Banken, Vermögensverwalter, Private-Equity-Fonds, Versicherer und andere Akteure im Finanzdienstleistungssektor stehen vor einer Zeit erhöhter Risiken. Der neue Bericht Financial Services Risk Trends: An Insurer's Perspective von Allianz Global Corporate & Specialty (AGCS) identifiziert eine Vielzahl von Gefährdungen – darunter Cyberrisiken aufgrund der Abhängigkeit des Sektors von Technologie, eine wachsende Belastung durch Compliance und die Auswirkungen der Covid-19-Pandemie.
Gleichzeitig werden Finanzinstitute von einer Vielzahl von Stakeholdern in Bereichen wie Nachhaltigkeit, Beschäftigungspraktiken, Diversität und Inklusion sowie Vergütung von Führungskräften zunehmend kritisch hinterfragt.
"Covid-19 hat einen der größten Schocks aller Zeiten für die Weltwirtschaft verursacht, der beispiellose wirtschaftliche und fiskalische Impulse und eine Rekordverschuldung der Regierungen auslöste", sagt Paul Schiavone, Global Industry Solutions Director Financial Services bei AGCS. "Trotz der verbesserten wirtschaftlichen Aussichten bleibt eine erhebliche Unsicherheit bestehen. Das Damoklesschwert der Wirtschafts- und Marktvolatilität schwebt weiter über uns, während sich die Branche auch zunehmend auf sogenannte 'nicht-finanzielle' Risiken wie Cyberresilienz, das Management von Drittanbietern und Lieferketten sowie die Auswirkungen des Klimawandels und anderer ESG-Trends (Environmental, Social and Governance) konzentrieren muss."
Cybervorfälle ganz oben auf der Risikolandkarte
aut dem Allianz Risiko Barometer 2021, für das über 900 Teilnehmer aus dem Finanzdienstleistungssektor weltweit befragt wurden, sind Cybervorfälle, die Pandemie und Betriebsunterbrechungen die drei größten Risiken für die Branche weltweit, gefolgt von Änderungen in der Gesetzgebung und Regulierung – insbesondere durch ESG-Themen und Sorgen vor dem Klimawandel. Der neue AGCS-Bericht beleuchtet diese wichtigsten Risikotrends für Banken, Vermögensverwalter, Private-Equity-Fonds, Versicherer und andere Akteure im Finanzdienstleistungssektor und wirft auch einen Blick auf makroökonomische Entwicklungen, wie steigende Kreditrisiken und das anhaltende Niedrigzinsumfeld, die im Allianz Risiko Barometer auf Platz fünf rangieren.
Diese Risiken spiegeln sich in einer AGCS-Analyse von 7.654 Versicherungsschäden von Finanzdienstleistern in den letzten fünf Jahren mit einen Wert von rund 870 Millionen Euro: Cybervorfälle sind die wertmäßig größte Schadensursache, weitere Top-Schadentreiber sind fahrlässiges Handeln, Innenregresse und Aktionärsklagen. Deutsche Grafik Schadenanalyse.
Abb: Top 5 Risiken im Bereich Finanzdienstleistungssektor [Quelle: Allianz Global Corporate & Specialty SE, n = 931. Die Zahlen geben als Prozentsatz an, wie oft ein Risiko ausgewählt wurde. Die Zahlen addieren sich nicht zu 100%, da bis zu bis zu drei Risiken ausgewählt werden konnten.]
Zunahme der Kredit- und Marktrisiken belasten die Marktteilnehmer
Finanzinstitute sind sich der potenziellen Auswirkungen der Pandemiemaßnahmen durch Regierungen und Zentralbanken bewusst, wie beispielweise niedrige Zinssätze, steigende Staatsverschuldung und das Zurückfahren der Unterstützungen, Zuschüsse und Kredite für Unternehmen. Größere Korrekturen oder Anpassungen an den Märkten – etwa bei Aktien, Anleihen oder Krediten – könnten zu potenziellen Klagen von Anlegern und Aktionären führen, während eine Zunahme von Insolvenzen auch die eigenen Bilanzen der Institute zusätzlich belasten könnte. "In der Finanzdienstleistungsbranche können Ansprüche gegen Vorstände und leitende Angestellte geltend gemacht werden, wenn der Verdacht besteht, dass sie Risiken im Zusammenhang mit Covid-19 nicht vorhergesehen, offengelegt, gemanagt oder sich nicht darauf vorbereitet haben", sagt Martin Zschech, Head of Distribution in Zentral- und Osteuropa bei AGCS.
