Risiko-Szenario Blackout: Was für Finanzdienstleister jetzt zu tun ist

Mit einem strukturierten Healthcheck wappnen sich Banken gegen mögliche Folgen der Krise

Blackout Resilienz Risikomanagement
veröffentlicht am 15.12.2022 | Lesezeit: ca. 3 Minuten

Keyfacts:

  • Mit der Energiekrise, möglichen Anschlägen auf kritische Infrastrukturen oder Naturkatastrophen wird das Eintreten von Blackout-Szenarien wahrscheinlicher – operationelle Risiken steigen.
  • Die bisherigen Notfallpläne bei Finanzdiensteistern gehen von lokal begrenzten Ereignissen aus – doch das greift für das Aufrechterhalten des operativen Betriebs zu kurz.
  • Zur Erfüllung der MaRisk müssen Ausfallszenarien und Notfallpläne künftig breiter gedacht werden – ein strukturierter Risiko-Healthcheck hilft dabei.

In vielen Banken wird seit Wochen darüber diskutiert, wie sich Energie sparen lässt. Da wird die Nachtbeleuchtung eingeschränkt und die Heizung heruntergeregelt. Denn Energie ist knapp und teuer in diesem Winter, und auch die Angst vor Stromausfällen steigt.

Großflächige und langanhaltende Stromausfälle – sogenannte Blackouts – hat es in Deutschland bisher nicht gegeben. Und laut der Bundesregierung bleiben diese auch weiterhin sehr unwahrscheinlich. Doch für den Winter 2022/2023 kann eine stundenweise krisenhafte Situation im Stromsystem aufgrund der aktuellen Ereignisse auf dem Energiemarkt nicht vollständig ausgeschlossen werden – zu diesem Ergebnis kam eine Sonderanalyse („Stresstest“) des Bundesministeriums für Wirtschaft und Klimaschutz.

Hinzu kommt: Aufgrund des Klimawandels und der geopolitischen Veränderungen steigt die Eintrittswahrscheinlichkeit von Naturkatastrophen und terroristischen Anschlägen. Und mit einer zunehmenden digitalen Vernetzung steigt auch die Gefahr von Cyberangriffen, deren Anzahl in den vergangenen Jahren ohnehin erheblich gestiegen ist. All diese Faktoren lassen die Gefahr eines Stromausfalls mit weitreichenden Auswirkungen für den Finanzsektor im Vergleich zu früheren Szenarien deutlich steigen – das aktive Management dieses operationellen Risikos ist gefragt.

MaRisk gibt den Rahmen vor – doch Notfallpläne sind oft auf lokale Ereignisse beschränkt

Finanzdienstleister und insbesondere Banken sind – allein aufgrund der Vorgaben der Mindestanforderungen an das Risikomanagement (MaRisk) – dazu verpflichtet, Risiken für den operativen Kerngeschäftsbetrieb zu erheben und Notfallpläne im Rahmen des Business Continuity Managements (BCM) vorzuhalten. Entsprechend existieren in allen Instituten Notfall- bzw. Geschäftsfortführungspläne.

Eine nähere Betrachtung dieser Planungen und der Austausch mit Expert:innen in den Banken zeigt jedoch: Diese gehen in aller Regel von lokal begrenzten Ereignissen aus, also zum Beispiel von einem Stromausfall am Standort oder einer regionalen Naturkatastrophe. Im Mittelpunkt der Notfallpläne steht daher häufig die Fortführung der kritischen Geschäftsaktivitäten an einem anderen Standort, beispielsweise in für Notfälle vorgehaltenen Ausweichflächen oder durch das Arbeiten im Homeoffice.

Handel, Zahlungsverkehr und IT am Laufen halten: Neue Perspektive gefragt

Im aktuellen Umfeld steigt jedoch die Wahrscheinlichkeit von großflächigen Stromausfällen – und damit werden Szenarien denkbar, die von den derzeitigen Notfallplänen eher selten abgedeckt sind. Kommt es zu derartigen Ereignissen, könnten auch Ausweichflächen und die Wohnorte der Mitarbeitenden betroffen sein. Die Handlungsfähigkeit für Banken und andere Finanzdienstleister könnte innerhalb kürzester Zeit erheblich eingeschränkt sein.

In den Vordergrund rücken daher Fragen danach, wie insbesondere die geschäftskritischen Prozesse – beispielsweise Handel, Zahlungsverkehr, Wertpapierabwicklung – aufrechterhalten und Verpflichtungen eingehalten werden können. Auch für ein kontrolliertes und sicheres Herunterfahren und ein Wiederanlaufen des Geschäftsbetriebs für einen länger anhaltenden Stromausfall müssten entsprechende Pläne entwickelt werden. Gleiches gilt für alle ausgelagerten Dienstleistungen, beispielsweise die IT-Infrastruktur in zentralen Rechenzentren.

