Die Europäische Zentralbank (EZB) wird voraussichtlich im Laufe dieser Woche die Ergebnisse ihres ersten Cyber-Stresstests veröffentlichen. Wie den vorläufigen Berichten laut KPMG Deutschland zu entnehmen ist, hätten die meisten Kreditgeber weniger schwerwiegende Probleme gehabt. Die Angaben beziehen sich auf die über ein Dutzend Banken, die der Wirtschaftsprüfer beraten hat.

Bei mehreren Kreditinstituten lagen aber dennoch wesentliche Mängel vor. So zum Beispiel, dass sie zu lange brauchten, um ihre Systeme wieder zum Laufen zu bringen oder dass sie den Angriff intern und extern mangelhaft kommunizierten, erklärt Peter Hertlein, Direktor Cybersicherheit und IT-Compliance im Finanzdienstleistungssektor bei KPMG Deutschland. Ein Sprecher der EZB lehnte eine Stellungnahme ab.

Hohe Priorität wegen Russland
Die EZB hat den Test im vergangenen Jahr angekündigt. Insbesondere aufgrund der Spannungen mit Russland haben die Regulierungsbehörden dem Thema inzwischen hohe Priorität eingeräumt. Die Prüfung wird als Übung zur Verbesserung des Risikomanagements der Banken verstanden – und soll sich laut EZB nicht direkt auf deren Kapitalanforderungen auswirken. Wie anfällig das globale Finanzsystem ist, haben mehrere Angriffe auf Dienstleister und die Folgen des massiven globalen IT-Ausfalls von vergangener Woche deutlich gemacht.

"Bei manchen Banken war oft nicht klar, welche Verantwortung im Falle eines Angriffs die Bank und welche der Dienstleister trägt", sagte Hertlein in einem Interview. Er wollte die Namen der von KPMG beratenen Banken nicht nennen.

An dem Test nahmen insgesamt 109 Banken teil, wobei einige aufgrund ihrer Bedeutung stärker unter die Lupe genommen wurden als andere. Ab Januar mussten die Banken einen simulierten erfolgreichen Cyberangriff bewältigen und der Aufsichtsbehörde über ihre Maßnahmen berichten.

"Banken müssen investieren"
Die Ergebnisse der einzelnen Banken sollen nicht veröffentlicht werden. Laut Hertlein setzt die Aufsichtsbehörde den Instituten jedoch Fristen, innerhalb derer sie Maßnahmen zur Beseitigung der aufgetretenen Probleme ergreifen müssen. Dies geschieht normalerweise im Rahmen regelmäßiger Bewertungen der Risiken, denen die einzelnen Geldhäuser ausgesetzt sind.

Letztendlich bedeutet das, dass "die Banken investieren müssen", sagt Hertlein. Weitere Tests dieser Art könnten folgen, die nicht unbedingt von der EZB, sondern möglicherweise von nationalen Behörden durchgeführt werden, fügte er hinzu. (mb/Bloomberg)