Cyber-Risiken steigen trotz hoher Ausgaben für IT-Sicherheit
Die Pandemie hat zu einem schnellen und weitgehend ungeplanten Anstieg der Arbeit von zu Hause und des elektronischen Handels sowie einer rasanten Beschleunigung der Digitalisierung geführt. Dieses Umfeld bietet einen fruchtbaren Boden für Kriminelle. Trotz erheblicher Ausgaben für Cybersicherheit sind Finanzdienstleister ein attraktives Ziel und sehen sich mit einer Vielzahl von Cyberbedrohungen konfrontiert. Darunter fallen Angriffe zur Kompromittierung von Geschäfts-E-Mails, Ransomware-Kampagnen, "Jackpotting" von Geldautomaten – dabei übernehmen Kriminelle über Netzwerkserver die Kontrolle über Geldautomaten – oder Angriffe auf die Lieferkette. Der SolarWinds-Angriff zielte auf Banken und Aufsichtsbehörden ab und zeigte die potenzielle Anfälligkeit des Sektors für Ausfälle aufgrund seiner Abhängigkeit von Drittanbietern. Die meisten Finanzinstitute nutzen inzwischen Cloud-basierte Software, was mit einer wachsenden Abhängigkeit von einer relativ kleinen Anzahl von Anbietern einhergeht. Wenn etwas schiefgeht, sind die Institute einem hohen Risiko von Betriebsunterbrechungen sowie der Haftung gegenüber Dritten ausgesetzt.
"Drittanbieter können das schwache Glied in der Cybersicherheitskette sein", sagt Jens Krickhahn, der für die Cyberversicherung der AGCS in Zentral- und Osteuropa verantwortlich ist. "Kürzlich erlitt einer unserer Bankkunden eine Datenschutzverletzung, nachdem ein Dienstleister unseres Versicherten es versäumt hatte, persönliche Daten zu löschen, als er seine Hardware außer Betrieb nahm. Wie Finanzinstitute mit den Risiken der Cloud umgehen, wird in Zukunft entscheidend sein. Sie geben immer öfter große Teile der Verantwortung für die Cybersicherheit an Dienstleister ab. Gleichzeitig kann der richtige Cloud-Anbieter aber auch eine große Hilfe sein, die Cybergefahren besser zu bewältigen."
Compliance rund um Cyber, Kryptowährungen und Klimawandel
mpliance ist eine der größten Herausforderungen für die Finanzdienstleistungsbranche. Gesetzgebung und Regulierung im Bereich Cyber, neue Technologien, Klimawandel und ESG-Faktoren entwickeln sich ständig weiter und nehmen zu. Laut der AGCS-Studie habe es in den letzten Jahren einen Paradigmenwechsel in der regulatorischen Sicht auf Datenschutz und Cybersicherheit gegeben. Die Folgen von Datenschutzverletzungen sind mittlerweile weitreichend – mit einer aggressiveren Durchsetzung, höheren Bußgeldern und regulatorischen Kosten sowie einer wachsenden Haftung gegenüber Dritten und potenziellen Rechtsstreitigkeiten. Nach einer Reihe größerer Ausfälle bei Banken und Zahlungsdienstleistern konzentrieren sich die Aufsichtsbehörden zunehmend auf die Geschäftskontinuität, robuste Prozesse und das Management von Risiken durch Drittanbieter. Unternehmen müssen Datenschutzvorschriften und die Vorgaben der Aufsichtsbehörden korrekt umsetzen – und nicht nur auf die IT-Sicherheit achten.
Die Anwendung neuer Technologien wie Künstliche Intelligenz (KI), Biometrie und virtuelle Währungen wird in Zukunft wahrscheinlich neue Risiken und Haftungsfragen mit sich bringen, zum großen Teil auch bezüglich Compliance und Regulierung. Bei KI gab es in den USA bereits regulatorische Ermittlungen im Zusammenhang mit der Verwendung von unbewussten Verzerrungen in Algorithmen zur Kreditwürdigkeitsprüfung. Außerdem gab es eine Reihe von Gerichtsverfahren im Zusammenhang mit der Erfassung und Nutzung biometrischer Daten. Die wachsende Akzeptanz von Digital- oder Kryptowährungen als Anlageklasse wird eine Reihe operativer und regulatorischer Risiken für Finanzinstitute mit sich bringen. Darunter fallen Unsicherheiten in Bezug auf potenzielle Vermögensblasen und Bedenken hinsichtlich Geldwäsche, Ransomware-Angriffen, Haftungsforderungen Dritter und sogar ESG-Themen, da das "Mining" oder die Schaffung von Kryptowährungen große Mengen an Energie verbraucht. Die Zunahme von Börseninvestitionen, die durch soziale Medien beeinflusst werden, könnte das Risiko von Verkaufsfehlern erhöhen – bereits heute eine der Hauptursachen für Versicherungsansprüche.
