von Armin D. Rheinbay*, 13. November 2025
Stellen Sie sich vor, ein Cyberangriff legt eine Bank für drei Tage lahm – der Schaden beläuft sich auf 15 Mio. Euro. In einem anderen Fall verkauft ein Mitarbeiter „grüne“ Finanzprodukte, die gar nicht nachhaltig sind – das Ergebnis sind wieder Millionenverluste durch Greenwashing-Vorwürfe. Das Problem dabei ist, dass sich mit dem bisherigen Klassifikationssystem für operationelle Risiken (OpRisk-Taxonomie) aus dem Jahr 2004 solche aktuellen Schadensfälle kaum erfassen lassen.
Im August 2025 hat die Europäische Bankenaufsicht (EBA) eine grundlegende Modernisierung der Risikoklassifizierung für operationelle Risiken vorgelegt. Das neue System funktioniert wie ein mehrdimensionales Ordnungssystem mit drei Stufen:
Auf der ersten Stufe bleiben die bekannten sieben Hauptkategorien operationeller Ereignisse erhalten – das gewährleistet die internationale Vergleichbarkeit. Die zweite Stufe erweitert das System auf insgesamt 26 detaillierte Unterkategorien. Wirklich neu und innovativ ist die dritte Stufe: Hier kommen flexible „Attribute“ zum Einsatz, die wie digitale Etiketten funktionieren und es ermöglichen, operationelle Risiken genauer auszuwerten und zu analysieren.
Das Besondere an diesem Ansatz ist, dass ein Schadensfall mehrere Attribute gleichzeitig haben kann. Wenn beispielsweise ein Cloud-Dienstleister ausfällt, kann dieser Vorfall sowohl als „IT-Risiko“ denn auch als „Drittanbieter-Risiko“ markiert werden. Dadurch entsteht ein wesentlich vollständigeres und detaillierteres Risikobild.
Bei den Cyber-Risiken nimmt das neue System eine wichtige Unterscheidung vor: Es trennt zwischen Verlusten durch Hackerangriffe und Cyberkriminalität einerseits und sonstigen IT-Ausfällen wie technischen Defekten oder Systemfehlern andererseits.
ESG-Risiken, also Risiken in den Bereichen Umwelt, Soziales und Unternehmensführung, erhalten zwei spezielle neue Kennzeichnungen. Das ESG-Attribut wird vergeben, wenn z. B. Schäden durch Klimawandel, soziale Unruhen oder schlechte Unternehmensführung bei Geschäftspartnern entstehen. Das Greenwashing-Attribut wird eingesetzt, wenn z. B. Verluste durch irreführende Nachhaltigkeitsversprechen verursacht werden.
Die Umsetzung der neuen Regelungen erfordert deutlich mehr als nur Anpassungen an Software. Die IT-Systeme müssen grundlegend erweitert werden, angefangen bei der Schadensdatenbank über verschiedene Schnittstellen bis hin zu den Reporting-Tools. Zudem müssen historische Daten der vergangenen zehn Jahre geprüft, überarbeitet und entsprechend der neuen Systematik kategorisiert werden.
Auf organisatorischer Ebene steht ein Paradigmenwechsel bevor: Bisher getrennt arbeitende Bereiche müssen enger zusammenrücken. Risikomanagement, IT-Sicherheit und der Nachhaltigkeitsbereich benötigen künftig abgestimmte Prozesse und gemeinsame Definitionen. Die präzisere Kategorisierung und Kennzeichnung mit den neuen Attributen erfordert zudem spezialisierte Kompetenzen, was umfangreiche Mitarbeiterschulungen notwendig macht.
Die neue Komplexität des neuen Klassifizierungssystems macht eine rein manuelle Bearbeitung fehleranfällig und ineffizient. Hier kommen KI-Systeme ins Spiel, die erhebliche Unterstützung bieten können.
Automatische Textanalysen erkennen in Schadensberichten selbstständig, ob es sich um Cyber-Angriffe, ESG-Risiken oder Greenwashing handelt, und können diese automatisch kennzeichnen. KI-gestützte Qualitätskontrollen identifizieren Fehler und Inkonsistenzen in der Klassifizierung. Statt jeden Einzelfall manuell zu prüfen, liefert die KI automatische Vorschläge für Kategorien und Kennzeichnungen. Das spart in erheblichem Umfang Zeit und Aufwand.
Banken, die hier auf KI-Technologie setzen, profitieren doppelt: Sie sparen Kosten, und sie gewinnen tiefere und präzisere Einblicke in ihre Risikostrukturen.
Nach 20 Jahren erhält das Management operationeller Risiken der Banken endlich ein Update für das digitale Zeitalter. Die eigentliche Herausforderung liegt dabei nicht nur in der technischen Umsetzung, sondern vor allem im kulturellen Wandel: Der Weg führt weg vom Silodenken und hin zu einem vernetzten, integrierten Risikomanagement.
Banken, die diese Transformation aktiv angehen, werden nicht nur die regulatorischen Vorgaben erfüllen. Sie verschaffen sich echte Wettbewerbsvorteile in einer zunehmend komplexeren Risikolandschaft und sind besser für kommende Herausforderungen gerüstet.
––––––––––––––––––––
*Armin D. Rheinbay ist „Chapter Head Risk Management“ bei der Management- und Technologie-Beratung Sopra Steria. Sopra Steria gehört zu den Premium-Partnern von Finanz-Szene. Mehr zu unserem Premium-Partner-Modell erfahren Sie hier.
Die Artikel von Finanz-Szene sind urheberrechtlich geschützt und nur für den jeweiligen Premium-Abonnenten persönlich bestimmt. Die Weitergabe – auch an Kollegen – ist nicht gestattet. Wie Sie Inhalte rechtssicher teilen können (z.B. via Pressespiegel), erfahren Sie hier.
Danke für Ihr Verständnis. Durch Ihr Abonnement sichern Sie ein Stück Journalismus!