Resilienz sollte Finanzunternehmen dabei helfen, schneller zu handeln, nicht nur schneller wiederherzustellen

Resilienz sollte Finanzunternehmen dabei helfen, schneller zu handeln, nicht nur schneller wiederherzustellen
Jahr: 2026 Artikel Industry: Finanzdienstleistungen Industry: Bankensektor Industry: Versicherungsbranche Industry: Pensionskassen

Finanzdienstleister betrachten Resilienz häufig primär als Compliance- und Risikothema. Mit DORA in der Europäischen Union und dem FINMA-Rundschreiben zu operationellen Risiken in der Schweiz wurden die Anforderungen an Resilienz deutlich verschärft und branchenweit neue Standards gesetzt.

DORA verpflichtet Unternehmen dazu, kritische Geschäftsfunktionen zu identifizieren, ein Register über IKT-Drittparteienbeziehungen zu führen, bedrohungsorientierte Penetrationstests durchzuführen und nachzuweisen, dass definierte Wiederherstellungsziele eingehalten werden können. Das FINMA-Rundschreiben verlangt von Banken, kritische Daten über den Aspekt der Vertraulichkeit hinaus zu schützen, Exit-Strategien für kritische Drittanbieter zu testen und die Geschäftskontinuität sicherzustellen. Genau diese Disziplinen bilden die Grundlage dafür, dass ein Unternehmen schnell und sicher handeln kann.

Doch damit stellt sich eine weiterführende strategische Frage: Welchen Beitrag kann Resilienz leisten, wenn die regulatorischen Anforderungen erfüllt sind?

Für Khaled Ouafi, Partner bei Eraneos und Experte für den Finanzdienstleistungssektor, geht die Antwort weit über Regulierung hinaus.

«Vor einigen Jahren wurde Resilienz noch häufig als rein regulatorische Anforderung betrachtet. Heute ist es eine strategische Geschäftsfrage: Wie verbessern wir den Kundenservice, schützen unsere Supply Chain und agieren schneller, ohne die Kontrolle zu verlieren? Unternehmen, die diese Fragen erfolgreich beantworten, betrachten Resilienz nicht mehr als Kosten-, sondern als Wettbewerbsfaktor. Im Kern ist Resilienz heute eine Technologiefrage. Die geschäftskritischen Services sind digital, und die Abhängigkeiten, die sie verwundbar machen, liegen zunehmend in der IT.»

Mit den geschäftskritischen Services beginnen


Resilienz schafft Mehrwert für Finanzdienstleister, indem sie die Services schützt, auf die Kundinnen und Kunden täglich angewiesen sind. Eine nicht verfügbare E-Banking-Plattform, ein Ausfall im Handelssystem, verzögerte Zahlungen oder ein unterbrochenes Kundenportal können unmittelbare Auswirkungen auf Umsatz, Reputation, Kundenvertrauen und regulatorische Risiken haben.

Deshalb sollten Finanzinstitute ihre Resilienzstrategie konsequent vom Geschäftsmodell aus entwickeln, erklärt Khaled Ouafi. Eine Privatbank benötigt zuverlässigen digitalen Zugang für Kunden in verschiedenen Regionen. Ein Zahlungsdienstleister muss grenzüberschreitende Transaktionen sicherstellen und gleichzeitig Cyberrisiken sowie Abhängigkeiten von Drittanbietern steuern. Versicherungen benötigen eine stabile digitale Schadenabwicklung, insbesondere in Phasen hoher Nachfrage.

Die zentrale Frage lautet immer: Was ist für mein Geschäft entscheidend? Sobald diese Frage beantwortet ist, wird Resilienz konkret. Es geht darum, die wenigen digitalen Services zu schützen, die wirklich entscheidend sind, und nicht alles auf einmal.
Khaled Ouafi, Partner

Diese Frage verschiebt den Fokus von generischen Resilienzprogrammen hin zu den Services, die das Geschäft tatsächlich tragen, auf die Lieferanten und Systeme, auf die man stillschweigend angewiesen ist, sowie auf die Risiken, die das Kundenvertrauen am schnellsten beeinträchtigen würden. In nahezu allen Fällen basieren diese Services auf Technologie, und die zugrunde liegenden Abhängigkeiten sind IT-getrieben. Deshalb führt Resilienz immer wieder zur Technologiestrategie.

