Es gilt das gesprochene Wort.

Lieber Herr von Sandersleben,
lieber Herr Dr. Tamm,
meine Damen und Herren,

viele Redner beginnen ihren Vortrag damit, dass sie sich für die Einladung bedanken, um gleich darauf zu betonen, wie gerne sie in die jeweilige Stadt gekommen sind. Wenn ich das heute auch so halte, dann ist das kein wohlfeiler Allgemeinplatz, sondern ein wirkliches Anliegen. Gleich aus zwei Gründen sind Leipzig-Termine für mich etwas Besonderes. Mein Vater war Mitglied der Thomaner. Von seiner Zeit im Thomasalumnat hat er nie viel erzählt. Von Seiten seiner Mutter, meiner Großmutter, habe ich aber erfahren, dass er als aus Königsberg stammender, kaum zehnjähriger Junge wegen Heimweh zweimal ausgebüchst ist, bevor er von der großartigen Frau Ramin getröstet und unter ihre Fittiche genommen wurde. Ich weiß, dass der Lebensabschnitt in Leipzig meinen Vater nachhaltig geprägt hat. Seien Sie indes versichert, dass ich heute Abend nicht Reißaus nehmen werde.

Zum anderen habe ich selbst der Messestadt eine sehr beeindruckende Erfahrung zu verdanken. Wenige Tage nach dem Fall der Mauer bin ich mit einigen Freunden in einem alten, klapprigen Ford vom Westen Berlins, wo ich damals lebte, nach Leipzig gefahren, um an einer Montagsdemonstration teilzunehmen.

Es war atemberaubend, wie die Menschen zu Tausenden durch die Stadt zogen und immer wieder Rufe nach Freiheit, Demokratie und zunehmend auch Einheit erschallten. Ich begann, mir vorzustellen, um wie viel bewegender diese Demonstrationen für die Leipziger gewesen sein müssen, die bereits ein paar Wochen zuvor unterwegs waren, als Staatspartei und -Sicherheit noch allmächtig erschienen. Jederzeit wären die Sicherheitsorgane in der Lage gewesen, den Träumen von Freiheit und Einheit ein Ende zu bereiten. Am 9. Oktober 1989 standen rund 70.000 Demonstranten mit Kerzen in den Händen einem hochgerüsteten Polizeiapparat gegenüber. Sie mussten damit rechnen, niedergeknüppelt oder auseinandergetrieben zu werden. Und anders als wir Import-Demonstranten hatten die Leipziger damals keinen bundesdeutschen Pass in der Tasche, mit dem sie im Zweifel wieder in Richtung Berlin-West hätten ausreisen können.

Nicht zu Unrecht schaute damals ganz Europa auf Leipzig und die epochalen Veränderungen, die hier ihren Ausgangspunkt nahmen. Der viel besungene Wind des Wandels veränderte das Angesicht des gesamten Kontinents. Es liegt aber in der Natur der Sache, dass sich der Zauber, der jedem Anfang innewohnt, irgendwann verflüchtigt. Und so werden Demokratie und europäische Einigung - nicht nur in dieser Stadt - immer seltener als Verheißung wahrgenommen. Nicht ohne Grund warnte Bundespräsident Joachim Gauck im Oktober 2014 hier in Leipzig zum 25. Jahrestag der friedlichen Revolution davor, die demokratischen Errungenschaften als selbstverständlich hinzunehmen. Damit eine Demokratie dauerhaft erfolgreich sein kann, brauche sie das nachhaltige Engagement der Bürger. Was immer dann, wenn die Brecht`schen Mühen der Ebene¹ beginnen, leichter gesagt als getan ist. Ich gebe zu: Gerade wenn ich an die hin und wieder doch sehr langwierigen Abstimmungs- und Entscheidungsprozesse in der europäischen Finanzregulierung denke, sind die Mühen der Ebene manchmal mit den Händen zu greifen.

