1 Einführung

Meine sehr geehrten Damen und Herren,

"der Blick der Bundesbank auf die Kreditinstitute in Deutschland" – darum soll es jetzt gehen. Wie einige von Ihnen vielleicht schon gesehen haben, ist der Blick auf die Frankfurter Kreditinstitute von unserer Zentrale in Frankfurt-Ginnheim ziemlich gut. Aber wir sehen auch alle anderen Kreditinstitute außerhalb Frankfurts – schließlich beaufsichtigen wir sie ja.

Wenn man alles sieht, kann es aber passieren, dass man das Wichtigste übersieht – Sie kennen den Spruch "man sieht den Wald vor lauter Bäumen nicht". Als Bankenaufseher ist es unsere Aufgabe und unser Anspruch, den Bankenwald nicht nur zu sehen, sondern auch zu verstehen und die größten Probleme zu erkennen. Als ehemaliger Banker gilt das für mich natürlich in besonderem Maße.

Heute spreche ich drei wesentliche Herausforderungen an, die wir sehen, wenn wir auf die Kreditinstitute in Deutschland blicken:

Zum einen ist das ihre geringe Ertragskraft im Niedrigzinsumfeld, die dazu führt, dass viele Häuser ihre Geschäftsmodelle anpassen müssen. Zum zweiten sind das die Anforderungen an die Institute aufgrund der Regulierungsreformen in den vergangenen Jahren. Und schließlich ist das auch im Jahr 2017 immer noch das Thema IT-Sicherheit. Alle drei Herausforderungen dürften hoffentlich niemanden von Ihnen überraschen, denn wir diskutieren sie teilweise schon seit Jahren. Das heißt aber nicht, dass ich Ihnen nun einen Vortrag aus dem letzten oder vorletzten Jahr halten könnte. Wir sind in allen Fällen weitergekommen und haben neue Erkenntnisse gewonnen, die ich mit Ihnen teilen möchte.

2 Die Ertragskraft im Niedrigzinsumfeld nimmt weiter ab

Beginnen wir mit der Profitabilität. Vor gut drei Wochen haben wir gemeinsam mit der BaFin die Ergebnisse unserer dritten Niedrigzinsumfrage veröffentlicht. Dabei haben wir die rund 1.600 Banken und Sparkassen, die unter unserer direkten Aufsicht stehen, zur Ertragslage und Widerstandsfähigkeit befragt und auf Herz und Nieren geprüft.

Was sehen wir in den Ergebnissen? Wenig überraschend belasten die niedrigen Zinsen viele Institute in Deutschland ganz erheblich. Sie rechnen weiterhin mit rückläufigen Erträgen, allerdings weniger schlimm, als sie es noch 2015 erwartet hatten – immerhin ein kleiner Fortschritt.

Wenn wir ehrlich sind, sehen wir aber auch, dass das Niedrigzinsumfeld die geringe Ertragskraft der deutschen Kreditinstitute zwar verstärkt, aber nicht verursacht hat. Stattdessen ist die schwache Ertragslage in vielen Fällen struktureller Natur. Dies wird beim Blick auf das hohe Aufwand-Ertrag-Verhältnis deutlich, das vor allem bei den großen Banken im internationalen Vergleich seit Jahrzehnten ungünstig ist. Bitte bedenken Sie: Banken und Sparkassen in Deutschland wenden für einen Euro Ertrag durchschnittlich etwa zehn Cent mehr auf als im europäischen Durchschnitt.

Was können die deutschen Banken und Sparkassen tun? Sie können dieser Ertragsschwäche begegnen, indem sie ihre Geschäftsmodelle auf den Prüfstand stellen und sich neue Geschäftsfelder erschließen.

