Cyber-Stresstest erhöht Banken-Investitionen um 80 Prozent

Die Europäische Zentralbank (EZB) nutzte den 2024 Cyber Resilience Stress Test (CyRST) als quasi-natürliches Experiment.

Die Studie identifizierte zunächst „Nachzügler-Banken“, die im Verhältnis zu ihrem Cyber-Risikoprofil unterinvestierten.

Nach der Ankündigung des CyRST erhöhten diese Banken ihre Cybersicherheitsinvestitionen um etwa 80 Prozent im Vergleich zu ihren Wettbewerbern.

Dieser Effekt war besonders stark bei Instituten mit intensiver Aufsichtsbetreuung, was auf einen disziplinierenden Effekt der Prüfung hindeutet.

Die Ergebnisse basieren auf vertraulichen Aufsichtsdaten von 109 signifikanten Instituten (SIs) im Euroraum von 2019 bis 2024 und umfassen detaillierte IT- und Cybersicherheitsausgaben sowie die Governance des operationellen Risikos.

Der CyRST war rein qualitativ und hatte weder direkte Kapitalfolgen noch eine öffentliche Offenlegung der Einzelergebnisse, was den „Scrutiny Channel“ isoliert.

Cybersicherheit im vernetzten Bankensystem weist Eigenschaften eines öffentlichen Gutes auf: Positive externe Effekte können zu systemischer Unterinvestition führen, da einzelne Banken die Vorteile ihrer Sicherheitsbemühungen für das Gesamtsystem nicht vollständig internalisieren.

Die Studie zeigt, dass der CyRST als koordinierendes Signal wirkte und die Cybersicherheitsinvestitionen im gesamten Sektor um rund 45 Prozent steigerte.

Die Reaktion war jedoch heterogen und konzentrierte sich auf die Nachzügler-Banken, die einen schnellen Aufholeffekt zeigten.

Über monetäre Investitionen hinaus passten diese Banken auch ihre Abhängigkeiten von Outsourcing an, stabilisierten spezialisiertes Humankapital und passten ihren Cyber-Versicherungsschutz an.

Die Intensität der Aufsichtsbetreuung, wie substantielle Prüfungsfeststellungen und Vor-Ort-Inspektionen, war entscheidend für die Verhaltensänderung der Nachzügler.