Technologieentscheidungen sind Geschäftsentscheidungen


An diesem Punkt wird Resilienz operativ wirksam. Technologieentscheidungen prägen heute unmittelbar die Unternehmensstrategie. Cloud-Architekturen, Lieferantenkonzentrationen, Datenstandorte, Cybersicherheit und KI-Nutzung beeinflussen, welche Services ein Unternehmen anbieten kann, wie schnell es auf Veränderungen reagiert und welche Risiken es eingeht.

«Die IT stand schon immer im Dienst des Geschäfts. Früher mussten sich die Fachbereiche kaum mit den Details befassen. Diese Zeit ist vorbei. Wenn Technologieentscheidungen bestimmen, welche Produkte eingeführt und welche Risiken eingegangen werden können, muss das Unternehmen Verantwortung übernehmen», so Khaled Ouafi.

Die traditionelle Trennung zwischen operativem Geschäft und IT lässt sich deshalb zunehmend schwerer aufrechterhalten. Stark konzentrierte Cloud-Strategien erhöhen Tempo und Standardisierung, steigern jedoch gleichzeitig die Abhängigkeit von einzelnen Anbietern. Hinzu kommen geopolitische Fragestellungen rund um Datenzugriff, regulatorische Rahmenbedingungen und die tatsächliche Kontrolle über kritische Ressourcen.

«Ich habe Banken erlebt, die von einer Single-Cloud- zu einer Multi-Cloud-Strategie übergegangen sind, um für jeden Anwendungsfall die passende Lösung einzusetzen, Risiken auszubalancieren und ihre strategische Flexibilität zu erhöhen.»

«Gut genug» ist ein fragiler Zustand


Resilienz verliert an Wirkung, wenn Unternehmen sich ausschliesslich auf aktuelle Herausforderungen konzentrieren. Das Schliessen regulatorischer Lücken oder die Behebung einzelner technischer Schwachstellen kann die Compliance verbessern, bereitet Unternehmen aber nicht zwingend auf die nächsten operativen, technologischen oder geopolitischen Risiken vor.

«Zu viele Organisationen lösen das Problem von heute und nennen das Resilienz. Die Welt verändert sich mittlerweile so schnell, dass morgen bereits die nächste Krise eintreten kann. Es gilt, sich auf die Entwicklungen vorzubereiten, die absehbar sind, und nicht nur auf die aktuelle Lücke zu reagieren.»

Technische Altlasten, bestehende Abhängigkeiten und ungelöste Schwachstellen verdienen deshalb besondere strategische Aufmerksamkeit. Ein System, das heute funktioniert, kann morgen die Weiterentwicklung des Geschäftsmodells, die Lieferantenstrategie oder die Cyberabwehr einschränken.

Besonders sichtbar wird dies im Bereich der Cybersicherheit. Angreifer automatisieren heute Erkundung und Exploitation neuer Schwachstellen innerhalb weniger Stunden. Patches und Reaktionen erfolgen in Unternehmen jedoch weiterhin in traditionellen Zeitzyklen. Um diese Lücke zu schliessen, müssen Erkennung und Reaktion stärker automatisiert sowie Verantwortlichkeiten klar definiert werden, damit erkannte Risiken nicht bis zum nächsten Eingriffsfenster bestehen bleiben.

«Es gilt, schneller zu sein als die Angreifer. Und die Angreifer sind heute Maschinen», erklärt Khaled Ouafi.


Wie gut sind Sie auf den Ernstfall vorbereitet?

Die meisten Organisationen kennen ihre Risiken. Deutlich weniger wissen, wie krisenfest sie tatsächlich sind.

Wie gut sind Sie auf den Ernstfall vorbereitet?

