Es gilt das gesprochene Wort!

Guten Morgen, meine Damen und Herren!

Ich freue mich sehr, heute hier bei Ihnen in Frankfurt zu sein.

Aber, lieber Herr Kümmerle, lieber Herr Wünsche, über Ihre Einladung habe ich mich schon etwas gewundert.

Denn Neujahrsempfänge sollen in der Regel ja erquicklich sein. Gute Stimmung verbreiten. Die Chancen des neuen Jahres betonen. Also ein positiver Auftakt sein. Darum geht es – normalerweise.

Und was machen Sie? Sie laden sich für die Keynote eine Aufseherin ein. Also jemanden, der vor allem in Risiken denkt. Ich würde sagen: Selbst schuld!

Meine Rede heute dreht sich also um die ungeliebten Risiken. Wie ist die Perspektive der BaFin? Wo stehen wir zu Beginn des noch recht frischen Jahres 2025? Welche Risiken sehen wir für die Finanzbranche? Und vor allem für die Versicherer?

Sie vermuten sicherlich schon: So wirklich erquicklich wird das nicht. Würden wir Loriot zur aktuellen Lage befragen, würde er vielleicht antworten: Früher war mehr Lametta! Das trifft es ganz gut. Zumindest, wenn wir auf die Faktoren blicken, die die Entwicklung der Branche zurzeit mitprägen.

I. Geopolitische Umbrüche

Da sind erstens die geopolitischen Umbrüche. Die globalen Machtverhältnisse verschieben sich. Die Welt ist in den vergangenen Jahren ein Stück weit rauer geworden. Sie alle kennen die aktuellen Krisen, Kriege und Konflikte. In der Ukraine. In Nahost. Zwischen China und Taiwan. Und anderswo.

Dazu kommt eine zunehmend protektionistischere Handelspolitik. Und zwar weltweit. Das Credo, dass Freihandel Wohlstand für alle Beteiligten schafft, verliert an Kraft. Dieser Trend könnte sich 2025 fortsetzen. Zumal in wichtigen Ländern die politischen Weichen neu gestellt werden. In Washington ist die neue Regierung seit gut zwei Wochen im Amt. Und in Deutschland sind wir in zwei Wochen zu den Urnen gerufen. Ich denke, wir sind alle gespannt auf den Ausgang und die anschließende Regierungsbildung.

Geopolitische Umbrüche sind aus unserer Perspektive keine eigenständige Risikoart. Aber sie wirken auf die bekannten aufsichtlichen Risiken. Und sie können diese beeinflussen und auch verschärfen. Zum Beispiel das Kredit- oder das Liquiditätsrisiko der Unternehmen, die wir beaufsichtigen.

Unser deutsches Finanzsystem ist sehr anfällig für geopolitische Schocks. Weil die deutsche Volkswirtschaft international stark verflochten ist. Die Exportquote betrug 2023 mehr als 40 Prozent . Aber nicht nur die deutsche Volkswirtschaft, auch der Finanzsektor ist international stark vernetzt.

Sollte sich die geopolitische Lage weiter verschärfen, könnte sich das spürbar negativ auf die deutsche Wirtschaft auswirken. Und damit auch auf die Unternehmen, die wir beaufsichtigen.
Umbrüche können die Unternehmen im Finanzsektor sehr direkt treffen. Denken Sie etwa an Cyber-Attacken in staatlichem Auftrag. Oder an mögliche Sanktionen.

Für Versicherer noch gravierender könnten aus unserer Perspektive vor allem die indirekten Auswirkungen sein. Also die Probleme, die entstehen, wenn sich das wirtschaftliche Umfeld erheblich verschlechtert und die Volatilität an den Finanzmärkten steigt. Das könnte sich deutlich auf die Ertragfähigkeit der Kapitalanlagen auswirken. Nur ein Beispiel: Unternehmensanleihen könnten erheblich an Wert verlieren, wenn die jeweiligen Firmen von Schutzzöllen oder Einfuhrbeschränkungen betroffen sind.

Die Krux an diesen indirekten Folgen geopolitischer Umbrüche ist: Sie sind schwer abschätzbar. Sie lassen sich nicht einfach beziffern. Umso wichtiger ist daher ein gutes Risikomanagement auf Seiten der Unternehmen. Darunter verstehen wir zum Beispiel, dass sie Szenario-Analysen durchführen. Damit sie frühzeitig mögliche Abhängigkeiten, Gefahren und Auswirkungen auf das eigene Portfolio erkennen.

II. Kreditrisiken

Klar ist: Die geopolitische Unsicherheit lastet auf der wirtschaftlichen Entwicklung. Die deutsche Wirtschaft kämpft nach Einschätzung der Bundesbank mit konjunkturellen und strukturellen Problemen. 2024 sank das Bruttoinlandsprodukt um 0,2 Prozent. Für dieses, nächstes und übernächstes Jahr erwartet die Bundesbank Wachstumsraten von 0,2, 0,8 und 0,9 Prozent. Dreimal eine Null vorm Komma. Ich weiß nicht, wie es Ihnen geht, aber unter Wachstum stelle ich mir etwas Anderes vor.