Die üblichen Reaktionen der Kreditinstitute, die wir als Aufseher beobachten, lassen sich in zwei Kategorien einteilen. Da gibt es zum einen die Kategorie "Zeit gewinnen". Darunter fallen Maßnahmen wie zum Beispiel Reserven auflösen, Fristentransformation erhöhen oder mehr Risiken eingehen. Das ist an manchen Stellen in Ordnung und funktioniert kurzfristig, aber es ist keine Dauerlösung. Irgendwann haben sie keine Reserven mehr, die sie auflösen können. Irgendwann wird es gefährlich, noch höhere Risiken einzugehen. Und irgendwann kommt auch die Fristentransformation an ihr Ende. Wir sehen, dass besonders Genossenschaftsbanken und Sparkassen bereits aktuell erhöhte Zinsänderungsrisiken haben – hier ist Vorsicht geboten.

Die zweite Kategorie ist die der "strukturellen Anpassungen" – das sind die nachhaltigen Reaktionsmöglichkeiten, die aber in der Regel Zeit brauchen. Darunter verstehen wir Veränderungen der Ertragsstruktur, die Verringerung operativer Kosten sowie – teils als Mittel zur Kostenreduktion – Fusionen und Konsolidierung. Wir sehen es durchaus positiv, dass diese Reaktionen gegenüber dem reinen "Zeit gewinnen" in den vergangenen Jahren an Bedeutung gewonnen haben.

So planen viele deutsche Institute mit einem erhöhten Provisionsergebnis, das den Rückgang des Zinsergebnisses ausgleichen soll. Aber eine Kompensation in dieser Höhe – immerhin reden wir von etwa drei Milliarden Euro – kann nicht ganz einfach sein. Hier ist Realismus gefragt – Zweckoptimismus wäre fehl am Platz.

Der Wettbewerbsdruck auf dem deutschen Banken- und Sparkassenmarkt ist weiterhin hoch: Drei Viertel der in unserer Umfrage befragten Institute rechnen sogar mit weiter zunehmendem Wettbewerb durch andere Banken oder Fintechs. Um in diesem Umfeld bestehen zu können, denken die Institute immer häufiger über Fusionen nach. Von den befragten Banken und Sparkassen befindet sich jedes neunte Institut bereits heute in einem Fusionsprozess oder hat konkrete Fusionsabsichten. Rund die Hälfte der übrigen Institute kann sich eine Fusion innerhalb der nächsten fünf Jahre vorstellen. Die Hälfte aller Institute – das ist schon eine bemerkenswerte Zahl.

Einschränkend muss man allerdings sagen, dass sich nur 10 Prozent der befragten Institute vorstellen können, von einem anderen Institut übernommen zu werden. Ich vermute also, dass wir tatsächlich weniger Fusionen sehen werden, als es nach unsrer Umfrage scheint. Trotzdem wird damit der Trend der vergangenen Jahre fortgeschrieben: Seit 1990 hat sich die Zahl der deutschen Banken und Sparkassen von über 4.500 auf rund 1.600 reduziert, insgesamt also mehr als gedrittelt. Und allem Anschein nach gibt es noch weiteres Potenzial.

Folgendes dürfen wir jedoch nicht vergessen: Fusionen bieten die Möglichkeit zur Kosteneinsparung, aber sie sind alles andere als ein Allheilmittel: Aus zwei unprofitablen Instituten wird durch eine Fusion kein profitables. Da müssen schon grundsätzlich Geschäftsmodelle überdacht und in Frage gestellt werden.

Wir halten also fest: Die Möglichkeiten zum "Zeit Gewinnen" wurden und werden im deutschen Bankenwesen genutzt. Dass das aber langfristig keine Lösung ist, ist bei den meisten Instituten sehr wohl angekommen. Strukturanpassungen sind im Gange.

