ICT-Risikomanagement: Globale Bankenpraktiken analysiert

Der Basler Ausschuss hat im Rahmen seines Arbeitsprogramms 2025–26 eine Analyse globaler Praktiken im ICT-Risikomanagement durchgeführt.

Einige Jurisdiktionen verzeichneten zwischen 2022 und 2024 einen Anstieg nicht-böswilliger ICT-Vorfälle, andere einen Rückgang, insbesondere zwischen 2023 und 2024.

Die Meldeanforderungen variieren jedoch stark.

Die häufigsten Ursachen für ICT-Vorfälle sind Lücken in der Änderungskontrolle, Mängel im Systemdesign, bei der Entwicklung und Prüfung, Probleme mit Systemkapazität und -leistung sowie operative Ausfälle externer Abhängigkeiten.

Zu den fünf am häufigsten genannten ICT-Risikomanagementpraktiken gehören das ICT-Änderungsmanagement, das Drittparteien-Risikomanagement, ICT-Kontinuitätstests, das ICT-Vorfalls- und Problemmanagement sowie das ICT-Projektmanagement und die Systementwicklung.

Diese Praktiken zielen darauf ab, Risiken aus Systemänderungen, der Abhängigkeit von Dritten und der Sicherstellung der Betriebsfortführung zu managen.

Alle befragten Jurisdiktionen verfügen über Vorschriften oder Leitlinien zum ICT-Risikomanagement, wobei die Bankenaufsichtsbehörden die primäre Zuständigkeit und Aufsicht behalten.

Sie verfolgen einen risikobasierten Ansatz, der Vor-Ort-Prüfungen und Off-Site-Bewertungen umfasst.

Dennoch stehen Banken vor erheblichen Herausforderungen: Es mangelt an Nachvollziehbarkeit von Geschäftsdiensten zu ICT-Assets und an der Vollständigkeit von Systemabhängigkeits-Mappings, auch bei Drittanbietern.

Ein akuter Talentmangel, insbesondere in den Bereichen Cybersicherheit, Cloud und KI/ML, wird durch den Wettbewerb mit der Technologiebranche verschärft.

Zudem haben Banken Schwierigkeiten, Transparenz über die Risikomanagementkontrollen ihrer Technologie-Dienstleister zu erhalten und ihre Drittanbieter-Konzentrationsrisiken zu managen.