreditnehmer mit schwachen Geschäftsmodellen unter Druck geraten, warnte Buch.
Bei einem Cyberangriff auf eine grosse Bank geht schnell nichts mehr
Das grösste Risiko sieht die Europäische Zentralbank durch Hackerangriffe. In der zweiten Januarwoche sandte sie einen Katalog mit 478 Fragen an alle von ihr beaufsichtigten Banken, darunter die UBS Europe SE. Die Finanzaufsicht will damit herausfinden, welche Abhängigkeiten es im europäischen Bankensystem gibt.
Und sie will testen, welche Folgen ein gelungener Hackerangriff auf eine der grossen Banken und die Informatikdienstleister der Branche haben könnte: Was wäre wenn? Könnten die Banken noch Geld auszahlen, überweisen, abbuchen? Wie schnell sind sie in der Lage, betroffene Systeme wieder hochzufahren oder zu ersetzen?
Was die EZB da testet, könnte sich in der Realität für die Finanzbranche und damit die gesamte Volkswirtschaft schnell zum Horror entwickeln. «Die Gefahr von Cyberangriffen steigt, die Abhängigkeiten von einigen grossen IT-Dienstleistern wachsen», warnte Mark Branson, der Chef der deutschen Finanzaufsicht und frühere Chef der Eidgenössischen Finanzmarktaufsicht, im neuesten Risikobericht seiner Behörde.
Gehen die Systeme einer wichtigen Bank unter einem Cyberangriff in die Knie, geht schnell nichts mehr. Unternehmen können weder Löhne noch Rechnungen bezahlen. Vermieterinnen und Vermieter erhalten ihre Miete nicht mehr. Internationale Zahlungsströme kommen zum Erliegen – im schlimmsten Szenario, so die Angst der Aufseher, fällt ein Dominostein des Systems nach dem anderen. Es ist daher wichtig, auf diese Situation vorbereitet zu sein.
Ein Desaster im Kernbankensystem ist möglich
Wie schwerwiegend sich der Ausfall eines einzigen Dienstleisters auswirken kann, zeigt ein aktueller Fall: In den USA war die ICBC Financial Services, eine US-Tochter der chinesischen Bank ICBC, Anfang November einer Erpresserattacke der Hackergruppe Lockbit zum Opfer gefallen. Die Bank ist klein, doch der Angriff hatte Auswirkungen weit über sie hinaus.
Da die Bank als Verrechnungsstelle für den Handel mit US-Schatzbriefen diente, kam dieser teilweise zum Erliegen. Zwar nur kurzfristig. Doch andere Banken konnten nicht mehr nachvollziehen, wie viele Papiere sie halten, wie gross die Risiken in den eigenen Büchern waren. Im Wertpapierhandel ist das ein Riesenproblem.
Ein solches Desaster im Kernbankensystem ist das Horrorszenario für alle Aufseher: Wenn Banken ihre Risikopositionen nicht mehr kennen, geht das schnell an die Existenz, weil keiner mehr die Zahlungsfähigkeit des Hauses einschätzen kann.
Nun fragt die EZB detailliert ab, wie oft die Banken etwa die Integrität ihrer Daten in ihren Systemen überprüfen, welche Abhängigkeiten zwischen den Servern der Bank und denen bei verschiedenen Dienstleistern bestehen. Die Aufseher wollen insbesondere feststellen, welche Dienstleister allenfalls systemrelevant sind, weil sie grenzübergreifend mehrere grosse Banken im Hoheitsgebiet der EZB bedienen.
Ein zentraler Dienstleister, der ausfällt, ist wie ein Verkehrsknoten, auf dem ein Stau für Stillstand sorgt. Und hält der lange an, Stunden, Tage, vielleicht sogar Wochen, dann ist das Chaos perfekt.
Die UBS ist sich des steigenden Risikos bewusst
Bis Ende Februar haben die Banken Zeit, die Fragen der Aufseher zu beantworten, Ende Januar schon mussten sie einen ersten Zwischenstand liefern. Bei der Prüfung der Antworten achten die Aufseher laut einem Beteiligten darauf, ob Dienstleister und Banken zueinander passende Antworten liefern. Wenn die eine Seite behauptet, man könne Daten innerhalb von 24 Stunden wiederherstellen, die andere Seite aber deutlich längere Reaktionszeiten für das Back-up-System angibt, dann gibt es da ein Problem.
Parallel werden 28 Banken in der EU einem realen Stresstest unterzogen. Im März bekommen sie eine Woche lang Besuch von der EZB. Dann müssen sie vorführen, dass sie ein Back-up ihrer Daten aus dem Tiefschlaf wecken und auf einem Testsystem zum Laufen bringen können. Geprüft wird: Wie viel Zeit vergeht, bis die Bank das Problem bemerkt? Wie schnell ist das Back-up verfügbar? Ab wann können die einzelnen Abteilungen der Bank wieder ihre Kernfunktionen erfüllen?
Sie sei sich des steigenden Risikos von Hackerangriffen durchaus bewusst, schrieb die UBS in ihrem letzten Geschäftsbericht. «Wir bauen unsere Cyber-Fähigkeiten weiter aus.» Cyberattacken seien eines der «Top-Risiken».
Fehler gefunden?Jetzt melden.