ESG- Risiken rücken in den Mittelpunkt
Finanzinstitute und Kapitalmärkte gelten als wichtige Akteure, um den Klimawandel zu bekämpfen und Nachhaltigkeit zu fördern. Auch hier gibt die Regulierung das Tempo vor. Seit 2018 wurden weltweit mehr als 170 ESG-Regulierungsmaßnahmen eingeführt – vor allem in Europa. Die Regulierungsflut in Kombination mit uneinheitlichen Ansätzen in verschiedenen Ländern und mangelnder Datenverfügbarkeit stellt Finanzdienstleister vor erhebliche operative und Compliance-Herausforderungen. "Finanzdienstleister mögen vielen anderen Branchen voraus sein, wenn es um ESG-Themen geht, aber diese werden in den kommenden Jahren durchaus ein wichtiger Risikofaktor sein", sagt David Van den Berghe, der bei AGCS globaler Experte für die Versicherung von Finanzinstituten ist. "Soziale und ökologische Trends sind zunehmend Quellen für regulatorische Veränderungen und Haftung, zugleich werden eine verstärkte Offenlegung und Berichterstattung es künftig viel einfacher machen, Unternehmen und ihre Vorstände zur Verantwortung zu ziehen."
Ohnehin konzentrieren sich aktivistische Aktionäre oder Stakeholder zunehmend auf ESG-Themen. Die ersten Klimawandel-Klagen richten sich nun auch gegen Finanzinstitute. Bisher konzentrierten sich diese Fälle eher auf die Art der Geldanlagen, doch neuerdings zielen Klagen darauf ab, geschäftspolitische Veränderungen zu bewirken oder mehr Transparenz einzufordern. Neben dem Klimawandel gerät auch die soziale Verantwortung von Unternehmen ins Visier, wobei die Vergütung von Vorstandsgremien, Diversität in der Belegschaft und regulatorische Fragen besonders kritische Themen sind. "Unternehmen, die sich Klimafreundlichkeit, Vielfalt und Inklusion auf die Fahnen schreiben, müssen Worten auch Taten folgen lassen. Diejenigen, die das nicht tun, werden die Folgen bald spüren", sagt Van den Berghe.
Schadentrends und ihre Auswirkungen auf den Versicherungsmarkt
Der AGCS-Bericht hebt auch einige der Hauptursachen für Schäden hervor, die Versicherer bei Finanzinstituten sehen. Die Tatsache, dass das Compliance-Risiko weiter zunimmt, ist besorgniserregend, da Compliance bereits einer der größten Treiber für Schadensfälle ist. "In einer sich schnell verändernden Welt mit den Compliance-Regeln Schritt zu halten, ist eine schwierige Aufgabe für Unternehmen und ihre Führungskräfte", sagt Zschech. "Die Compliance-Belastung ist bereits groß und wird nun von wachsendem regulatorischem Aktivismus, rechtlichen Maßnahmen und Prozessfinanzierung begleitet."
Cybervorfälle führen bereits zu den teuersten Schadensfällen; zudem sehen Versicherer eine steigende Anzahl von technologiebezogenen Schäden, einschließlich Ansprüchen gegen Geschäftsführer nach großen Datenschutzverletzungen. Andere Beispiele sind beträchtliche Forderungen im Zusammenhang mit betrügerischen Zahlungsanweisungen, dem so genannten "Fake President"-Betrug. Solche Zahlungen können in die Millionen Euro gehen. AGCS hat auch eine Reihe von Haftungsansprüchen bearbeitet, die sich aus technischen Problemen mit Börsen und elektronischen Verarbeitungssystemen ergeben haben, bei denen die Systeme ausgefallen sind und die Kunden nicht in der Lage waren, Trades auszuführen und daraufhin Ansprüche wegen entgangener Chancen geltend machten. Es gab auch Ansprüche, bei denen ein Systemausfall einem Dritten Schaden zufügte – so erlitt ein Finanzinstitut einen beträchtlichen Verlust, nachdem ein Handelssystem abgestürzt war und dies zu Verarbeitungsausfällen bei Kunden führte.
Die jüngste Schadenaktivität, verstärkt durch die Ungewissheit durch die Pandemie, hat zu einer Veränderung im Versicherungsmarkt für Finanzinstitute beigetragen, die durch eine angepasste Preisgestaltung und eine genauere Risikoauswahl auf Seiten der Versicherer gekennzeichnet ist. Auf Seiten der Finanzdienstleister gibt es ein wachsendes Interesse an alternativen Risikotransferlösungen, die traditionelle Versicherungsprodukte ergänzen. Generell sind Versicherungen zunehmend ein wichtiger Bestandteil der Kapitalsäule von Finanzinstituten. Immer mehr Finanzdienstleiter arbeiten mit Versicherern zusammen, um Risiken und aufsichtsrechtliche Kapitalanforderungen zu managen oder auch um firmeneigene Versicherer (Captives) zu betreiben, die helfen Veränderungen auf den Versicherungsmärkten zu kompensieren oder schwieriger zu platzierende Risiken abzusichern.