Es gibt aber auch immer noch Banken und Sparkassen, die uns sagen: "Wir verdienen unser Geld noch. Es ist zwar nicht mehr so leicht wie früher, aber es geht." Das haben wir auch bei unserer Umfrage gesehen. Es gibt also auch heute noch Institute in Deutschland, die profitabel bis sehr profitabel sind. Solche Institute finden wir hauptsächlich unter den kleineren Privatbanken mit einem oftmals spezialisierten Geschäftsmodell. Auch hier gilt es aber, wachsam und flexibel zu sein, denn Ertragsnischen sind nicht immer dauerhaft.

3 Regulierungsreformen fordern die Institute

Kommen wir nun zur zweiten großen Herausforderung; nämlich zu den Regulierungsreformen der vergangenen Jahre. Die Neue Züricher Zeitung hat vor kurzem die Textmenge der Baseler Standards analysiert und festgestellt, dass diese seit den 1980er Jahren deutlich angewachsen ist. Dabei haben sie sich sogar die Mühe gemacht, die Wörter aller Veröffentlichungen des Baseler Ausschusses zu zählen und sind auf über zwei Millionen Wörter gekommen – angeblich zählt die Bibel im Vergleich dazu nur gut 700 000 Wörter.

Die Umsetzung von Basel III ist weiterhin eine Herausforderung für die deutschen Kreditinstitute. Deshalb führen der Baseler Ausschuss für Bankenaufsicht und die Europäische Bankenaufsichtsbehörde EBA seit 2011 halbjährlich ein Basel III-Monitoring durch. Dabei werden 164 Banken aus 19 EU-Ländern analysiert, und es wird geschaut, inwieweit sie die neuen Anforderungen erfüllen können. Die neuesten Ergebnisse wurden vergangene Woche veröffentlicht.

Danach stehen die allermeisten deutschen Häuser bei der Umsetzung von Basel III mittlerweile recht gut da. Alle Institute erfüllen die Anforderungen an die Kapitalquoten, und zwar auch die Quoten, die erst ab 2019 eingehalten werden müssen. Besonders positiv hervorheben möchte ich dabei, dass die Erhöhung der Kapitalquoten sowohl durch den Ausbau der Kapitalausstattung, als auch durch den Abbau der risikogewichteten Aktiva zustande kam. Das ist ein Anzeichen dafür, dass die Institute die richtigen Lehren aus der Finanzkrise gezogen haben und wir auf dem Weg zu einem stabileren Finanzsystem sind.

Auch die durchschnittliche Verschuldungsquote – die Leverage Ratio – hat sich in den vergangenen Jahren deutlich verringert. Sie liegt bei den Gruppe 1-Banken, also bei den großen deutschen Banken, im Mittel bei 3,8 Prozent, bei den Gruppe 2-Banken, also den kleineren, im Mittel bei 5,3 Prozent. Gerade die großen deutschen Banken weisen jedoch im Vergleich zu anderen europäischen Instituten weiterhin eine unterdurchschnittliche Leverage Ratio auf. Hier sollten sie nachziehen.

Wenden wir uns nun den beiden Liquiditätskennzahlen Liquidity Coverage Ratio und Net Stable Funding Ratio zu. Während alle deutschen Institute bereits die ab 2018 einzuhaltende kurzfristige Liquiditätsquote LCR einhalten, gibt es bei der strukturellen Liquiditätsquote NSFR Nachholbedarf, und zwar sowohl bei den großen als auch bei den kleineren Häusern.

In naher Zukunft erwarten uns in Deutschland noch zwei regulatorische Neuerungen, die zeigen, dass nicht nur die Einhaltung der Kapital- und Liquiditätsanforderungen eine Herausforderung darstellt. Zum einen werden die Anforderungen des Baseler Ausschusses an Risikodatenaggregation und Risikoberichterstattung in die nationalen Mindestanforderungen an das Risikomanagement, die sog. MaRisk überführt. Zum anderen werden die bankaufsichtlichen Anforderungen an die IT, die sogenannten BAIT, veröffentlicht.