Resilienz im Ökosystem verankern


Definieren, was Resilienz ermöglichen soll

Der erste Schritt besteht darin, festzulegen, welche Services geschützt werden müssen, welche Märkte adressiert werden sollen und welche Risiken Wachstum und Wertschöpfung begrenzen könnten. Konkret bedeutet dies, die drei oder vier geschäftskritischen Services zu identifizieren, deren Ausfall den grössten Schaden verursachen würde, Wiederherstellungsziele festzulegen und akzeptable Datenverluste zu definieren. In der Terminologie der Aufsichtsbehörden: Recovery Time Objectives (RTO) und Recovery Point Objectives (RPO). Diese Ziele sollten direkt mit Umsatz und Kundenversprechen verknüpft werden, nicht lediglich mit einer Kontrollcheckliste.

Governance und Kontrolle im Operating Model verankern

Resilienz entfaltet ihre Wirkung am stärksten, wenn Architektur, Lieferantenstrategie, Cyberabwehr, Produktentwicklung und Entscheidungsprozesse die gewünschte Geschwindigkeit, Flexibilität und Sicherheit unterstützen. In der Praxis bedeutet dies, Konzentrationsrisiken bei einzelnen Lieferanten oder Cloud-Regionen frühzeitig zu erkennen, Verantwortlichkeiten für Failover-Szenarien oder Exit-Strategien eindeutig festzulegen und diese Prozesse regelmässig zu testen, bevor ein Vorfall sie erzwingt.

KI als Bestandteil der Resilienzplanung behandeln

KI erhöht Geschwindigkeit und Autonomie innerhalb definierter Prozesse. Gleichzeitig entstehen neue Anforderungen hinsichtlich Governance, Nachvollziehbarkeit, Auditierbarkeit, Verantwortlichkeiten und Kontrolle. Unternehmen sollten klar definieren, welche Entscheidungen ein Modell autonom treffen darf und wann menschliche Freigaben erforderlich sind. Automatisierte Entscheidungen müssen dokumentiert und die gesamte KI-Pipeline als potenzielles Angriffsziel in die Resilienz- und Sicherheitsplanung integriert werden.

Über die eigenen Unternehmensgrenzen hinausdenken

Resilienz endet heute nicht mehr an den eigenen Unternehmensgrenzen. Die meisten Finanzinstitute sind von denselben Cloud-Plattformen, Zahlungsinfrastrukturen und SaaS-Anbietern abhängig. Dadurch entstehen systemische Konzentrationsrisiken, die einzelne Unternehmen nur begrenzt beeinflussen können. Unternehmen sollten daher gemeinsame Abhängigkeiten hinter kritischen Services transparent machen, systemische Risiken im Ökosystem verstehen und in der Planung Szenarien berücksichtigen, deren Ursache ausserhalb der eigenen Kontrolle liegt.

«Selbst die bekanntesten Anbieter sind nicht unverwundbar. Eine einzelne Störung innerhalb von AWS hatte zeitweise Auswirkungen auf weite Teile des Internets und führte dazu, dass Bankanwendungen und zahlreiche weitere digitale Services gleichzeitig ausfielen
Khaled Ouafi, Partner

Resilienz als Grundlage für sicheres Wachstum


Finanzdienstleister haben bei der Erfüllung regulatorischer Anforderungen erhebliche Fortschritte erzielt. Der nächste Schritt besteht darin, Resilienz stärker mit Geschäftswert, Servicequalität und strategischer Wettbewerbsfähigkeit zu verknüpfen.

Die entscheidende Frage lautet nicht mehr, ob ein System heute funktioniert. Entscheidend ist, ob das digitale Operating Model mit seinen Technologien, Lieferanten und Daten ausreichend flexibel, sicher und skalierbar ist, um zukünftige Anforderungen erfolgreich zu bewältigen. Dort entfaltet Resilienz im Finanzdienstleistungssektor ihren grössten Nutzen: nicht in Compliance-Dokumenten, sondern in den Technologie- und Digitalisierungsentscheidungen, die bestimmen, wie schnell, sicher und erfolgreich sich ein Unternehmen weiterentwickeln kann. Für Khaled Ouafi schafft Resilienz genau den Rahmen, der es Finanzinstituten ermöglicht, weiter voranzukommen, ihre Kunden besser zu bedienen und ihre Anpassungsfähigkeit zu stärken, ohne die Kontrolle zu verlieren.