Finanzbrache im Umbruch

"Die Kontrollen sind vielfach ungenügend"

Uhr | Aktualisiert
von freier Journalist

Um Datenklau und IT-Pannen zu verhindern, hat die Eidgenössische Finanzmarktaufsicht veranlasst, dass Banken strenge Kontrollen einführen. Rechtsanwalt Urs Egli und Ökonom Urs Blattmann erklären, was das für die Branche bedeutet.

Hinweis: Autor dieses Artikels ist Christian Wild. Er verfügt über ein Lizenziat in Jurisprudenz und Politischer Ökonomie der Universität Freiburg und arbeitet als PR-Fachmann und freier Journalist.

Die Bankbranche steht an einem Wendepunkt. Sie muss sich Herausforderungen wie dem Kostendruck und neuen regulatorischen Auflagen stellen. Damit Sicherheitslecks wie Datenklau, IT-Pannen und Betrugsfälle nicht mehr auftreten, hat die Eidgenössische Finanzmarktaufsicht (Finma) veranlasst, dass Banken in der Schweiz strengere Kontrollen einführen. Im teilrevidierten Rundschreiben 2008/21 "Operationelle Risiken Banken" konkretisiert die Finma auch Angaben zum Umgang mit elektronischen Kundendaten. Derzeit laufen bei Banken verschiedene Vorbereitungen und Umsetzungsaktivitäten, da das Rundschreiben am 1. Januar 2015 in Kraft tritt. Rechtsanwalt Urs Egli und Ökonom Urs Blattmann nehmen zu aktuellen Fragen Stellung.

Urs Blattmann arbeitet als Ökonom bei Swiss Benchmarking in Zug. Er verfügt über langjährige praktische Erfahrung als Leiter Finanz-Rechnungswesen in der Industrie und als Berater in der Finanzbranche. Urs Egli ist Rechtsanwalt bei ePartners in Zürich und profunder Kenner des Finma-Rundschreibens 2008/21 "Operationelle Risiken Banken".

Herr Blattmann, was sind die Hauptprobleme der Finanzbranche bezüglich operationellen Risiken?

Blattmann: Die operationellen Risiken lassen sich in zwei Sektionen unterteilen. Zum einen in den Bereich, in dem Mitarbeitende der Bank vorsätzlich Verluste zufügen wollen. Das reicht vom Datenklau über Manipulation von Systemen innerhalb der Bank bis zu Marktabsprachen beim Libor oder bei Devisen-Geschäften. Den anderen Bereich bilden jedwelche Fehler aus Unachtsamkeit, die zu einem Schaden führen. Bei beiden Formen zeigt sich, dass die Kontrollen vielfach ungenügend sind. Die Ursachen dafür sind mannigfaltig und reichen vom steigenden Kostendruck, dem Kontrollmassnahmen geopfert werden, bis zur Etablierung von untauglichen Systemen. Die Herausforderung besteht darin, höchstmögliche Sicherheit zu vertretbaren Kosten zu gewährleisten.

In welche Richtung müssen sich die Banken aufgrund des immer stärker werdenden Kostendrucks und der sinkenden Margen bewegen?

Blattmann: Es ist offensichtlich, dass diejenigen Institute, die auch längerfristig im Markt erfolgreich sein wollen, zu günstigeren Kosten produzieren müssen. Dabei dürfen sie nicht vergessen, Potenziale im Markt zu entdecken und sie umzusetzen.

Herr Egli, inwiefern bringt das teilrevidierte Finma-Rundschreiben 2008/21 "Operationelle Risiken Banken" eine Verbesserung des Umgangs mit elektronischen Kundendaten?

Egli: Das Rundschreiben zeigt den Banken auf, dass sie das Bankgeheimnis gegen Datenklau durch interne und externe Diebe besser schützen können, wenn sie die darin dargelegten Grundsätze einhalten. Konkret denke ich an den problematischen Steuersünder-CD-Verkauf an deutsche Steuerbehörden oder an die Entwendung von Daten im Fall Philipp Hildebrand. Das Rundschreiben ist jedoch nur eine Empfehlung und kein Gesetz. Banken sollen einfach ein erhöhtes Augenmerk auf diese Aufgaben richten.

Was bezweckt das Rundschreiben speziell?

Egli: Das Rundschreiben zielt insbesondere auf Massnahmen ab, die in Zusammenhang mit dem Outsourcing von Daten in die Cloud stehen. Gemäss dem «Need-to-know»-Prinzip sollen lediglich diejenigen Personen Zugang zu Informationen haben, die davon unbedingt Kenntnis haben müssen. Meistens sind dies in einer Bank nur wenige Personen. Organisatorisch bedeutet dies für die Banken eine rigorose Einschränkung. Zudem müssen die getroffenen Massnahmen stets durch konsequente Kontrollmechanismen überprüft werden.