Europa im Alltag kann kompliziert sein. Genau dann müsste ich mir jene bewegenden Eindrücke vom Herbst 1989 in Erinnerung rufen. Genau für dieses Europa und diese Demokratie mit ihren mühsamen, aber partizipativen Abwägungsprozessen sind die Menschen in der DDR auf die Straße gegangen. Aber wer wüsste besser als Sie in Leipzig, dass es ungleich erstrebenswerter ist, über sein Leben selbst zu bestimmen, als von anderen bestimmt zu werden. Und deshalb tun wir gut daran, unser demokratisches System zu stützen und im vereinten Europa an tragfähigen und nachhaltigen Lösungen zu arbeiten. Das gilt auch für mein ureigenes Feld: Finanzaufsicht und Regulierung. Auch wir brauchen europäische, wenn nicht gar globale, Lösungen, da der nationale Aktionsradius für die globalisierten Finanzmärkte längst zu klein geworden ist.

Meine Damen und Herren,

aus meinen Leipzig-Erlebnissen vom November 1989 habe ich auch die Erkenntnis mitgenommen, dass Gewissheiten, die heute unumstößlich erscheinen, schon morgen widerlegt sein können. Was selbstverständlich auch auf die Finanzmärkte zutrifft. Denken Sie nur an die Finanzkrise 2007/2008. Da wurde manch ein Laissez-faire-Saulus über Nacht zum Regulierungspaulus.

In den Jahren vor der Krise war die Hypothese von der Effizienz der Märkte groß in Mode gekommen. Kurz zusammengefasst bedeutete dies, dass große Teile von Wissenschaft und Politik, aber auch Regulierer glaubten, der Markt könne alles oder zumindest sehr vieles allein richten, man müsse ihm nur vertrauen und ihn in Ruhe machen lassen. Das mag als theoretisches Konstrukt vielleicht ganz fabelhaft funktionieren. Diejenigen unter Ihnen, die ebenfalls der möglicherweise berechtigten Meinung sind, dass sich der Markt zumindest langfristig wieder einrenkt, seien jedoch an einen Satz von John Maynard Keynes erinnert: „Markets can remain irrational longer than you can remain solvent.“ Dennoch schwebte die Leitidee von der Effizienz der Märkte über vielen Reformen, die alle nur das Ziel hatten, den Finanzsektor weitestgehend von Paragraphen-Ballast zu befreien. Natürlich gab es sie, die Einzelstimmen, die schon in den Jahrzehnten vor der Krise vor allzu großer Marktgläubigkeit warnten. Doch kaum einer mochte sie hören. Vorwärts immer, rückwärts nimmer!

Dieser in Ostdeutschland nur allzu gut bekannte Spruch gibt auch die damalige Haltung einiger Laissez-faire-Fans ganz gut wieder. Regulierung, oder besser: gute Regulierung galt ihnen als nicht mehr zeitgemäß. Wenn Regulierung und Aufsicht überhaupt sein mussten, dann allenfalls in den Varianten der leichten Hand. Erst unter dem Leidensdruck einer globalen Krise konnten die Weichen der Finanzmarktregulierung neu gestellt werden, dies ebenso konsequent wie temporeich: Gesetzgeber und Regulierer begannen umgehend damit, auf globaler, aber auch auf europäischer und nationaler Ebene grundlegende Reformen mit stringenteren Vorgaben anzustoßen und in der Folge auch umzusetzen.

