Resilienz für Finanzunternehmen: Schneller handeln statt nur schneller erholen

Resilienz für Finanzunternehmen: Schneller handeln statt nur schneller erholen
Year: 2026 Article Industry: Finanzdienstleistungen Industry: Pensions Industry: Versicherung Industry: Bankwesen

Finanzunternehmen betrachten Resilienz oft als Thema von Compliance- und Risikomanagement. Die DORA-Richtlinie in der Europäischen Union und das FINMA Rundschreiben zu operationellen Risiken und Resilienz in der Schweiz haben strenge Standards gesetzt und somit die Messlatte für Resilienz branchenweit höher gelegt. Die DORA-Richtlinie verpflichtet Unternehmen, ihre kritischen Funktionen zu erfassen, ein Verzeichnis ihrer ITK-Drittanbieter-Verträge zu führen, bedrohungsbasierte Penetrationstests durchzuführen und ihre Wiederherstellungsfähigkeit innerhalb definierter Toleranzen nachzuweisen. Das FINMA-Rundschreiben zu operationellen Risiken verpflichtet Banken, ihre kritischen Daten über die Vertraulichkeit hinaus zu identifizieren und zu schützen, Ausstiegsstrategien für kritische Drittanbieter zu testen und die Geschäftskontinuität sicherzustellen – dieselben Disziplinen, die ein Unternehmen benötigt, um schnell und sicher handeln zu können.

Doch all dies wirft eine weitere strategische Frage auf: Wenn die Compliance erst einmal erfüllt ist ­– was kann Resilienz dem Unternehmen dann noch ermöglichen?

Für Khaled Ouafi, Partner bei Eraneos und Experte für Finanzdienstleistungen, geht die Antwort über die reine Regulierung hinaus.

„Noch vor ein paar Jahren betrachteten Unternehmen Resilienz oft als reine Pflichtübung. Heute ist sie eine Geschäftsfrage: Wie können wir besseren Service bieten, unsere Lieferkette schützen und schneller agieren, ohne die Kontrolle zu verlieren? Unternehmen, die das verstehen, sehen Resilienz nicht länger als Kostenfaktor, sondern nutzen sie als Wettbewerbsvorteil. Im Kern ist Resilienz eine Frage der Technologie: Die Dienste, die nicht ausfallen dürfen, sind digital, und die Abhängigkeiten, die sie anfällig machen, sind zunehmend IT-bedingt“, so Khaled.

Priorisieren Sie die Dinge, die Ihr Unternehmen auf keinen Fall verlieren sollte

Resilienz schafft für Finanzdienste vor allem dadurch Mehrwert, dass sie die Services schützt, die Kunden täglich nutzen. Eine nicht verfügbare E-Banking-Plattform, ein ausgefallenes Handelssystem, eine verzögerte Zahlung oder ein gestörtes Kundenportal wirken sich schnell negativ aus. Der Schaden betrifft Umsatz, Reputation, Kundenvertrauen und regulatorische Risiken.

Deshalb sollten Finanzinstitute laut Khaled mit ihrem eigenen Geschäftsmodell beginnen. Eine Privatbank benötigt möglicherweise einen zuverlässigen digitalen Zugang für Kunden in verschiedenen Regionen. Ein Zahlungsdienst benötigt unter Umständen grenzüberschreitende Transaktionen, um den Betrieb aufrechtzuerhalten und gleichzeitig Cyberrisiken und Lieferantenabhängigkeiten zu managen. Ein Versicherungsunternehmen benötigt gegebenenfalls eine stabile digitale Schadenbearbeitung in Zeiten hoher Nachfrage.

„Die Frage lautet immer: Was ist für mein Geschäft wirklich wichtig? Wenn diese Frage vorangestellt wird, wird Resilienz greifbarer. Sie schützen damit diejenigen digitalen Services, auf die Sie wirklich nicht verzichten können, statt alles auf einmal zu berücksichtigen.“
Khaled Ouafi, Partner

Diese Frage hilft Führungskräften, über allgemeine Resilienzplanung hinauszugehen. Der Fokus verlagert sich auf genau die Services, die das Geschäft definieren, auf die Dienste und Systeme, von denen sie im Hintergrund abhängen, und die Ausfälle, die das Kundenvertrauen am schnellsten beeinträchtigen können. In fast allen Fällen basieren diese Dienste auf Technologie und diese Abhängigkeiten sind IT-bedingt – deshalb führt Resilienz immer wieder zu einer Technologiestrategie.

