Es gilt das gesprochene Wort!

Auch meinerseits herzlich willkommen!

Die deutsche Finanzbranche wird sich 2025 in einem anspruchsvollen Umfeld bewegen.

Es gibt zurzeit nicht das eine, zentrale Risiko. Die Lage ist vielschichtig und komplex. Die Unternehmen haben es mit unterschiedlichen Risiken zu tun. Mit Risiken, die teilweise eng miteinander verflochten sind. Viele von ihnen können sich unmittelbar auswirken, manche materialisieren sich erst langfristig. Wir beschreiben diese Gemengelage in unseren Risiken im Fokus, die wir heute zum vierten Mal veröffentlicht haben. Das Bild ist auch sehr dynamisch. Während gewisse Risiken uns gleichbleibend hoch erscheinen, zum Beispiel die angespannte Situation an den Gewerbeimmobilienmärkten, kann sich die Risikolage im marktgetriebenen Bereich schnell ändern. Seit Redaktionsschluss für diesen Bericht hat sich in gewissen Teilen der Finanzmärkte eine Art Partystimmung entwickelt. Und wir wissen alle: je größer die Party, desto größer der Kater danach.

Ich möchte in den nächsten Minuten auf drei Themen eingehen. Auf drei sehr unterschiedliche Themen, die aber alle verdeutlichen: Wir haben es heute teilweise mit neuen Risikotreibern zu tun. Also mit Entwicklungen, die wir nicht präzise einschätzen können. Auch, weil uns die historischen Erfahrungswerte fehlen. Das erschwert das Risikomanagement. Für die beaufsichtigten Unternehmen. Und für uns. Bei den Risiken, die ich heute ansprechen werde, zeigt der Trendpfeil in unserer Publikation in die falsche Richtung. Er symbolisiert ein steigendes Risiko.

Das erste Thema, auf das ich heute eingehen möchte, ist Nachhaltigkeit. Oder präziser: die physischen Risiken des Klimawandels. Wir alle haben noch die Bilder der verheerenden Feuer um Los Angeles vor Augen. Eine tragische Katastrophe mit tausenden zerstörten Gebäuden, zehntausenden Evakuierten und mehr als zwei Dutzend Toten. Der potenzielle Sachschaden und die wirtschaftlichen Verluste könnten sich Schätzungen zufolge auf bis zu 150 Milliarden US-Dollar belaufen. Das wird sich natürlich auch auf den Finanzsektor auswirken, vor allem auf die Schadenssummen der Versicherer. Ratingagenturen schätzen, dass auch in Europa mehr als 30 Prozent des jährlichen Schadenbudgets für Naturkatastrophen schon aufgebraucht werden könnten – und das in den ersten Tagen des Jahres.

Bei solchen Katastrophen kommen viele Faktoren zusammen. Auch regionale Eigenheiten spielen wohl eine Rolle. Nach Einschätzung von Expertinnen und Experten schafft der Klimawandel jedoch vermehrt Rahmenbedingungen, die derartige Brandkatastrophen begünstigen. Etwa lang anhaltende Dürreperioden.

Die Unternehmen des Finanzsektors müssen sich daher weiter und intensiver mit den physischen Risiken des Klimawandels auseinandersetzen. Also mit den konkreten Auswirkungen der Erderwärmung. Etwa mit Extremwetterereignissen wie Dürren und Überflutungen. Natürlich bleiben auch die transitorischen Risiken relevant, die durch die Umstellung auf eine nachhaltige, kohlenstoffarme Wirtschaft auftreten.

Doch haben wir regulatorisch und aufsichtsseitig meines Erachtens die physischen Risiken bisher vergleichsweise untergewichtet. Wir bei der BaFin legen 2025 darauf einen besonderen Schwerpunkt. Denn der Klimawandel schreitet voran. Laut dem EU-Erdbeobachtungs-Programm Copernicus lag die weltweite Durchschnittstemperatur 2024 zum ersten Mal um mehr als 1,5 Grad über dem Niveau des vorindustriellen Zeitalters. Die physischen Risiken steigen weiter. Und sie werden sich in den Kreditportfolios der Banken oder in den Schadenssummen der Versicherer niederschlagen. Das dürfte in der spanischen Region Valencia deutlich werden. Dort haben die heftigen Überflutungen im vergangenen Herbst große Schäden angerichtet. Schätzungen zufolge werden in den kommenden Quartalen die Quoten notleidender Kredite in den Portfolios der spanischen Banken ansteigen.

