Associate-Weblog
Stellen Sie sich vor, ein Cyberangriff legt eine Financial institution für drei Tage lahm – der Schaden beläuft sich auf 15 Mio. Euro. In einem anderen Fall verkauft ein Mitarbeiter „grüne“ Finanzprodukte, die gar nicht nachhaltig sind – das Ergebnis sind wieder Millionenverluste durch Greenwashing-Vorwürfe. Das Downside dabei ist, dass sich mit dem bisherigen Klassifikationssystem für operationelle Risiken (OpRisk-Taxonomie) aus dem Jahr 2004 solche aktuellen Schadensfälle kaum erfassen lassen.
Im August 2025 hat die Europäische Bankenaufsicht (EBA) eine grundlegende Modernisierung der Risikoklassifizierung für operationelle Risiken vorgelegt. Das neue System funktioniert wie ein mehrdimensionales Ordnungssystem mit drei Stufen:
Auf der ersten Stufe bleiben die bekannten sieben Hauptkategorien operationeller Ereignisse erhalten – das gewährleistet die internationale Vergleichbarkeit. Die zweite Stufe erweitert das System auf insgesamt 26 detaillierte Unterkategorien. Wirklich neu und innovativ ist die dritte Stufe: Hier kommen versatile „Attribute“ zum Einsatz, die wie digitale Etiketten funktionieren und es ermöglichen, operationelle Risiken genauer auszuwerten und zu analysieren.
Das Besondere an diesem Ansatz ist, dass ein Schadensfall mehrere Attribute gleichzeitig haben kann. Wenn beispielsweise ein Cloud-Dienstleister ausfällt, kann dieser Vorfall sowohl als „IT-Risiko“ denn auch als „Drittanbieter-Risiko“ markiert werden. Dadurch entsteht ein wesentlich vollständigeres und detaillierteres Risikobild.
Im Fokus stehen vor allem Cyber- und Nachhaltigkeitsrisiken
Bei den Cyber-Risiken nimmt das neue System eine wichtige Unterscheidung vor: Es trennt zwischen Verlusten durch Hackerangriffe und Cyberkriminalität einerseits und sonstigen IT-Ausfällen wie technischen Defekten oder Systemfehlern andererseits.
ESG-Risiken, additionally Risiken in den Bereichen Umwelt, Soziales und Unternehmensführung, erhalten zwei spezielle neue Kennzeichnungen. Das ESG-Attribut wird vergeben, wenn z. B. Schäden durch Klimawandel, soziale Unruhen oder schlechte Unternehmensführung bei Geschäftspartnern entstehen. Das Greenwashing-Attribut wird eingesetzt, wenn z. B. Verluste durch irreführende Nachhaltigkeitsversprechen verursacht werden.
Was bedeutet das konkret für Banken?
Die Umsetzung der neuen Regelungen erfordert deutlich mehr als nur Anpassungen an Software program. Die IT-Systeme müssen grundlegend erweitert werden, angefangen bei der Schadensdatenbank über verschiedene Schnittstellen bis hin zu den Reporting-Instruments. Zudem müssen historische Daten der vergangenen zehn Jahre geprüft, überarbeitet und entsprechend der neuen Systematik kategorisiert werden.
Auf organisatorischer Ebene steht ein Paradigmenwechsel bevor: Bisher getrennt arbeitende Bereiche müssen enger zusammenrücken. Risikomanagement, IT-Sicherheit und der Nachhaltigkeitsbereich benötigen künftig abgestimmte Prozesse und gemeinsame Definitionen. Die präzisere Kategorisierung und Kennzeichnung mit den neuen Attributen erfordert zudem spezialisierte Kompetenzen, was umfangreiche Mitarbeiterschulungen notwendig macht.
Künstliche Intelligenz als „Sport-Changer“
Die neue Komplexität des neuen Klassifizierungssystems macht eine rein manuelle Bearbeitung fehleranfällig und ineffizient. Hier kommen KI-Systeme ins Spiel, die erhebliche Unterstützung bieten können.
Automatische Textanalysen erkennen in Schadensberichten selbstständig, ob es sich um Cyber-Angriffe, ESG-Risiken oder Greenwashing handelt, und können diese automatisch kennzeichnen. KI-gestützte Qualitätskontrollen identifizieren Fehler und Inkonsistenzen in der Klassifizierung. Statt jeden Einzelfall manuell zu prüfen, liefert die KI automatische Vorschläge für Kategorien und Kennzeichnungen. Das spart in erheblichem Umfang Zeit und Aufwand.
Banken, die hier auf KI-Technologie setzen, profitieren doppelt: Sie sparen Kosten, und sie gewinnen tiefere und präzisere Einblicke in ihre Risikostrukturen.
Fazit: Vom Flickwerk zur integrierten Risikosteuerung
Nach 20 Jahren erhält das Administration operationeller Risiken der Banken endlich ein Replace für das digitale Zeitalter. Die eigentliche Herausforderung liegt dabei nicht nur in der technischen Umsetzung, sondern vor allem im kulturellen Wandel: Der Weg führt weg vom Silodenken und hin zu einem vernetzten, integrierten Risikomanagement.
Banken, die diese Transformation aktiv angehen, werden nicht nur die regulatorischen Vorgaben erfüllen. Sie verschaffen sich echte Wettbewerbsvorteile in einer zunehmend komplexeren Risikolandschaft und sind besser für kommende Herausforderungen gerüstet.
––––––––––––––––––––
*Armin D. Rheinbay ist „Chapter Head Threat Administration“ bei der Administration- und Technologie-Beratung Sopra Steria. Sopra Steria gehört zu den Premium-Partnern von Finanz-Szene. Mehr zu unserem Premium-Associate-Modell erfahren Sie hier.