Dabei sind in der Vergangenheit übliche theoretische „Walk-Throughs“ oder Schreibtischtests nur eingeschränkt zu empfehlen. Diese Pläne sind nicht bis zum Ende durchdacht. Das lässt sich im möglichst realitätsnahen „Durchspielen“ von Szenarien erkennen: Welche Gebäudeteile sind bei Stromausfall beziehungsweise Notstrom nicht mehr zugänglich wegen elektronischem Zugangsschutz? Wo laufen zwar PCs über Notstrom weiter, Datenkabel/-strecken sind aber nicht nutzbar? Solche Fragen und vor allem Antworten lassen sich kaum aus der reinen Theorie ableiten.

Strukturierte Risiko-Healthchecks helfen

Um zu einer validen Einschätzung zu kommen, ob die vorliegenden Notfall- beziehungsweise Geschäftsfortführungspläne den neuen Risikoszenarien standhalten, empfiehlt sich ein strukturierter Risiko-Healthcheck. Er enthält fünf Bausteine:

  1. Set the Stage – Entwicklung und Überprüfung der Operational-Resilience-Strategie
  2. Take Stock – Identifikation und Überprüfung kritischer Geschäftsprozesse
  3. Know your limits – Festlegung des Risikoappetits und entsprechender Grenzwerte
  4. Prepare for reaction – Entwicklung von Notfallmaßnahmen (BCM) und Durchführung von Stresstests
  5. Roll-out – Umsetzung und kontinuierliche Anpassung der Strategie und der vorgehaltenen Maßnahmen

Mithilfe dieser fünf Schritte werden Schwächen bisheriger Planungen schnell deutlich. Dabei gilt – wie im Risikomanagement fast immer: Auch wenn diese Maßnahmen zunächst Aufwand verursachen, ist dieser gut investiert. Denn treten Blackout-Szenarien ein, ist es für die Entwicklung von passenden Notfallplänen zu spät.

 

Weiterlesen

Future of Risk

Thema vertiefen

Gut aufgestellt für kommende Herausforderungen: Das Risikomanagement für Banken und Versicherungen weitergedacht.

Chief Risk Officer (CRO) in Banken, Versicherungen, Asset Managern und Immobilienunternehmen stehen unter Druck. Auf der einen Seite nehmen die regulatorischen Anforderungen und die Erwartungen interner Stakeholder an das Risikomanagement seit Jahren stetig zu. Es gilt, immer mehr Risiken und Risikotreiber zu erkennen, zu bewerten und zu steuern. Immer häufiger sind Stresstests und Analysen durchzuführen, und immer umfassender soll die Risikoorganisation über die entwickelten Aktivitäten berichten.

Auf der anderen Seite kann sich auch das Risikomanagement dem Effizienzdruck in der Finanzindustrie nicht entziehen. Es muss seine finanziellen und personellen Ressourcen kontinuierlich hinterfragen und Beiträge zu den unternehmensweiten Kostenzielen leisten. Auch eine klar erkennbare Ausweitung der regulatorischen Anforderungen reicht nicht aus, um hohe Kosten oder gar eine Aufstockung des Personals zu rechtfertigen – ein schwieriges Spannungsfeld.

Thema vertiefen
Christian Heichele Partner, Financial Services
Christian Heichele

Gerade gelesen

Risiko Blackout: Was jetzt zu tun ist

Mit einem strukturierten Healthcheck wappnen sich Banken gegen mögliche Folgen der Krise

Weitere Artikel zum Thema

RiskTechs: Potenzial für die Risiko-IT

Wie Risikomanager mit neuen Lösungen steigende Herausforderungen bewältigen können.

Neue EU-Richtlinie IRRD

Mit welchen Herausforderungen Unternehmen rechnen sollten.

Vision Kreditprozess 2030

Wie Banken ihren Kreditprozess zukunftsfähig ausgestalten.

EU AI Act: Klarheit für die Finanzwelt

Gleichzeitig führt die KI-Verordnung auch zu strengeren Compliance-Anforderungen.

Transaktionsmonitoring im Bankenfokus

Die Bekämpfung von Geldwäsche und Terrorismusfinanzierung bekommt oberste Priorität.

Risikomanagement nach Peak-Zins

Banken müssen Szenarien für die neue Zinsphase entwickeln

Suche
Schliessen
© {{year}} KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.