![thumb](https://ictk.ch/sites/default/files/thumbs_teaser/13264-13264140410dr.ursegli1low.jpg "\\"Die Kontrollen sind vielfach ungenu?gend\\"")
Die Bankbranche steht an einem Wendepunkt. Sie muss sich mehreren Herausforderungen stellen, wie zum Beispiel dem zunehmenden Kostendruck und den neuen regulatorischen Auflagen. Damit Sicherheitslecks wie Datenklau, IT-Pannen und Betrugsfälle nicht mehr auftreten, hat die Eidgenössische Finanzmarktaufsicht (Finma) veranlasst, dass Banken in der Schweiz strengere Kontrollen einführen.
Im teilrevidierten Rundschreiben 2008/21 "Operationelle Risiken Banken" konkretisiert die Finma auch Angaben zum Umgang mit elektronischen Kundendaten. Derzeit laufen bei den Banken verschiedene Vorbereitungen und Umsetzungsaktivitäten, da das Rundschreiben am 1. Januar 2015 in Kraft tritt. Die Experten Urs Egli, Rechtsanwalt, und Urs Blattmann, Ökonom, nehmen im nachfolgenden Interview zu aktuellen Fragen Stellung.
Urs Blattmann, was sind die Hauptprobleme der Finanzbranche bezüglich operationellen Risiken?
Urs Blattmann: Die operationellen Risiken lassen sich grundsätzlich in zwei Sektionen unterteilen. Zum einen in den Bereich, in dem Mitarbeitende der Bank vorsätzlich Verluste zufügen wollen. Das reicht vom Datenklau über Manipulation von Systemen innerhalb der Bank bis zu Marktabsprachen beim Libor oder bei Devisen-Geschäften. Den anderen Bereich bilden jedwelche Fehler aus Unachtsamkeit, die zu einem Schaden führen. Bei beiden Formen zeigt sich, dass die Kontrollen vielfach ungenügend sind. Die Ursachen dafür sind mannigfaltig und reichen vom steigenden Kostendruck, dem Kontrollmassnahmen geopfert werden, bis zur Etablierung von untauglichen Systemen. Die Herausforderung besteht darin, höchstmögliche Sicherheit zu vertretbaren Kosten zu gewährleisten.
In welche Richtung müssen sich die Banken aufgrund des immer stärker werdenden Kostendrucks und der sinkenden Margen bewegen?
Blattmann: Es ist offensichtlich, dass diejenigen Institute, die auch längerfristig im Markt erfolgreich sein wollen, zu günstigeren Kosten produzieren müssen. Dabei dürfen sie nicht vergessen, Potenziale im Markt zu entdecken und sie umzusetzen.
Urs Egli, inwiefern bringt das teilrevidierte Finma-Rundschreiben 2008/21 "Operationelle Risiken Banken" eine Verbesserung des Umgangs mit elektronischen Kundendaten?
Urs Egli: Das Rundschreiben zeigt den Banken auf, dass sie das Bankgeheimnis gegen Datenklau durch interne und externe Diebe besser schützen können, wenn sie die darin dargelegten Grundsätze einhalten. Konkret denke ich an den problematischen Steuersünder-CD-Verkauf an deutsche Steuerbehörden oder an die Entwendung von Daten im Fall Philipp Hildebrand. Das Rundschreiben ist jedoch nur eine Empfehlung und kein Gesetz. Banken sollen einfach ein erhöhtes Augenmerk auf diese Aufgaben richten.
Was bezweckt das Rundschreiben speziell?
Egli: Das Rundschreiben zielt insbesondere auf Massnahmen ab, die in Zusammenhang mit dem Outsourcing von Daten in die Cloud stehen. Gemäss dem "Need-to-know"-Prinzip sollen lediglich diejenigen Personen Zugang zu Informationen haben, die davon unbedingt Kenntnis haben müssen. Meistens sind dies in einer Bank nur wenige Personen. Organisatorisch bedeutet dies für die Banken eine rigorose Einschränkung. Zudem müssen die getroffenen Massnahmen stets durch konsequente Kontrollmechanismen überprüft werden.
Welches sind die heiklen Punkte des Rundschreibens?
Egli: Das Rundschreiben an sich bringt noch nichts. Im Gegenteil: Der Inhalt ist recht kompliziert verfasst. Es stellt sich die Frage, wie die Banken damit umgehen und ob sie dieses Rundschreiben allenfalls einfach an die Softwarelieferanten weiterreichen. Kurz: Es kommt stark auf die Umsetzung der Grundsätze durch die Banken im Praxisalltag ab Januar 2015 an. Erst wenn diese geschickt vonstatten geht, lässt sich das Sicherheitslevel bezüglich Kundendaten steigern. Beispielsweise dürfen Kundenidentifikationsdaten (CID) wie der Name, die Adresse und das Geburtsdatum nie an Drittpersonen gegeben werden respektive nur unter den strengen Voraussetzungen des Rundschreibens. Das gilt natürlich auch für Lieferanten oder Offshore-Firmen in Asien, die für Schweizer Grossbanken oft die Programmierung übernehmen. Die Einhaltung dieser Regeln ist somit mit grossem Aufwand verbunden.
Welche weiteren Herausforderungen stehen an?
Blattmann: Die Herausforderung an sich heisst "Industrialisierung des Bankgeschäfts". Dabei geht es primär darum zu erkennen, wo wir bei dieser Entwicklung überhaupt stehen. Ich mache regelmässig die Erfahrung, dass sich Banker massiv überschätzen und der Auffassung sind, sie hätten schon den Grossteil des Weges zurückgelegt. Dabei stehen sie erst am Anfang der Strecke.
Welche IT-Lösungen bieten hier Hand?
Blattmann: Grundsätzlich sind Systeme und Betriebsmodelle ideal, die sich rasch und flexibel auf neue Gegebenheiten anpassen lassen und dabei noch kostengünstig sind. Man muss in diesem Zusammenhang feststellen, dass die Anforderungen an Lösungen im Banking in den vergangenen Jahren sprunghaft zugenommen haben: "Multi-Channel-Handling", vollautomatisierte Prozesse, "State-of-the-art"-E-Banking und Smartphone-Apps sind nur einige der wichtigsten Anforderungen der Banken.
Wie stellen Sie sich die Industrialisierung von IT-Lösungen konkret vor?
Blattmann: Aufgrund der in allen Bereichen gestiegenen Erwartungen muss sich auch die IT-Industrie überlegen, wie sie die genannten Anforderungen in immer kürzerer Zeit erfüllen kann. Denn diese wirken sich auf die zukünftigen IT-Lösungsangebote aus. Beispielsweise war es früher in der Autoindustrie so, dass die Fertigungstiefe eines Automobilherstellers nahezu 100 Prozent betrug. Mit der Modularisierung ist es gelungen, diese Fertigungstiefe extrem zu senken: Wer etwa einen Porsche kauft, hat stets das Gefühl, ein Auto dieses Herstellers zu fahren, obschon zum Teil über 80 Prozent der Komponenten von Zulieferern stammen! Die Automobilhersteller verfügen inzwischen über das Know-how, wie die einzelnen Bestandteile erfolgreich zu einem Ganzen zusammengefügt und dann unter der eigenen Marke verkauft werden können. Übertragen auf die Schweizer IT-Branche heisst dies, dass wir uns überlegen sollten, ob wir nicht auch auf diese Weise Software entwickeln und deren sicheren Betrieb standardisiert anbieten wollen. Eventuell wären die Kunden sogar bereit, für die "Swissness" einen höheren Preis zu bezahlen, sofern die Qualität sich vom Rest des Marktes deutlich abhebt.
Worüber sprechen Sie am Fachseminar "Finanzbranche im Umbruch", das im Mai in Basel, Bern und Zürich stattfindet, desweiteren?
Blattmann: Ich möchte den Teilnehmenden vor allem vor Augen führen, wie gross die Effizienzunterschiede bei Banken heute sind. Denn ohne diese Erkenntnis und der automatisch damit verbundenen Frage, wie es denn andere schaffen, zu wesentlich tieferen Kosten zu produzieren, wird von Industrialisierung zwar viel gesprochen, aber konkret wenig getan.
Hinweis:
Fachseminar "Finanzbranche im Umbruch" mit Dr. Urs Blattmann und Dr. Urs Egli
Die zwei Experten Dr. Urs Blattmann und Dr. Urs Egli zeigen im Fachseminar "Finanzbranche im Umbruch" auf, wie Banken in diesem schwierigen Umfeld auf den steigenden Kostendruck reagieren und wie sie die neuen regulatorischen Anforderungen angehen können. Angesprochen werden Finanzfachleute, CIOs und weitere interessierte Personen. Anmeldung unter www.everyware.ch/event. Das Fachseminar findet statt am 16. Mai in Basel, am 21. Mai in Bern und am 23. Mai in Zürich. Es dauert von 08.00 bis zirka 10.00 Uhr. Die Teilnahme am Fachseminar ist kostenlos.
![13264-13264140410dr.ursegli1low.jpg](https://ictk.ch/sites/default/files/13264-13264140410dr.ursegli1low.jpg "Dr. Urs Egli, Rechtsanwalt bei ePartners in Zu?rich (Urs Egli ist Rechtsanwalt und profunder Kenner des Finma-Rundschreibens 2008/21 \\"Operationelle Risiken Banken\\")")