So notwendig diese Veränderungen angesichts einer epochalen Krise auch waren, sie bleiben doch Reaktionen auf Missstände, gewaltige Missstände. Besser ist natürlich, einen solchen Schlamassel erst gar nicht entstehen zu lassen. Dies kann nur gelingen, wenn Regulierer und Gesetzgeber ihr eigenes Tun immer wieder kritisch hinterfragen und regelmäßig den Dialog mit den unterschiedlichsten Partnern aus Wissenschaft, Wirtschaft und Gesetzgebung suchen. So kann vielleicht vermieden werden, dass sich Regulierung – mehr als es gut tut - auf ideologische Trends und den jeweiligen Zeitgeist einlässt. Was es auf jeden Fall zu vermeiden gilt, ist ein regulatorischer Schweinezyklus aus Krise – Regulierung – Deregulierung und erneuter Krise. An was sowohl die Industrie als auch das öffentliche Gemeinwesen dagegen interessiert sein sollten, sind regulatorische Stabilität und Verlässlichkeit.

Deshalb brauchen die Finanzmärkte starke Institutionen, die darüber wachen, dass Gesetze und Richtlinien auch eingehalten werden und die bei Missbräuchen dafür sorgen, dass Regelverstöße sanktioniert werden. Hier kommen dann unter anderen wir ins Spiel: die Bundesanstalt für Finanzdienstleistungsaufsicht, kurz BaFin, über deren Arbeit ich Ihnen heute berichten soll. Dabei werde ich mich vor allem auf die Bankenaufsicht konzentrieren.

Meine Damen und Herren,

erlauben Sie mir an dieser Stelle eine kurze Definition dessen, was Aufsicht und was Regulierung bedeutet: Aufsicht ist Anwendung und Durchsetzung geltenden Rechts. Regulierung ist Entwicklung und Setzen neuer Rechtsnormen, also eigentlich Aufgabe des Gesetzgebers. Wir, die BaFin, betreiben primär Aufsicht. Aber wir wirken natürlich auch stark an regulatorischen Vorhaben mit – auf nationaler, europäischer und globaler Ebene. Wir unterliegen der Rechts- und Fachaufsicht des Bundesfinanzministeriums – und damit als Teil der Exekutive der Kontrolle des Parlaments, das heißt des Deutschen Bundestages.

Die Politik stand auch Pate, als die BaFin im Jahr 2002 das Licht der Welt erblickte. Weil Banken, Finanzdienstleister und Versicherer damals zunehmend mit ähnlichen Produkten um dieselben Kunden konkurrierten und mächtige Finanzkonglomerate entstanden, galt die historisch bedingte Aufteilung der Aufsichtskompetenzen auf mehrere Behörden als nicht mehr zeitgemäß. So entschied der Gesetzgeber, aus den Bundesaufsichtsämtern für das Kreditwesen (BAKred), das Versicherungswesen (BAV) und den Wertpapierhandel (BAWe), deren Wurzeln zum Teil über 100 Jahre zurückreichen, eine einzige, sektorübergreifende Finanzaufsicht zu schaffen. Anders als es der Titel einer deutschen Fernsehserie aus den 70er Jahren verheißt, waren drei bei der Entstehung der BaFin nicht einer zu viel. Anfang nächsten Jahres erhält unsere Behörde weiteren Zuwachs.

Dann wird die nationale Abwicklungsbehörde, die bislang bei der Bundesanstalt für Finanzmarktstabilisierung (FMSA) ressortiert, in die BaFin eingegliedert werden. Dann werden ca. 2800 Mitarbeiterinnen und Mitarbeiter in der BaFin beschäftigt sein.

Allerdings lief das Zusammenwachsen unseres Hauses nicht ohne Friktion ab. Vor allem die Gründung wurde zu einer regelrechten Sturzgeburt. Im Streit um das Zuwanderungsgesetz der damaligen Bundesregierung entschieden sich die Ministerpräsidenten der unionsgeführten Länder völlig überraschend, bei der maßgeblichen Sitzung des Bundesrats im März 2002 den Saal vorzeitig und unter Protest zu verlassen. Der Gesetzentwurf über die integrierte Finanzdienstleistungsaufsicht passierte daraufhin die geschrumpfte Länderkammer überraschend und völlig problemlos, ohne die von allen erwartete Ehrenrunde im Vermittlungsausschuss drehen zu müssen. So ging die BaFin bereits am 4. Mai 2002 unter der Leitung des damaligen Präsidenten Jochen Sanio offiziell an den Start. Dass dies ein organisatorischer und logistischer Kraftakt war, können Sie sich vorstellen.
Aber in einer Stadt wie Leipzig, in der ein ganzes politisches System aus den Angeln gehoben wurde, dürfte „Geht nicht, gibt’s nicht!“ eine allgemein anerkannte Handlungsmaxime sein.