Bei den verstärkten Anforderungen an das Risikomanagement geht es darum, eine angemessene Risikokultur innerhalb der Institute zu entwickeln. Bei den systemrelevanten Instituten gehört dazu eine aktuelle und automatisierte Aggregation der Risikodaten. Denn nur eine aktuelle, schnell verfügbare und verlässliche Datenbasis ermöglicht überhaupt ein wirksames Risikomanagement. Stellen Sie sich vor, es würde in einer Stresssituation mehrere Tage dauern, bis Sie eine Übersicht über die Institutsrisiken erhalten – wenn Sie schnell reagieren müssen, ist das viel zu lange.

Die BAIT wiederum sollen dafür sorgen, dass die Erwartungshaltung der Aufsicht an das IT-Management der Institute transparenter wird. Sie schaffen einen flexiblen und praxisnahen Rahmen für das Management der IT-Ressourcen und für das IT-Risikomanagement und sollen dazu beitragen, das unternehmensweite IT-Risikobewusstsein im Institut und gegenüber Auslagerungsunternehmen weiter zu erhöhen.

Keine Frage: Wir muten den Instituten einiges zu. Dass eine effektive Regulierung der Finanzindustrie notwendig ist, ist dabei größtenteils unstrittig. Wir sind uns einig, dass Banken einen unverzichtbaren Beitrag zu Wohlstand und Wachstum leisten und dass es zu ihrem Geschäftsmodell gehört, Risiken einzugehen. Wer Risiken eingeht, kann jedoch auch scheitern. Das Scheitern von Finanzinstituten hat in der Regel weitreichende gesellschaftliche Auswirkungen. Deshalb schützt eine gute Regulierung der Finanzindustrie unsere Wirtschaft, die Verbraucher und auch die Finanzindustrie selber – es profitieren also letztendlich alle.

Ich gebe aber auch unumwunden zu, dass nicht jede Vorschrift zu jeder Bank und Sparkasse passt. Mit Basel III ist die Regulierung sehr komplex und detailorientiert geworden. Sie ist größtenteils zugeschnitten auf große, international vernetzte Banken mit komplexen, risikoreichen Geschäften. Kleinere, regional tätige Institute mit einfachem Geschäftsmodell können von den vielen Vorschriften und Meldungen schnell überfordert sein. Weil sie die Standardmethoden anwenden, profitieren sie gleichzeitig nur eingeschränkt von den Vorteilen der risikoorientierten Regulierung.

Ich spreche mich deshalb bereits seit längerem für die Einführung eines vereinfachten Regelwerkes, die Small Banking Box, aus. Mir geht es dabei vor allem darum, den Verwaltungsaufwand zu vereinfachen. Unsere Vorschläge richten sich an kleine Institute mit einfachem Geschäftsmodell, die nicht grenzüberschreitend tätig sind und über keine internen Modelle verfügen. Diese könnten weitgehend von den Offenlegungsvorschriften und Vergütungsregeln, genauso wie von der Sanierungs- und Abwicklungsplanung befreit werden. Auch über Erleichterungen im Meldewesen und eine Vereinfachung der langfristigen Liquiditätskennziffer NSFR denken wir nach.

Wie ist der aktuelle Stand der Small Banking Box? Es ist klar, dass ein nationaler Alleingang nicht ausreicht. Im Juni hat das Bundesfinanzministerium daher ein gemeinsam mit der Kreditwirtschaft entwickeltes deutsches "non-paper" in die Experten-Arbeitsgruppe der Europäischen Kommission eingebracht. Nun gilt es, europäische Allianzen zu schmieden und andere Länder von unserem Konzept zu überzeugen.

4 IT-Sicherheit: Gefahren lauern überall

Lassen Sie uns zuletzt noch über einen weiteren Dauerbrenner sprechen, und zwar über die IT-Sicherheit im Kreditwesen. Sie liegt mir deshalb besonders am Herzen, weil ihr kaum genug Beachtung zukommen kann.