Wir schauen uns daher gründlich an, wie die von uns beaufsichtigten Unternehmen mit physischen Risiken umgehen. Zum Beispiel Banken und Versicherer, die durch Extremwetter, Lieferkettenabhängigkeit oder konzentrierte Kredit- und Marktrisiken besonders gefährdet sind. Dabei haben wir festgestellt: Die Unternehmen haben im Management ihrer Nachhaltigkeitsrisiken grundsätzlich Fortschritte gemacht. Aber es gibt noch Verbesserungspotenzial.

Zum Beispiel, wenn es darum geht, Daten zu physischen Klimarisiken zu integrieren und zu verarbeiten. Das ist wichtig, um einzelne Naturgefahren bewerten zu können. Dafür müssen Banken und Versicherer auf mehrere Informationsquellen zurückgreifen. Wir haben festgestellt: Vielen Unternehmen fehlen wichtige Daten. Bei den Banken sind es häufig kundenbezogene Standortdaten kombiniert mit einer adressgenauen Zuordnung der physischen Gefahren, die dort bestehen. Also zum Beispiel zu möglichen Überschwemmungen durch Starkregen. Bei den Versicherern bestehen Datenlücken zum Beispiel bezüglich öffentlicher Hochwasserschutzmaßnahmen oder bezüglich Bauvorschriften der jeweiligen Städte und Kommunen. Nach unserem Eindruck stehen insbesondere Banken bei diesem Thema noch am Anfang. Sie konzentrieren sich derzeit auf den Aufbau der Datengrundlage.

Diese Arbeit ist sehr wichtig. Denn die beaufsichtigten Unternehmen müssen die steigenden physischen Risiken des Klimawandels managen. Nehmen Sie Regionalbanken als Beispiel. Wenn es in ihrer Heimatregion zu einem Extremwetterereignis kommt, können zeitgleich viele ihrer Kundinnen und Kunden betroffen sein. Und zahlreiche Mitarbeiterinnen und Mitarbeiter. Diese geografische Konzentration kann problematisch sein. Besonders betroffen sein können auch Versicherer und Banken mit spezialisierten Geschäftsmodellen, zum Beispiel in der Land- und Forstwirtschaft. Was die Lage noch schwieriger macht: Banken und Versicherer sind durch Risikotransfers teilweise stark miteinander verbunden. Denken Sie nur an die Immobilienfinanzierung und den Schutz der Immobilien vor Naturgefahren. Gerade diese Risiken lassen sich immer schwerer einschätzen: Mit welchen Eintrittswahrscheinlichkeiten muss man rechnen? Wie stark könnten mögliche Schäden ausfallen? Und: Ist die Immobilie künftig überhaupt noch zum vernünftigen Preis versicherbar? In manchen US-amerikanischen Bundesstaaten wie Florida oder Kalifornien ist das in einigen Gegenden nicht mehr überall möglich. Auch wegen des Klimawandels. Solche Versicherungslücken werfen nicht nur politische und gesellschaftliche Fragen auf, sondern auch Fragen der Finanzierbarkeit und Werthaltigkeit von Immobilien.

Wichtig ist: Historische Daten sind nur noch begrenzt aussagefähig. Denn die Risikolage verändert sich zusehends. Je nachdem, von welchem Szenario man ausgeht, könnte am Ende des Jahrhunderts fast ein ganzes Nachbarland unter Wasser stehen. Es erscheint mir zudem plausibel, dass der Klimawandel zu einem Treiber eines anderen brisanten geopolitischen Themas werden könnte: der Migration.

Für uns steht fest: Beaufsichtigte Unternehmen müssen sich weiter eingehend mit den physischen Risiken des Klimawandels befassen und sie insbesondere in alle Bereiche ihres Risikomanagements integrieren. Wir sollen nicht auf die nächste Katastrophe warten. Ein vorausschauender Ansatz schützt nicht nur die Solvenz von Versicherern und Banken, sondern kann auch Präventionsmaßnahmen vorantreiben. Wenn Risiken richtig bepreist sind, werden sie wahrscheinlicher mitigiert. Je mehr Mühe wir haben, den Klimawandel unter Kontrolle zu bekommen, desto mehr müssen wir akzeptieren, dass die physischen Risiken steigen und dass Prävention und Risikovermeidung immer essenzieller werden.