Übrigens vereinigt die BaFin nicht nur verschiedene Aufsichtsbereiche, wir betreiben neben der solvenzbasierten Aufsicht, die sich vor allem auf quantitative Vorgaben stützt, auch Verhaltensaufsicht. In der Verhaltensaufsicht geht es unter anderem darum, Standards durchzusetzen, die das Vertrauen der institutionellen und privaten Anleger in die Finanzmärkte wahren. Dazu bekämpfen wir beispielsweise Insidergeschäfte und Marktmanipulation. Mit dem Kleinanlegerschutzgesetz hat der Gesetzgeber 2015 den kollektiven Verbraucherschutz als zusätzliches Aufsichtsziel für alle Geschäftsbereiche der BaFin gesetzlich verankert. Die BaFin hat nun die Möglichkeit, verbraucherschutzrelevante Missstände zu verhindern oder zu beseitigen, wenn eine generelle Klärung im Interesse des Verbraucherschutzes geboten erscheint.

Kollektiver Verbraucherschutz bedeutet, dass wir dann aufsichtlich aktiv werden, wenn ein oder mehrere von uns beaufsichtigte Finanzunternehmen den Interessen einer Vielzahl von Verbrauchern auf rechtswidrige Weise zuwiderhandelt. Die Aufgabe unserer Aufsicht ist es aber nicht, einzelnen Verbrauchern zu ihrem Recht zu verhelfen. Dies obliegt weiterhin den Gerichten, den Verbraucherzentralen oder den Ombudsleuten.

Natürlich kann es einen Konflikt zwischen Solvenz- und Verhaltensaufsicht geben. Deshalb ist es ja auch sinnvoll, beide Sichtweisen innerhalb einer integrierten Behörde eigenständig zu organisieren. Wenn es aber darum geht, ausgewogene Entscheidungen zu treffen, dann ist dies unter dem Dach der integrierten Behörde am besten möglich. Konflikte zwischen Solvenz- und Verhaltensaufsicht lösen sich nämlich nicht in Luft auf, wenn man sie getrennten Behörden überantwortet.

Wie vor 15 Jahren, so sprechen auch heute noch viele überzeugende Argumente für unser integriertes Aufsichtsmodell. Banken, Versicherer und Kapitalmarktunternehmen haben – trotz aller Unterschiede – zahlreiche Gemeinsamkeiten; zudem sind die Sektoren vielfältig miteinander verflochten.

Der sektorübergreifende Blick hilft uns, Dinge aus verschiedenen Blickwinkeln zu betrachten, etwa die Folgen der Niedrigzinspolitik oder die Herausforderungen, vor die uns aktuell der bevorstehende Abschied des Vereinigten Königreichs aus der Europäischen Union stellt. Gerade der Brexit hat uns die Vorteile einer integrierten Aufsichtsbehörde nochmals sehr konkret vor Augen geführt. Ganz gleich, ob es um Fragen des Bank- oder Versicherungswesens geht oder um die – sehr stark die Wertpapieraufsicht betreffenden – Fragen eines Broker Dealers, die BaFin ist in der Lage, alles aus einer Hand anzubieten.

In Deutschland gibt es zudem die Besonderheit, dass sich BaFin und Deutsche Bundesbank die Bankenaufsicht teilen, wobei die die hoheitlichen Aufsichtsbefugnisse bei der BaFin liegen.

