Wie gut sind die grossen Banken im Euroraum gegen Angriffe auf ihre IT-Systeme gewappnet? Wie schnell sind Geldhäuser im Ernstfall in der Lage, Cyberattacken abzuwehren? Die Aufseher der Europäischen Zentralbank (EZB) wollen es genauer wissen und starten Anfang 2024 ihren ersten Stresstest zu Cyberrisiken («Cyber Resilience Stress Test»).

«Es wird ein schwerer Cyberangriff simuliert, der den Geschäftsbetrieb unterbricht. Aus Sicht der Institute wird es also ernst», hatte Anneli Tuominen, die Mitglied im Aufsichtsgremium der EZB-Bankenaufsicht ist, im November der «Börsen-Zeitung» gesagt. «Wir wollen wissen, wie die Banken auf einen Cyberangriff reagieren, sich von ihm erholen und den normalen Geschäftsbetrieb wieder aufnehmen. Unser Hauptziel ist, dabei die Schwachstellen der Banken zu ermitteln.»

Partner-Inhalte
 
 
 
 
 
 

Fast alle von der EZB beaufsichtigten Banken

Die Branche erwartet am 2. Januar einen detaillierten Fragebogen mit fast 500 Fragen zu potenziellen Auswirkungen eines Cyberangriff-Szenarios sowie den dann greifenden Notfallplänen.

Fast alle der derzeit 113 direkt von der EZB beaufsichtigten Banken werden nach damaligen Angaben von Tuominen einbezogen. Etwa 20 davon müssen sich voraussichtlich ab März einem erweiterten Test stellen, bei dem sie detailliertere Informationen einreichen müssen. Genau hinschauen will die EZB dort, wo Banken IT-Prozesse an Drittanbieter übergeben, um Geld zu sparen.

Zunehmende Zahl von Angriffen

Die gewaltigen Datenmengen in den IT-Systemen von Banken locken immer wieder Kriminelle an. Die EZB-Aufsicht registrierte zuletzt mehr Cyberangriffe als vor der Corona-Pandemie. Die Bedrohung habe zugenommen. Bislang habe es keinen so schwerwiegenden Angriff gegeben, dass einzelne Institute oder gar das gesamte Bankensystem destabilisiert worden wäre, bilanzierte Tuominen. Doch sie warnte: «Eine erfolgreiche Attacke ist jederzeit möglich.»

Seit der weltweiten Finanz- und Wirtschaftskrise 2008/2009 prüfen Aufseher rund um den Globus mit Stresstests regelmässig, wie anfällig die Geschäftsmodelle von Banken im Krisenfall wären. Geldhäuser müssen dabei bestimmte Szenarien durchrechnen und belegen, dass sie auch unter widrigen Umständen - etwa bei einem Wirtschaftseinbruch, einem Absturz der Immobilienpreise oder steigenden Kreditausfällen - ausreichend Kapital hätten, um ihr Geschäft fortzuführen. Ist das nicht der Fall, verlangt die Aufsicht dickere Kapitalpuffer.