Das zweite Thema, das ich heute ansprechen will, sind die Risiken aus dem tiefgreifenden technologischen Wandel der Finanzbranche. Auch hier sind historische Erfahrungen nur begrenzt hilfreich. Neue Technologien treiben die Transformation der Branche voran. Zum Beispiel generative Künstliche Intelligenz oder – in Zukunft – Quantencomputing. Diese Technologien bergen große Potenziale. Für die Unternehmen. Und für Kundinnen und Kunden. Sie bringen aber auch ganz wesentliche Risiken mit sich.

An erster Stelle stehen mögliche Cyber-Vorfälle oder große IT-Pannen. Große Banken, Versicherer oder Clearinghäuser spielen eine extrem wichtige Rolle und verfügen über hochsensible und damit auch wertvolle Daten. Deshalb sind sie besonders anfällig für Cyber-Vorfälle. Das zeigen auch Daten des Internationalen Währungsfonds. Demnach betraf fast ein Fünftel aller globalen Cyber-Vorfälle in den vergangenen 20 Jahren Unternehmen des Finanzsektors. Der Schaden: fast 12 Milliarden US-Dollar.

Die Bedrohung durch Cyber-Vorfälle ist weltweit sehr hoch. Und sie nimmt weiter zu. Auch aufgrund der angespannten geopolitischen Lage. Denn viele Unternehmen des Finanzsektors und ihre zentralen Dienstleister sind Teil der kritischen Infrastruktur. Und damit ein attraktives Ziel für staatlich veranlasste Angriffe. Aber die Bedrohung steigt auch wegen der vielfältigen neuen technologischen Möglichkeiten.

Zum Beispiel durch generative KI. Immer mehr Unternehmen des Finanzsektors nutzen generative KI oder erproben ihren Einsatz. Und natürlich setzen Kriminelle solche Technologien ebenfalls ein. Zum Beispiel, um neue Angriffsmethoden oder Schadcodes zu entwickeln. Die KI kann beispielsweise Phishing-Nachrichten sehr schnell und sehr hochwertig erstellen. Dadurch wird es viel schwieriger, betrügerische Nachrichten zu erkennen.

Viele Unternehmen wissen um all diese Risiken und haben in ihre IT-Sicherheit investiert. Gut so. Aber es darf hier keinen Stillstand geben. Uns ist es wichtig, dass die Unternehmen kontinuierlich die aktuellen Entwicklungen und Bedrohungen überwachen. Dass sie ihre Sicherheitsmaßnahmen anpassen. Und dass sie sich auf Ernstfälle vorbereiten. Die Voraussetzungen dafür sind im Moment gut. Die Finanzinstitute haben 2024 starke Erträge verbucht. Diese Erträge sollten sie nutzen, um weiter in die Sicherheit ihrer IT zu investieren. Das erwarten wir. Und das erwarten auch ihre Kundinnen und Kunden.

Natürlich prägen die Risiken aus dem technologischen Wandel auch unsere Arbeit als Aufsicht mehr und mehr. Nur ein Beispiel: In den ersten drei Quartalen 2024 sind bei uns 258 Meldungen über IT-Vorfälle bei Zahlungsdiensten eingereicht worden. Das ist ein deutlicher Zuwachs gegenüber den Vorjahren. Bei zwei von drei Vorfällen lag die Ursache nicht bei einem beaufsichtigten Finanzinstitut, sondern bei einem seiner Dienstleister.

Auch bei unseren IT-Prüfungen in beaufsichtigten Unternehmen stellen wir weiterhin zahlreiche schwere Mängel fest.

Daher bleiben die Themen IT-Sicherheit, Cyber und Auslagerungen weit oben auf unserer Agenda. In diesem Jahr planen wir mehr als 30 IT-Prüfungen, inklusive Nachschauprüfungen und Prüfungen mit dem Schwerpunkt IT-Sicherheit.

Außerdem werden wir Mehrmandaten-Dienstleister intensiver überwachen, die in einem bedeutenden Maße Dienstleistungen für den europäischen Finanzmarkt anbieten und von denen dieser Markt auch abhängig ist. Und wir bereiten uns darauf vor, in Gemeinsamen Untersuchungsteams mitzuarbeiten, die von den europäischen Aufsichtsbehörden geleitet werden und die kritischen IT-Dienstleister überwachen. Im Fokus stehen dabei unter anderem die Cloud-Hyperscaler.