Die Bundesbank mit ihrer historisch gewachsenen dezentralen Organisation sammelt im Rahmen ihrer laufenden Überwachung Informationen zur Risikolage der Banken, und die BaFin entscheidet auf dieser Grundlage darüber, welche Maßnahmen sie ergreift. Die Zusammenarbeit ist sehr gut eingespielt und hat sich über Jahre hinweg bewährt. Inzwischen werden die großen, international agierenden Institutsgruppen von der Europäischen Zentralbank (EZB) beaufsichtigt; BaFin und Bundesbank wirken an diesem Prozess mit. Darauf werde ich gleich näher eingehen, wenn ich konkreter auf die zunehmende Europäisierung der Aufsicht zu sprechen komme. Auch hierfür war die Finanzkrise 2007/2008 ein entscheidender Beschleuniger.

Meine Damen und Herren,

nur fünf Jahre nach ihrer Geburtsstunde stellte diese Krise die BaFin vor die vielleicht ultimative Bewährungsprobe. Wie eingangs beschrieben, wurden durch dieses wirklich herausfordernde Ereignis eklatante Lücken im internationalen Regulierungssystem offensichtlich, die es zu beseitigen galt.

Unter hoher Anspannung mussten weitreichende neue Vorgaben entwickelt und international mehrheitsfähig gemacht werden. Das entscheidende Post-Krisen-Regulierungsziel steckten die G-20-Staats- und Regierungschefs vor etwa neun Jahren ab: Alle Finanzmärkte, alle Produkte und alle Marktteilnehmer sollten reguliert werden – aber, und das ist das Entscheidende, angemessen! Viele Kolleginnen und Kollegen aus der BaFin haben seither in unzähligen, zumeist internationalen Gremien daran mitgewirkt, neue, konsistentere und hoffentlich langfristig tragfähige Anforderungen an die internationale Finanzregulierung zu formulieren.

Zu den wichtigsten Reformpaketen zählte zweifelsohne die Weiterentwicklung der Eigenmittelvorschriften für den globalen Bankensektor. Bereits vor der Krise, im Jahr 2004, hatte der Basler Ausschuss für Bankenaufsicht, der global maßgebliche Regelsetzer im Bankensektor, das reformierte Regelwerk Basel II beschlossen, Ende 2010 folgte Basel III, um dessen endgültige Fertigstellung aktuell noch gerungen wird. Dieses brachte höhere Eigenkapital- und Liquiditätsanforderungen sowie stärkere qualitative Anforderungen an Kapitalinstrumente mit sich. Die Umsetzung von Basel III war und ist ein Kraftakt.
In Europa erfolgte sie zunächst durch eine umfassende Überarbeitung des aufsichtlichen Rahmenwerks, bestehend aus der Eigenmittelverordnung (Capital Requirements Regulation – CRR) und der neuen Richtlinie (Capital Requirements Directive – CRD IV) – ein gigantisches Regulierungspaket, das einen grundlegenden Umbruch für das Bankenaufsichtsrecht der EU bedeutete. Momentan wird dieses Paket überarbeitet; darin finden sich die Vorgaben wieder, die als „Finalisierung von Basel III“ bezeichnet werden.

Nicht nur das materielle Recht wurde nach der Krise europäischer, auch die Aufsichtsarchitektur bekam ein sehr viel europäischeres Fundament. Vorläufer davon wurden allerdings schon im Jahr 2001 angelegt, als der Ausschuss der europäischen Wertpapieraufseher CESR (Committee of European Securities Regulators) aus der Taufe gehoben wurde. Drei Jahre später folgten der Ausschuss der europäischen Bankenaufseher, CEBS (Committee of European Banking Supervisors), und der Ausschuss der europäischen Aufseher für das Versicherungswesen und die betriebliche Altersversorgung, CEIOPS (Committee of European Insurance and Occupational Pensions Supervisors).
Obwohl die Ausschüsse ein maßgeblicher Entwicklungsschritt waren, kamen sie kaum über den Status als regelmäßige Treffen fachkundiger Frauen und Männer heraus, bei denen vor allem der Erfahrungsaustausch im Fokus stand. Die Souveränität nationaler Behörden blieb unangetastet.

