Cyberangriffe haben klassische Finanzrisiken als Top-Risiko der Branche abgelöst: Der Anteil der Banken, die das Cyber-Risiko als zentrale Herausforderung bis 2030 sehen, hat sich seit 2021 vervierfacht.
Zwischen Selbsteinschätzung und gemessenem Reifegrad klafft eine systematische Lücke. Das zeigt sich bei Governance und dem IKT-Asset-Management.
Den Unterschied macht künftig nicht Aktivität, sondern Steuerung: Ein verdichtetes KPI-Set ist einer der wichtigsten Hebel.
Die Studie zeigt einen Shift von klassischen zu digitalen Risiken. Für die Steuerung der digitalen Risiken und damit zur Stärkung der digitalen Resilienz braucht es entsprechende Instrumente. Gerade hier gibt es eine Diskrepanz aus Selbstwahrnehmung und tatsächlicher digitaler Resilienz. Es bedarf an klaren und passenden KPIs zur Steuerung der Risiken.
Ergebnisse der Studie zu IKT-Risiken 2025: Die Branche tut viel und überschätzt die Wirkung bereits getroffener Maßnahmen
Schon zum zweiten Mal nach 2021 gibt es unsere großangelegte Studie zu den IKT-Risiken bei Banken und Versicherungen. Und die Ergebnisse haben es in sich, spiegeln sie doch den allgemeinen Wandel in der Finanzbranche wider und werfen ein Schlaglicht auf die Herausforderungen von morgen.
Die Studie dokumentiert ein hohes Selbstbewusstsein: 79 Prozent der Finanzinstitute halten ihre IT-Governance und IT-Strategie für „State of the Art“, 78 Prozent ihr IT-Asset-Management. Hinter diesen Zahlen liegen jedoch belastbare Befunde, die ein anderes Bild zeichnen: Nur 44 Prozent der Banken verfügen über eine zentrale Übersicht ihrer IT‑Systeme. Das bedeutet einen Rückgang von 50 Prozentpunkten gegenüber 2021. Ein Drittel der Vorstände gilt im Hause selbst als nicht ausreichend zu IT-Sicherheit geschult. Und nur 11 Prozent der Institute betreiben ein End-to-End-digitalisiertes internes Kontrollsystem.
Diese Zahlenpaare beschreiben ein kritisches Paradoxon. Die Branche investiert, dokumentiert und etabliert Strukturen. Die Ergebnisse sind sichtbar an einem voll ausgebauten Information Risk Management System in vielen Instituten, an intensiven DORA-Programmen und an stringent implementierten Three-Lines-of-Defence-Modellen in fast allen Häusern. Sichtbar wird aber auch, dass diese Aktivitäten häufig nicht in operativ gesteuerte IKT-Risikomodelle übersetzt werden. Die Lücke entsteht zwischen der Aufbau- und Ablauforganisation und der tatsächlichen Steuerung. Genau diese Diskrepanz ist es, die den Reifegrad der Branche heute begrenzt.
Die Risiko-Bewertung hat sich verändert, es braucht neue Steuerungshebel
Der allgemeine Wandel hat zu einer deutlichen Verschiebung der Risiko-Bewertung geführt. Er spiegelt sich in den drei meistgenannten Makrotrends bis zum Jahr 2030 wider. Der Anteil der befragten Banken, die Cyberangriffe für kritisch halten, hat sich von 16 Prozent im Jahr 2021 auf 64 Prozent im Jahr 2025 vervierfacht. In der Liste rangieren ebenfalls weit oben die Gefahren aufgrund der Digitalisierung, ihr Anteil bei den Nennungen stieg von 34 auf 58 Prozent.
Diese Ergebnisse reflektieren die gemessene Realität: Angriffe sind heute stärker technologiegetrieben und zielen oft auf die Kunden ab. Damit entsteht ein erhebliches Reputationsrisiko für die Institute. Parallel dazu sehen wir schon seit einiger Zeit, dass sich die Strategien der Angreifer häufig in Richtung Erpressung verschieben – etwa mittels Ransomware und durch den Versuch von Systemunterbrechungen.
Aus den Studienergebnissen und unserer Projekterfahrung lassen sich zwei zentrale Steuerungsimpulse ableiten, die in der Praxis den größten Hebel auf den tatsächlichen Reifegrad haben. Gleichzeitig zahlen diese auf die Anforderungen aus den Artikeln 5, 6 und 9 DORA ein.
Erstens: ein verdichtetes KPI-Set für die Geschäftsleitung. Drei bis fünf Indikatoren, etwa Vorfallhäufigkeit, mittlere Wiederherstellungszeit für kritische Services, Anteil getesteter Notfallpläne, validierte Drittparteien und Anzahl kritischer Audit-Findings. Dieses Set ermöglicht ein managementtaugliches Dashboard und gibt dem Vorstand in wenigen Minuten eine belastbare Steuerungsgrundlage. Mehr braucht es nicht; weniger genügt nicht.
Zweitens: ein zentrales IT-Asset-Repository als Voraussetzung für alles andere. Ohne belastbare Asset-Übersicht sind weder Incident Response noch Drittparteiensteuerung noch BCM-Tests auf eine fundierte Basis gestellt. Der Rückgang der zentralen Datenhaltung von 94 auf 44 Prozent ist deshalb ein alarmierendes Einzelresultat der Studie, welches das eingangs erwähnte Paradoxon aus wahrgenommener Sicherheit und tatsächlicher Resilienz unterstreicht.
Alle Trends zu IKT-Risiken in der Finanzbranche: unsere Studie
Die detaillierten Ergebnisse, auch zu Themen wie BCM, IT-Assetmanagement, Cyber Fraud und mehr, finden Sie in unserer Studie “Digitale Resilienz im Realitätscheck”, die Sie kostenfrei auf unserer Webseite herunterladen können:
Kohärente Strategie erforderlich
Die Ergebnisse der Studie zeigen nicht nur eine veränderte Bedrohungslage, sie werfen auch ein Schlaglicht auf die Awareness der Institute. So wird ein hoher Aufwand betrieben, um Gefahren abzuwenden. Doch bleibt noch einiges zu tun. Zum Beispiel zeigt unsere Erfahrung, dass Governance und Verantwortlichkeiten im Management-Body weiter geschärft werden müssen. Wer in den kommenden Jahren bestehen will, wird sich nicht mehr durch Aktivität differenzieren Der Faktor der die Institute mit herausragender digitaler Resilienz vom Rest unterscheiden wird, ist Steuerung: Vorstand und Geschäftsleitung verstehen in diesen Häusern, wie resilient ihr IKT Risikomanagement tatsächlich ist, und mit welchen Mitteln sie die digitalen Risiken belastbar steuern können. An diesem Punkt setzt strategische Arbeit heute an.
Verfasst von
Director
