Banken werten ihre IT-Governance und IT-Strategy als „State of the Art”.
Aufsichtsrechtliche Vorgaben werden weitgehend verstanden und umgesetzt.
Transparenz und Verantwortung der Geschäftsführung in Bezug auf IT-Sicherheit sinken.
Das IKT-Risikomanagement spielt eine zentrale Rolle in der Finanzbranche. Doch wie werten die Banken ihre Anstrengungen bei der Umsetzung der aufsichtsrechtlichen Vorgaben? Und deckt sich dieses Selbstbild mit der Realität? Unsere IKT-Studie lässt interessante Rückschlüsse zu.
IKT-Risikomanagement: Steiniger Weg in Richtung Compliance
Regulatorische Anforderungen prägen die Finanzbranche in vielerlei Hinsicht. Unsere IKT-Studie zeigt an diversen Stellen sehr deutlich, dass die Banken einen hohen Aufwand zur Umsetzung einer geeigneten IT-Governance-Struktur betreiben. Die Antworten verdeutlichen ebenfalls, dass die Bemühungen in die richtige Richtung gehen. So lassen die Ergebnisse im Themenspektrum IT-Strategy & IT-Governance etwa die Schlussfolgerung zu, dass die aufsichtsrechtlichen Vorgaben weitgehend verstanden und umgesetzt werden. Denn ein beeindruckender Anteil von 82 Prozent der befragten Banken kennt die Mindestanforderungen an die IT. Diese Einschätzung kommt nicht von ungefähr, die meisten Institute haben strukturierte Kontrollmechanismen etabliert. Die IT-Security-Frameworks sind offensichtlich vorhanden.
Doch nicht (mehr) so überzeugt vom eigenen IKT-Risikomanagement?
Dieses positive Selbstbild im Hinblick auf die Umsetzung der regulatorischen Anforderungen äußert sich in den Zahlen: 82 Prozent der Banken werten die eigene IT-Governance und IT-Strategy als „State of the Art“. Ein Vergleich mit den Studienergebnissen aus dem Jahr 2021 zeigt jedoch einen bemerkenswerten Rückgang um 18 Prozent. Offensichtlich macht sich eine gestiegene regulatorische und technologische Komplexität bemerkbar. Dennoch bleibt es bei einem überaus positiven Signal, das von großer Erfahrung im Umgang mit der Regulatorik zeugt. Allerdings lässt sich dieses fast schon makellose Selbstbild kritisch hinterfragen: Führt der hohe Aufwand, der in diesem Bereich zweifellos getrieben wird, zu einer womöglich verfrühten Gewissheit? Lässt sich die Beschäftigung mit der Regulatorik automatisch mit dem Umsetzungserfolg gleichsetzen?
Auch an anderer Stelle deuten die Studienergebnisse darauf hin, dass die Antworten auf die gestellten Fragen zwiespältig ausfallen. So geben 2025 nur noch 69 Prozent der Banken an, dass die Geschäftsführung über volle Transparenz und Verantwortung für die IT-Sicherheit verfügt, was einen Rückgang um 22 Prozentpunkte seit 2021 darstellt. Dieses Ergebnis deutet auf ein potenzielles Risiko hin. Doch offensichtlich wächst das Bewusstsein in dem Bereich. Vor allem die DORA-Richtlinie hebt die Verantwortung der Geschäftsleitung noch einmal hervor. Daher erscheint es sinnvoll, das IKT-Risikomanagement-Framework zu festigen. Dazu gehören zum Beispiel Aufbau und die Pflege eines integrierten Frameworks mit Strategien, eine IKT-Referenzarchitektur, Verfahren zur Identifizierung, Bewertung, Steuerung und Überwachung von IKT-Risiken sowie (Teil-)Pläne zum Business-Continuity-Management und Incident-Management inkl. regelmäßiger Überprüfung und konsistenter Dokumentation.
Die Studie ist kostenfrei verfügbar!
Unsere Studie „Digitale Resilienz im Realitätscheck“ steht kostenfrei für Sie zum Download bereit. 50 Banken und 53 Versicherungen wurden zu den Themen IT-Strategy & IT-Governance, Cyber Risk, Cyber Fraud, AML, Business Continuity Management, Third Party Risk und IT-Asset-Management sowie zum Stellenwert von IKT-Risiken im Vergleich zu klassischen Finanzrisiken befragt:
Verfasst von
Director
Head of Non-Financial Risk Management