Die Finanzkrise war schließlich der entscheidende Katalysator, um Anfang 2011 das Europäische System der Finanzaufsicht in seiner gegenwärtigen Form an den Start zu bringen. Es besteht aus der Europäischen Bankenaufsichtsbehörde EBA, ihrem Pendant für die Versicherungs- und Pensionsfondsaufsicht EIOPA und der Wertpapier- und Marktaufsicht ESMA. Es wird ergänzt durch den Europäischen Ausschuss für Systemrisiken (ESRB), der Handlungsempfehlungen zu makroprudenziellen Fragen in der Europäischen Union abgeben kann. Rechtliche Grundlage hierfür waren drei EU-Verordnungen aus dem Jahr 2010. Anders als ihre Vorgängerorganisationen haben die drei ESAs entscheidend weitreichendere Befugnisse, auch wenn sie entgegen ihrer Namen eher regulatorische Harmonisierer als Aufsichtsbehörden sind. Sie können zum Beispiel verbindliche technische Regulierungs- und Durchführungsstandards entwickeln und selbst Leitlinien und Empfehlungen erlassen.

Im November 2014 startete schließlich der einheitliche europäische Bankenaufsichtsmechanismus (SSM) unter dem Dach der Europäischen Zentralbank (EZB) als erste Säule der Bankenunion. Erstmals wurde damit ein echtes operatives Aufsichtsmandat für die 126 größten europäischen Institutsgruppen von der nationalen auf die europäische Ebene angehoben. Der Unterschied ist gravierend. Während die europäische Finanzregulierung sich zwar inhaltlich, aber nicht strukturell von anderen rechtssetzenden, das heißt politischen, Materien unterscheidet, war die Europäisierung unmittelbaren Verwaltungshandelns – einschließlich weitreichender Eingriffsrechte – etwas wirklich Neues.

Deshalb verlangt der SSM - mit seinen 19 souveränen Staaten - von allen Beteiligten sehr viel mehr als das ansonsten in den europäischen Gremien mehr oder minder eingeübte Austarieren politischer Kompromisse. Dies erleben wir alle zwei Wochen live im Supervisory Board der europäischen Bankenaufsicht der EZB. Sowohl die anfallende Arbeitsmenge als auch der zu bewältigende Detaillierungsgrad sowie die gelegentliche unweigerliche Politisierung von aufsichtlichen Einzelfallentscheidungen sind elementare und ständige Herausforderungen unserer Arbeit.
Um es klar zu sagen: Was hier in sehr kurzer Zeit aufgebaut und seither erreicht wurde, ist eine bemerkenswerte Leistung der EZB sowie aller weiteren beteiligten Institutionen und Personen. Dennoch bleibt die Integration ganz verschiedener Aufsichtskulturen, Sprachen und Bankensysteme eine große, vielleicht niemals ganz abgeschlossene Aufgabe.

Meine Damen und Herren,

die zunehmende Europäisierung der europäischen Bankenaufsicht und Regulierung kann in ihrer Tragweite gar nicht hoch genug eingeschätzt werden. So notwendig dieser Prozess grundsätzlich sein mag, er sorgt, und das dürfte Sie nicht verblüffen, auch für Reibungen. Und das nicht nur bei den betroffenen Finanzinstitutionen, die naturgemäß nicht lange brauchen, um eine gefühlte Überregulierung oder eine als zu exzessiv wahrgenommene Bürokratie zu beklagen, sondern sehr wohl auch aus Sicht nationaler politischer Akteure. Was in Karlspreis-Reden „Zusammenwachsendes Europa“ und „Europäische Harmonisierung“ genannt wird, bedeutet im nationalen Alltag schlicht Souveränitätsverlust.