Technologische Entscheidungen sind strategische Entscheidungen

Hier wird Resilienz operativ. Technologische Entscheidungen prägen heute unmittelbar die Geschäftsstrategie. Cloud-Architektur, Lieferantenkonzentration, Datenstandort, Cybersicherheit und KI-Einsatz bestimmen, welche Services ein Unternehmen anbieten kann, wie schnell es reagiert und welche Risiken es trägt.

„IT war immer dazu da, das Geschäft zu unterstützen. Früher interessierte sich das Unternehmen nicht für die Details – Technologie wurde gewissermaßen einfach eingeschaltet. Das gilt heute nicht mehr. Wenn technologische Entscheidungen darüber bestimmen, was angeboten werden kann und wie hoch die Risiken sind, muss das Unternehmen die Verantwortung dafür übernehmen“, sagt Khaled.

Die Trennung zwischen IT und Business lässt sich heute schwerer aufrechterhalten. Stark konzentrierte Cloud-Strategien schaffen zwar Geschwindigkeit und Konsistenz, werfen aber gleichzeitig Fragen nach Abhängigkeiten, Flexibilität und operativer Flexibilität auf. Geopolitik bringt eine weitere Ebene ins Spiel: Wer hat Zugriff auf die Daten, welche rechtlichen Rahmenbedingungen gelten und wie viel Kontrolle hat Ihr Betrieb tatsächlich?

„Ich habe Banken erlebt, die von einer Single-Cloud-Strategie zu einer Multi-Cloud-Strategie gewechselt sind – um für jeden Anwendungsfall die optimale Lösung zu finden, ihre Risiken auszubalancieren und die Flexibilität zu maximieren“, sagt Khaled.

„Gut genug“ ist ein fragiler Zustand

Resilienz verliert an Wirkung, wenn sich Organisationen nur auf das unmittelbare Problem konzentrieren. Die Schließung einer regulatorischen Lücke oder die Behebung einer sichtbaren technischen Schwachstelle kann die Compliance verbessern, bereitet Unternehmen aber möglicherweise nicht auf das nächste operative, technologische oder geopolitische Risiko vor.

„Zu viele Organisationen lösen akute Probleme und nennen das „Resilienz“. Die Welt verändert sich so schnell, dass das nächste Problem nicht weit entfernt ist – Sie müssen also für den absehbaren Wandel planen und nicht nur die aktuelle Lücke schließen“, sagt Khaled.
 
Technische Schulden, bestehende Abhängigkeiten und ungelöste Schwachstellen verdienen mehr Aufmerksamkeit. Ein System, das heute funktioniert, kann das Servicemodell, die Lieferantenstrategie oder die Reaktion auf Cyberangriffe von morgen einschränken.

Cybersicherheit macht dies sichtbar. Angreifer automatisieren heute die Aufklärung und nutzen neue Schwachstellen innerhalb weniger Stunden aus, während die meisten Unternehmen noch immer manuell patchen und reagieren. Diese Lücke zu schließen bedeutet, Erkennung und Reaktion zu automatisieren und klare Verantwortlichkeiten zuzuweisen, damit keine Schwachstelle bis zum nächsten Wartungsfenster liegen bleibt.