Ich habe es vorhin bereits angesprochen: Wir erwarten demnächst ein neues Rundschreiben der BaFin zu den bankaufsichtlichen Anforderungen an die IT. Wenn Sie morgens ins Büro kommen und Ihren PC einschalten, machen Sie sich wahrscheinlich keine großen Gedanken. Sie erwarten, dass alles funktioniert. Aber was, wenn nichts funktioniert?

Fakt ist, dass bei einem Ausfall der IT-Infrastruktur innerhalb von wenigen Stunden enorme Schäden entstehen können. Und dass eine Ausfallzeit im Tagesbereich ausreichen kann, um das Überleben eines Instituts zu gefährden. Die möglichen Ursachen eines Ausfalls reichen vom bei Bauarbeiten gekappten Stromkabel bis hin zum gezielten Cyber-Angriff.

Während im ersten Fall schon eine funktionierende Notstromversorgung als Vorsorge ausreicht, ist die Verteidigung gegen Cyber-Angriffe deutlich schwieriger. Denn die Angreifer sind so unterschiedlich wie ihre Ziele und ihre Angriffsstrategien.

Die Spanne reicht von politischen Aktivisten über klassische Hacker bis hin zur organisierten Kriminalität und zu Spionen fremder Staaten. Es geht ihnen um Geld, um Informationen, um persönliche Daten oder um Aufmerksamkeit. Manchmal auch um alles zusammen.

Ein effektives IT-Sicherheitskonzept geht daher über Virenscanner und Firewalls weit hinaus. Es muss vielmehr eher einem Immunsystem als einem Mauerwerk ähneln. Es benötigt eine geeignete Governance, die die Verantwortung für Cyber-Risiken nahtlos sicherstellt. Und ganz wichtig: Es muss einkalkuliert sein, dass die größte Schwachstelle in einem Sicherheitskonzept immer der Mensch ist.

Kreditinstitute sind besonders beliebte Angriffsziele. Aber auch wir als Bundesbank haben alleine vergangenes Jahr 10.000 mit Malware infizierte E‑Mails abgefangen und 100.000 unautorisierte Zugriffe auf unsere Infrastruktur verhindert.

Und obwohl man meinen sollte, dass im Jahre 2017 jeder für dieses Thema ausreichend sensibilisiert sein sollte, kommt es nicht nur zu aufsehenerregenden Schadensfällen wie den WannaCry- oder NonPetya-Angriffen im Mai und Juli dieses Jahres, sondern auch zu vielen kleineren Vorkommnissen, die es nicht in die Medien schaffen.

Die BAIT sollen deshalb noch einmal ganz deutlich machen, was die Mindestanforderungen seitens der Aufsicht sind. Das befreit die Institute aber nicht von der Verantwortung, selbst für ein erfolgreiches IT-Sicherheitskonzept zu sorgen. Auf vielen Ebenen ist inzwischen entsprechendes Bewusstsein vorhanden. Aber es gibt in der operativen Umsetzung noch sehr viele Baustellen. Und Stillstand darf es gerade bei diesem Thema nicht geben.

5 Fazit

Was sehen wir als Bundesbank also, wenn wir auf die Kreditinstitute in Deutschland schauen? Wir sehen in erster Linie ein herausforderndes Umfeld. Wir sehen aber auch, dass sich viele Institute diesen Herausforderungen stellen und einige Institute diese auf beachtliche Weise meistern. Wir sehen ertragsstarke Institute, die ihr Geschäftsmodell an die Gegenwart angepasst haben, dass die neuen Regulierungen gut umgesetzt werden, und dass das Bewusstsein für IT-Sicherheit zumindest in bestimmten Bereichen gut entwickelt ist. Es kommt nun darauf an, sich in all diesen sehr unterschiedlichen Bereichen für die Zukunft zu wappnen und in den Anstrengungen nicht nachzulassen. Dann kann ich guten Gewissens sagen, dass der Blick der Bundesbank auf die Kreditinstitute positiv ist.