Dies wird dann besonders relevant, wenn einzelne europäische Regulierungen und ihre nationale Umsetzung zu breiten Diskussionen in der Bevölkerung führen, wie es zuletzt im Fall der Wohnimmobilienkreditrichtlinie zu sehen war.

Sie werden mir nachsehen, dass ich angesichts der zahlreichen, immer wiederkehrenden und im Einzelfall durchaus heiklen Abwägungsprozesse zwischen europäischem Harmonisierungsinteresse einerseits und nationalen Besonderheiten andererseits auf die fortdauernde Notwendigkeit einer starken und kompetenten nationalen Finanzaufsicht hinweisen möchte. Diese Übersetzungsleistung an einer sensiblen Schnittstelle zwischen nationalen und europäischen Interessen ist aus meiner Sicht eine nach wie vor bedeutende Aufgabe. Umgekehrt ist vollkommen klar, dass Finanzregulierung in der heutigen international vernetzten Gesellschaft ohne eine starke europäische Rolle nicht mehr funktionieren würde. Wer meint, immer noch rein nationalstaatlich agieren zu können, der möge bitte einmal einen Blick auf die Welt werfen, so wie sie ist. So beschäftigt uns Finanzregulierer aktuell besonders die fortschreitende Digitalisierung. Geld wird mittlerweile, nur mit ein paar Mausklicks, in Sekundenschnelle rund um den Globus transferiert, und weltweit werden Geschäfte über digitale Plattformen abgewickelt. Zwar gehören Veränderungen und technischer Fortschritt zu einer Marktwirtschaft dazu. Darum begrüße ich es, wenn neue, technikgetriebene Unternehmen mit frischen Geschäftsmodellen das Terrain betreten. Gleichzeitig müssen wir aber auch die Risiken im Blick behalten, die zwangsläufig auf die Finanzmärkte einwirken.

Eine fundamental neue Bedrohung stellen auch die allgemein als Cyberrisiken bezeichneten Phänomene dar, die sowohl durch interne wie durch externe Angriffe auf die Finanzunternehmen einwirken können. Deren Attacken gefährden nicht nur die Vertraulichkeit, Integrität und Verfügbarkeit von Daten und IT-Systemen, sie können auch den Ruf ganzer Unternehmen und sogar die Finanzstabilität an sich bedrohen. Die Aggressoren agieren oft in professionell strukturierten, kriminellen Netzwerken – und machen vor nationalen Grenzen bestimmt keinen Halt.

Ein prominentes Beispiel hierfür ist der erfolgreiche Cyberangriff auf die Nationalbank von Bangladesch im vergangenen Jahr, bei dem schlussendlich 81 Millionen Dollar Schaden entstanden sind und es nur dank eines nicht erkannten Schreibfehlers der Angreifer in einer Überweisung zu keinem Milliardenschaden kam.

Was das Problem noch verschärft: Viele Kreditinstitute haben in den vergangenen Jahren bestimmte Dienstleistungen ausgelagert. Ihre IT-Sicherheit haben sie nur noch bedingt in der eigenen Hand. Eine derart harte Nuss muss zwangsläufig auch auf internationalem Level geknackt werden. Und ich bin froh, dass auf dieser Ebene das Problembewusstsein vorhanden ist. So haben sich die Finanzminister und Notenbankgouverneure der G7 vor gut einem Jahr in Washington explizit mit den virtuellen Gefahren für die Kapitalmärkte befasst. Cyberrisiken sind zudem im globalen Finanzstabilitätsrat (FSB) ein präsentes Thema. Auch im SSM stehen sie auf der Agenda. Als deutsche Aufsicht müssen wir uns aber auch im eigenen Land den Herausforderungen stellen. Wir arbeiten unter anderem intensiv im Nationalen Cyber-Abwehrzentrum mit und kooperieren insoweit sehr eng mit unserem Bonner Nachbarn, dem Bundesamt für Sicherheit in der Informationstechnik (BSI).