Wie Führungskräfte im Finanzbereich Resilienz im Unternehmens-Ökosystem verankern

  • Definieren Sie, was Resilienz ermöglichen soll
    Beginnen Sie damit, zu klären, welche Dienste durch die Ausfallsicherheit geschützt werden müssen, welche Märkte das Unternehmen bedienen möchte und welche Risiken das Wachstum einschränken könnten. Seien Sie konkret: Benennen Sie die drei oder vier Dienste, deren Ausfall die größten Auswirkungen hätte, legen Sie eine Toleranz für die Ausfallzeit jedes einzelnen Dienstes und den maximal zulässigen Datenverlust fest – sogenannte Recovery Time Objectives (RTOs) und Recovery Point Objectives (RPOs), wie sie von den Aufsichtsbehörden genannt werden. Verknüpfen Sie diese Ziele mit Umsatz- und Kundenverpflichtungen, statt mit einer Kontrollcheckliste.
  • Integrieren Sie Kontrolle in das Betriebsmodell
    Resilienz ist dann am effektivsten, wenn Architektur, Lieferantenauswahl, Cyberabwehr, Produktentwicklung und Entscheidungsbefugnisse die gewünschte Geschwindigkeit, Flexibilität und Sicherheit des Unternehmens widerspiegeln. Konkret bedeutet das, zu wissen, wo ein einzelner Anbieter oder eine Cloud-Region ein Konzentrationsrisiko birgt sowie im Voraus festzulegen, wer ein Failover auslösen oder eine Exit-Strategie aktivieren darf. Testen Sie diese Entscheidungen, bevor ein Vorfall sie erzwingt.
  • Behandeln Sie KI als Teil der Resilienzplanung
    Künstliche Intelligenz (KI) beschleunigt und automatisiert definierte Prozesse. Dies wirft neue Fragen hinsichtlich Zugriff, Nachvollziehbarkeit, Prüfbarkeit, Entscheidungsbefugnis und Kontrolle auf. Es gilt festzulegen, welche Entscheidungen ein Modell selbstständig treffen darf und welche menschliches Eingreifen erfordern. Zudem muss dokumentiert werden, warum jede automatisierte Aktion ausgeführt wurde. Auch die KI-Pipeline selbst sollte als potenzielles Angriffsziel betrachtet werden.
  • Blicken Sie über Ihren eigenen Horizont hinaus
    Resilienz endet nicht mehr bei den eigenen Systemen. Die meisten Unternehmen sind heute von denselben wenigen Cloud-Plattformen, Zahlungssystemen und SaaS-Anbietern abhängig. Das bedeutet, dass der Ausfall eines einzelnen Services weite Teile des Sektors gleichzeitig treffen kann – ein Konzentrationsrisiko, das kein einzelnes Unternehmen vollständig kontrollieren kann. Analysieren Sie die gemeinsamen Abhängigkeiten Ihrer kritischen Dienste, verstehen Sie, wo das gesamte Ökosystem denselben Schwachstellen ausgesetzt ist, und planen Sie für Störungen, die von außerhalb Ihres Unternehmens ausgehen.
„Selbst die bekanntesten Services sind nicht immun. Ein einziger Fehler tief in der AWS-Infrastruktur hatte einst weitreichende Folgen für das Internet und legte neben anderen digitalen Diensten auch Banking-Apps lahm.“
Khaled Ouafi, Partner

Resilienz macht schnelles Vorankommen sicherer

Finanzunternehmen haben im Bereich Compliance deutliche Fortschritte erzielt. Der nächste Schritt besteht darin, diese Arbeit enger mit dem Geschäftswert, der Servicequalität und strategischen Entscheidungen zu verknüpfen.

Es geht nicht mehr nur darum, ob ein System heute funktioniert. Vielmehr geht es darum, ob das digitale Betriebsmodell – die Technologie, die Services und die Daten, auf denen das Geschäft basiert – genügend Flexibilität, Sicherheit und Vertrauen für die Zukunft bietet. Genau hier liegt die Resilienz im Finanzdienstleistungssektor: nicht in der Einhaltung der Compliance-Vorgaben, sondern in den IT- und Digitalentscheidungen, die bestimmen, wie schnell und sicher sich das Unternehmen weiterentwickeln kann. Laut Khaled gibt Resilienz Finanzinstituten die Struktur, um dynamisch zu bleiben, Kunden besser zu bedienen und sich anzupassen, ohne die Kontrolle zu verlieren.

Resilienz für Finanzunternehmen: Schneller handeln statt nur schneller erholen

Resilienz für Finanzunternehmen: Schneller handeln statt nur schneller erholen