In einem Briefing im vergangenen Monat gab die EZB den Banken nur einen groben Überblick über die Prüfung, wie informierte Kreise berichten. Das Szenario beinhalte, dass die Hacker alle IT-Abwehrmechanismen einer Bank überwunden haben und in das Herz des Systems eingedrungen sind.

Da dort jegliche Kundendaten liegen, wäre der theoretische Angriff gravierender als jeder andere Cybervorfall, der die Branche in den letzten Jahren traf. Die EZB hat häufig vor der zunehmenden Gefahr von Hackern gewarnt, insbesondere nach dem Einmarsch Russlands in der Ukraine. Der Stresstest werde eine Lernerfahrung für Banken und Aufsichtsbehörden gleichermaßen sein.

Den Banken liegen momentan etwa 400 Fragen vor, die sie für den Stresstest beantworten müssen. Das berichtet das Unternehmen KPMG, das die Kreditgeber bei der Prüfung berät. Ein EZB-Sprecher lehnte eine Stellungnahme ab.

Institutionen, die sich mit Cyberproblemen befasst haben, werden einige der Fragen bereits beantworten können. Für die Beantwortung anderer Punkte, müssen sie jedoch das tatsächliche Szenario kennen, sagte Lucas Daus, Partner im Bereich Beratung Cybersicherheit bei KPMG, in einem Interview. Ihm zufolge sind viele Fragen eher allgemeiner Natur, wie beispielsweise:

  • Führen Sie Wiederherstellungstests durch? Welche?
  • Welche Art von Wiederherstellungstests wurden in der Vergangenheit durchgeführt?
  • Welche wirtschaftlichen Auswirkungen haben Sie ausgehend von dem Szenario?
  • Wie sieht Ihr Krisenmanagement aus?
  • Wie kommunizieren Sie derartige Vorfälle mit Ihren Kunden?

"Es gibt immer noch ein großes Überraschungsmoment"
Die EZB wird die Einzelheiten des hypothetischen Angriffs Anfang Januar mit den Banken teilen, bis dahin müssen sie sich gedulden, berichten die Insider. "Es gibt immer noch ein großes Überraschungsmoment, wenn sie von dem tatsächlichen Szenario erfahren", so Daus. 

Die europäischen Behörden warnen vermehrt vor dem Risiko von Cyberangriffen, zumal die geopolitischen Unruhen auch auf den privaten Sektor übergreifen. Der Test wurde als Übung zur Verbesserung des Risikomanagements der Banken bezeichnet und nicht als Prüfung, die sich direkt auf die Eigenkapitalanforderungen auswirkt. Mehr als 100 Banken, die direkt von der EZB beaufsichtigt werden, sind beteiligt. 28 von ihnen werden einer eingehenderen Prüfung mit möglichen Vor-Ort-Untersuchungen unterzogen.

Es wird nicht erwartet, dass die individuellen Ergebnisse veröffentlicht werden. Sie fließen jedoch indirekt in die regelmäßige Bewertung der Risiken der Banken durch die EZB ein, die deren Kapitalanforderungen bestimmt. "Es wird komplex sein, es wird schwierig sein, damit umzugehen, und es wird größer sein als die jüngsten Bedrohungen, die wir auf dem Markt gesehen haben", sagte Daus. (mb/Bloomberg)