Wir brauchen eine starke und wirksame Aufsicht im Bereich IT. Zugleich müssen wir aufstrebende Technologien im Blick haben. Technologien, die heute zwar noch nicht zur Verfügung stehen, von denen wir aber wissen, dass sie die Zukunft des Finanzsektors ganz wesentlich prägen könnten. Eine solche Technologie ist das Quantencomputing.

Manch einer mag jetzt einwenden: Es gibt doch noch gar keine massentauglichen Quantencomputer. Mag sein. Es sind dazu noch einige technologische Hürden zu überwinden. Aber Forschung und Entwicklung machen rasante Fortschritte. Sie erinnern sich vielleicht: Vor wenigen Wochen, im Dezember, hat Google einen neuen Quantenchip vorgestellt. Dieser Chip hat in weniger als fünf Minuten eine Berechnung durchgeführt, für die einer der schnellsten heute verfügbaren Supercomputer 10 Quadrillionen Jahre benötigen würde. Das ist eine Eins mit 25 Nullen. Eine unvorstellbare Zahl, die das Alter des Universums bei weitem übersteigt.

Wir wissen heute noch nicht, wann leistungsfähige Quantencomputer zur breiten Verfügung stehen. Aber vieles spricht dafür, dass wir einen Durchbruch erleben werden.

Die Unternehmen des Finanzsektors müssen sich darauf einstellen. Und zwar bereits heute.

Warum betone ich das so stark? Weil Quantencomputer in der Lage sein werden, etablierte Verschlüsselungstechnologien zu überwinden. Aktuelle Kryptographie-Verfahren wie RSA¹ , die heute die Grundlage der IT-Sicherheit in der Finanzbranche bilden, werden für sie kein Hindernis mehr sein. Das wird die Datensicherheit in der Finanzindustrie massiv bedrohen. Die heute gängige Kryptographie für die größten Kryptowerte ist wohl auch nicht quantenresistent. Wichtig ist: Wir sprechen hier nicht nur über ein Zukunftsszenario. Diese Gefahr ist schon heute relevant. Denn schon heute können Daten geklaut und gespeichert werden, um sie später zu entschlüsseln.

Unternehmen dürfen die Gefahren, die sich daraus ergeben, nicht unterschätzen. Sie müssen Schutzmaßnahmen ergreifen – und zwar jetzt. Vor allem für sicherheitsrelevante Daten mit langer Laufzeit. Nur so können sie diese Daten langfristig schützen.

Manch einen, zumindest der Älteren unter uns, erinnert das vielleicht an den Millennium-Bug. Das war ja Ende der 90er-Jahre ein großes Thema. Und die Lage ist heute ähnlich. Nur dass wir dieses Mal kein Zieldatum haben, auf das wir hinarbeiten können.

Was ist jetzt also konkret zu tun? Die Unternehmen müssen die Daten identifizieren, die durch Quantencomputing gefährdet sein können. Und dann ein Schutzkonzept entwickeln, das vorhandene technische Möglichkeiten und Standards für Post Quantum Cryptography berücksichtigt. Ein Schutzkonzept muss natürlich flexibel gestaltet sein. Damit das IT-Risikomanagement auf künftige Entwicklungen reagieren kann. Und damit es in der Lage ist, kommende Sicherheitsempfehlungen und Standards umzusetzen.

Dass Quantencomputing die Datensicherheit gefährdet, ist nichts Neues. Das BSI hat bereits vor gut fünf Jahren darauf hingewiesen. Auch die Bundesregierung hat das Thema in ihrer Cyber-Sicherheitsstrategie aufgegriffen. Ich möchte heute daher noch einmal betonen: Die Zeit zu handeln ist jetzt. Wenn die ersten leistungsfähigen Quantencomputer zum Verkauf stehen, ist es zu spät.

Meine Damen und Herren,

neben den physischen Risiken des Klimawandels und den Risiken aus dem technologischen Wandel des Finanzsektors müssen wir auch über die aktuelle wirtschaftliche Lage sprechen –und über die Risiken, die sich daraus ergeben.

Sie alle wissen: Die deutsche Volkswirtschaft schwächelt. Im vergangenen Jahr sank das Bruttoinlandsprodukt um 0,2 Prozent. Für das Jahr 2025 erwartet der Sachverständigenrat ein leichtes Plus von 0,4 Prozent. Das zeigt: Die wirtschaftliche Lage bleibt angespannt.

Ein wesentlicher Faktor, der die Wachstumsperspektiven der deutschen Wirtschaft zurzeit eintrübt, sind die geopolitischen Risiken. Denn die Wirtschaft hierzulande ist sehr anfällig für geopolitische Schocks. Und das Risiko für solche Schocks ist zurzeit hoch. Zum Beispiel in der Handelspolitik. Wir sehen hier weltweit einen Trend zu mehr Protektionismus. Vor allem ein weitergehender Handelskonflikt zwischen den USA und China wäre für die Weltwirtschaft, aber vor allem für Europa, mit erheblichen Folgen verbunden. Auch Importzölle auf deutsche und europäische Waren in den USA hätten unmittelbare Auswirkungen auf die deutsche Wirtschaft.

Die Zahl der Unternehmensinsolvenzen ist in Deutschland bereits 2024 deutlich gestiegen. Um 16,8 Prozent gegenüber dem Vorjahr. Dementsprechend nahm auch das Risiko zu, dass Kredite an Unternehmen teilweise oder ganz ausfallen. Die Quote notleidender Kredite bei deutschen Instituten stieg bereits im dritten Quartal 2023 stark an und nimmt seitdem weiter zu. Im Vorjahresvergleich legte sie im Aggregat von 1,38 Prozent auf 1,76 Prozent im dritten Quartal 2024 zu. Diesen Trend haben wir bei den großen und bei den weniger bedeutenden Instituten gesehen. Und wir erwarten, dass der Anteil problematischer Kredite weiter steigt. Auch wegen der schwachen Konjunktur. Höhere Wertberichtigungen werden sich aller Voraussicht nach in absehbarer Zeit auch in der Ertragslage der Institute niederschlagen. Die Kreditbücher der Banken sind ein Spiegelbild der Gesundheit der Wirtschaft.

Die Kreditrisikovorsorge deutscher Banken ist ebenfalls weiter angestiegen, verbleibt aber auf niedrigem Niveau. Im dritten Quartal 2024 lag die Kreditvorsorgequote, also die kumulierten Vorsorgebestände im Verhältnis zum Kreditbestand, bei 1,41 Prozent.

Die höheren Kreditausfallrisiken sind nicht nur für Banken relevant. Auch die Versicherer müssen sich damit auseinandersetzen. Denn auch sie vergeben Kredite an Unternehmen. Und sie investieren in Private-Debt-Fonds.

Wir werden uns die Risiken aus dem Ausfall von Unternehmenskrediten im Jahr 2025 besonders genau anschauen. Bei Kreditinstituten und bei Versicherern. Gerade bei den Instituten, die stark in Branchen engagiert sind, die von einem Konjunktureinbruch oder von geopolitischen Spannungen erheblich betroffen sein könnten. Und auch das Investitionsverhalten der Versicherer werden wir in den Blick nehmen. Vor allem das Risikomanagement alternativer Kapitalanlagen wie Private Debt.

Zudem bleiben makroprudenzielle Maßnahmen wichtig für die Resilienz des deutschen Finanzsektors. Instrumente wie der antizyklische Kapitalpuffer. Er liegt derzeit bei 0,75 Prozent der inländischen Risikopositionen. Der Ausschuss für Finanzstabilität hat dieses Niveau im Dezember 2024 wieder als angemessen eingeschätzt und bestätigt.

Meine Damen und Herren,

Sie sehen: Das Umfeld, in dem die Finanzbranche agieren muss, ist sehr anspruchsvoll. Auch, weil uns zu vielen Risikotreibern die historischen Erfahrungswerte fehlen. Physische Klimarisiken, Quantencomputing, Deglobalisierung, geopolitische Umbrüche – der klassische Blick in den Rückspiegel hilft bei diesen Entwicklungen nicht wirklich weiter. Umso wichtiger ist es, dass die Unternehmen des Finanzsektors ihre Risiken klug managen, dass sie in Szenarien denken. Dass sie sich fragen: Was kann die Risikolage für uns bedeuten? Wo sind wir verwundbar? Und wie können wir uns vorbereiten? Und natürlich brauchen sie eine hohe Resilienz gegen mögliche Schocks. Das heißt vor allem: gut gefüllte Kapital- und Liquiditätspolster. Das alles erwarten wir. Und darauf werden wir in diesem Jahr besonders achten.

Jetzt freue ich mich auf Ihre Fragen!