Welches sind die heiklen Punkte des Rundschreibens?

Egli: Das Rundschreiben an sich bringt noch nichts. Im Gegenteil: Der Inhalt ist recht kompliziert verfasst. Es stellt sich die Frage, wie die Banken damit umgehen und ob sie dieses Rundschreiben allenfalls einfach an die Softwarelieferanten weiterreichen. Kurz: Es kommt stark auf die Umsetzung der Grundsätze durch die Banken im Praxisalltag ab Januar 2015 an. Erst wenn diese geschickt vonstatten geht, lässt sich das Sicherheitslevel bezüglich Kundendaten steigern. Beispielsweise dürfen Kundenidentifikationsdaten (CID) wie der Name, die Adresse und das Geburtsdatum nie an Drittpersonen gegeben werden respektive nur unter den strengen Voraussetzungen des Rundschreibens. Das gilt natürlich auch für Lieferanten oder Offshore-Firmen in Asien, die für Schweizer Grossbanken oft die Programmierung übernehmen. Die Einhaltung dieser Regeln ist somit mit grossem Aufwand verbunden.

Welche weiteren Herausforderungen stehen an?

Blattmann: Die Herausforderung an sich heisst «Industrialisierung des Bankgeschäfts». Dabei geht es primär darum zu erkennen, wo wir bei dieser Entwicklung überhaupt stehen. Ich mache regelmässig die Erfahrung, dass sich Banker massiv überschätzen und der Auffassung sind, sie hätten schon den Grossteil des Weges zurückgelegt. Dabei stehen sie erst am Anfang der Strecke.

Welche IT-Lösungen bieten hier Hand?

Blattmann: Grundsätzlich sind Systeme und Betriebsmodelle ideal, die sich rasch und flexibel auf neue Gegebenheiten anpassen lassen und dabei noch kostengünstig sind. Man muss in diesem Zusammenhang feststellen, dass die Anforderungen an Lösungen im Banking in den vergangenen Jahren sprunghaft zugenommen haben: Multi-Channel-Handling, vollautomatisierte Prozesse, State-of-the-art-E-Banking und Smartphone-Apps sind nur einige der wichtigsten Anforderungen der Banken.

Wie stellen Sie sich die Industrialisierung von IT-Lösungen konkret vor?

Blattmann: Aufgrund der in allen Bereichen gestiegenen Erwartungen muss sich auch die IT-Industrie überlegen, wie sie die genannten Anforderungen in immer kürzerer Zeit erfüllen kann. Denn diese wirken sich auf die zukünftigen IT-Lösungsangebote aus. Beispielsweise war es früher in der Autoindustrie so, dass die Fertigungstiefe eines Automobilherstellers nahezu 100 Prozent betrug. Mit der Modularisierung ist es gelungen, diese Fertigungstiefe extrem zu senken: Wer etwa einen Porsche kauft, hat stets das Gefühl, ein Auto dieses Herstellers zu fahren, obschon zum Teil über 80 Prozent der Komponenten von Zulieferern stammen! Die Automobilhersteller verfügen inzwischen über das Know-how, wie die einzelnen Bestandteile erfolgreich zu einem Ganzen zusammengefügt und dann unter der eigenen Marke verkauft werden können. Übertragen auf die Schweizer IT-Branche heisst dies, dass wir uns überlegen sollten, ob wir nicht auch auf diese Weise Software entwickeln und deren sicheren Betrieb standardisiert anbieten wollen. Eventuell wären die Kunden sogar bereit, für die Swissness einen höheren Preis zu bezahlen, sofern die Qualität sich vom Rest des Marktes deutlich abhebt.

Herr Blattmann, worüber sprechen Sie am Fachseminar "Finanzbranche im Umbruch" auch noch?

Blattmann: Ich möchte den Teilnehmenden vor allem vor Augen führen, wie gross die Effizienzunterschiede bei Banken heute sind. Denn ohne diese Erkenntnis und der automatisch damit verbundenen Frage, wie es denn andere schaffen, zu wesentlich tieferen Kosten zu produzieren, wird von Industrialisierung zwar viel gesprochen, aber konkret wenig getan.

Fachseminar "Finanzbranche im Umbruch" mit Urs Blattmann und Urs Egli

Die zwei Experten Urs Blattmann und Urs Egli zeigen im Fachseminar "Finanzbranche im Umbruch" auf, wie Banken in diesem schwierigen Umfeld auf den steigenden Kostendruck reagieren und wie sie die neuen regulatorischen Anforderungen angehen können. Angesprochen werden Finanzfachleute, CIOs und weitere interessierte Personen. Anmelden können Sie sich hier.

Das Fachseminar findet am 16. Mai in Basel, am 21. Mai in Bern und am 23. Mai in Zürich statt. Es dauert von von 8 bis rund 10 Uhr. Die Teilnahme ist kostenlos.