Und da wir auch unsere eigenen Hausaufgaben machen, haben wir beschlossen, die IT- Anforderungen, die in den bislang angewendeten Mindestanforderungen an das Risikomanagement (MaRisk) nicht ausreichend detailliert abgebildet sind, in einem eigenen Rundschreiben zu konkretisieren, in den Bankaufsichtlichen Anforderungen an die IT (BAIT). Die BAIT sollen vor allem das Bewusstsein für IT-Risiken in den Instituten erhöhen – auch im Verhältnis zu den IT-Auslagerungsunternehmen. In absehbarer Zeit wird es auch für die Versicherungsaufsicht ein vergleichbares Rundschreiben „Versicherungsrechtliche Anforderungen an die IT“ (VAIT) geben. Auch die Versicherungen verfügen ja über sensible Daten, die Hackern nur als allzu lohnenswerte Beute erscheinen könnten.

Was immer wir mit Blick auf Cyberrisiken tun, Fakt ist: IT-Sicherheit wird niemals endgültig sein, dazu entwickelt sich der technische Fortschritt viel zu schnell. Und dort, wo kriminelle Energie und digitales Know-how zusammenkommen, ist ganz schnell Gefahr im Verzug.

Was wir heute für absolut sicher halten, kann schon morgen zum bevorzugten Angriffspunkt von Cyberschurken werden. Sich darüber im Klaren zu sein, ist allein schon ein Beitrag zur Datensicherheit.

Meine Damen und Herren,

ich hoffe, ich habe Ihnen mit dieser kleinen Tour d`Horizon einige Einblicke in die Arbeit der deutschen Finanzaufsicht geben können. 15 Jahre BaFin in ihrer heutigen Form, das mag nicht nach einem sehr langen Zeitraum klingen, aber denken Sie einmal 15 Jahre zurück. Damals, 2002, nutzte man Mobiltelefone noch zum Telefonieren, Smartphones gab es keine. Und wer ein soziales Netzwerk wollte, der ging in der Regel in die nächste Kneipe oder zum Sportverein. Facebook oder Twitter waren noch nicht erfunden.

In Aufseherjahren gemessen, kommt einem diese Zeitspanne sogar noch länger vor. Seit Gründung der BaFin haben wir viele verschiedene Herausforderungen bewältigen oder zumindest an deren Bewältigung mitwirken können, eine veritable Weltfinanzkrise inklusive.
Ein dynamisches Umfeld hat dafür gesorgt, dass auch wir uns ständig verändern mussten, sowohl beim Personal als auch bei unserer Organisationsstruktur. Da sich auch die Finanzmärkte im Zeitalter von Digitalisierung und Globalisierung mit Sicherheit noch weiter verändern werden, wird sich auch unsere Arbeitswelt weiter wandeln müssen. Dabei erfordert die Dynamik der vorgenannten Entwicklungen auch ein gewisses Anpassungstempo. Der Michail Gorbatschow zugeschriebene Satz, „Wer zu spät kommt, den bestraft das Leben “, gilt eben nicht nur für halsstarrige Zentralkomiteevorsitzende, sondern auch für Aufsichtsbehörden.

Die friedliche Revolution in der DDR indes, die hier in Leipzig ihren Ausgang nahm, hat uns gezeigt, wie weit Menschen mit Tatkraft und Veränderungswillen kommen können. Die Leipziger im Herbst 1989, sie waren Vorbilder, die angesichts epochaler Veränderungen nicht verzagten, sondern angepackt haben. Ich wage zu behaupten, das haben sie mit uns Finanzaufsehern gemeinsam.

In diesem Sinne danke ich für die Aufmerksamkeit und freue mich auf die anschließenden Gespräche!

Fußnoten: