Cyber-Stresstests: Banken investieren 80% mehr in Sicherheit

Investitionen in Cybersicherheit haben Eigenschaften eines öffentlichen Gutes: Positive Externalitäten können zu systemischen Unterinvestitionen führen, da Banken nur einen Teil der gesamtgesellschaftlichen Vorteile internalisieren.

Eine neue Studie der Bank für Internationalen Zahlungsausgleich (BIZ) identifiziert 'Nachzügler'-Banken in Europa, die im Verhältnis zu ihrem Cyber-Risikoprofil zu wenig investieren.

Die Forscher nutzten vertrauliche Aufsichtsdaten der Europäischen Zentralbank (EZB) und den EZB Cyber Resilience Stress Test (CyRST) 2024 als quasi-natürliches Experiment.

Nach der Ankündigung des CyRST erhöhten diese 'Nachzügler'-Banken ihre Cybersicherheitsinvestitionen um etwa 80 Prozent im Vergleich zu ihren Wettbewerbern.

Die Reaktion war besonders stark bei Nachzüglern, die einer intensiven Aufsichtsüberwachung unterlagen.

Dies deutet darauf hin, dass gezielte Aufsichtsanstrengungen Anreize zur Unterinvestition mindern und das operationelle Risikomanagement der Banken stärken können.

Die Studie liefert damit neue kausale Beweise für die Wirksamkeit von Cyber-Stresstests auf das Investitionsverhalten von Banken.

Der EZB CyRST 2024 war ein neuartiges Experiment zur Bewertung der Reaktions- und Erholungsfähigkeit von Banken bei Cyberangriffen.

Die Studie betont die rein qualitative Natur des Tests, ohne direkte Auswirkungen auf die Säule-2-Kapitalanforderungen.

Dies isoliert den 'Kapitalkanal', der bei traditionellen Stresstests üblich ist.

Zudem blieben individuelle Bankergebnisse vertraulich, was den 'Offenlegungskanal' dämpfte.

Das Design des CyRST bot somit ein ideales Umfeld, um den 'Aufsichtsüberprüfungs-Kanal' zu untersuchen.

Hierbei kann die glaubwürdige Drohung einer direkten Prüfung Anreize für Investitionen schaffen, indem sie die wahrgenommenen Kosten einer anhaltenden Unterinvestition erhöht.