Weil das wirtschaftliche Umfeld schwach bleibt, dürfte der Anteil der problematischen Kredite zunehmen. Darauf deutet einiges hin. Die Zahl der Regelinsolvenzen ist im vergangenen Jahr deutlich angestiegen. Laut ersten Zahlen des Statistischen Bundesamts um fast 17 Prozent gegenüber dem Vorjahr.

Ein schwaches wirtschaftliches Umfeld, steigende Insolvenzen, das bedeutet: Das Risiko, dass Kredite teilweise oder vollständig ausfallen, steigt. Das sehen wir bereits im Bankensektor. Die Quote notleidender Kredite bei deutschen Instituten stieg bereits im dritten Quartal 2023 stark an und nimmt seitdem weiter zu. Im Vorjahresvergleich legte sie im Aggregat von 1,38 Prozent auf 1,76 Prozent im dritten Quartal 2024 zu. Das hört sich erstmal nicht besonders hoch an. Und im internationalen Vergleich ist das auch ein vergleichsweise niedriges Niveau. Aber wir erwarten, dass der Anteil problematischer Kredite weiter steigt. Auch wegen der schwachen Konjunktur. Jetzt fragen Sie sich vielleicht: Was hat das mit uns und vor allem mit der Versicherungsbranche zu tun? Ist das nicht ein Bankenthema?

Da sage ich ganz klar: nein. Auch Versicherer müssen sich mit den steigenden Kreditausfallrisiken auseinandersetzen. Und sie gut managen. Zum einen, weil vermehrte Insolvenzen zu niedrigeren Prämieneinnahmen führen dürften. Und zum anderen natürlich, weil auch Versicherer Kredite an Unternehmen vergeben. Und sie investieren in alternative Kapitalanlagen wie Private Debt. Zu einem nicht unerheblichen Anteil. Ende 2023 machten Private-Debt-Investments immerhin 4,7 Prozent der gesamten Kapitalanlagen aus. Im Durchschnitt ist der Anteil niedrig. Aber, es ist ja auch nur ein Durchschnitt. Zwischen den Unternehmen gibt es erhebliche Unterschiede. In der Spitze liegt der Anteil bei rund 30 Prozent.

Solche Investments stellen hohe Anforderungen an das Risikomanagement. Wer in Private Debt investiert – egal, ob direkt oder über Fonds – muss verstehen: Welchen Unternehmen wird damit Fremdkapital zur Verfügung gestellt? Und was für ein Geschäftsmodell haben diese Unternehmen? Das zu wissen ist essenziell. Wie wollen Sie sonst das Risiko beurteilen, das solche Anlagen mit sich bringen?

Sie können sicher sein: Wir werden solche Fragen in diesem Jahr vermehrt stellen. Denn die Risiken alternativer Kapitalanlagen sind einer unserer Aufsichtsschwerpunkte in diesem Jahr. Also die Risiken von Investments in Private Debt oder Private Equity. Hier werden wir genau hinsehen. Vor allem bei den Versicherern, die einen vergleichsweise hohen Anteil dieser Anlagen in ihren Portfolien haben. Bei diesen Unternehmen werden wir nachfragen: Wie ist Ihr Kapitalanlagerisikomanagement aufgestellt? Wie setzen Sie die Anforderungen des Grundsatzes der unternehmerischen Vorsicht um? Wir wollen besser verstehen, wie die Unternehmen ihre Limit-Systeme ausgestalten und wie ihre Überwachungssysteme funktionieren. Außerdem werden wir uns ansehen, wie sie ihre strategische Asset-Allokation herleiten.

Denn noch einmal: Wer vermehrt in solche alternativen Anlagen investiert, braucht ein leistungsstarkes Risikomanagement. Inklusive genügend Personal, das über das entsprechende Know-how verfügt. Und darauf werden wir dieses Jahr besonders achten.

III. Risiken aus dem technologischen Wandel

Neben den geopolitischen Umbrüchen und den steigenden Kreditrisiken steht ein weiteres Thema sehr weit oben auf unserer Agenda: Der technologische Wandel. Uns geht es um die Risiken, die damit einhergehen. Das sind insbesondere zwei Themen: Die Risiken aus Cyber-Vorfällen. Und die Risiken aus Konzentrationen von IT-Auslagerungen.

Beginnen wir mit den Cyber-Vorfällen. Sie alle wissen: Cyber-Angriffe mit gravierenden Auswirkungen können richtig großen Schaden anrichten. Sie können ganze Unternehmen oder Finanzmarkt-Infrastrukturen lahmlegen. Und im Extremfall zu einer systemischen Krise führen. Vor allem, wenn viele Unternehmen gleichzeitig betroffen sind.

Die Bedrohung durch Cyber-Vorfälle ist weltweit sehr hoch. Und sie nimmt weiter zu. Weil immer mehr Geschäftsprozesse digitalisiert werden. Die Angriffsfläche wird also größer.

Dazu kommen die geopolitischen Spannungen. Denn das ist ja auch klar: Die Unternehmen des Finanzsektors und ihre zentralen IT-Dienstleister sind ein attraktives Ziel für all jene, die aus politischen Gründen Schaden anrichten wollen.

Außerdem steigt die Bedrohung, weil neue Technologien natürlich auch in falsche Hände geraten können, wenn sie sich rasant verbreiten. Zum Beispiel Künstliche Intelligenz. Natürlich nutzen auch Cyber-Kriminelle KI. Zum Beispiel, um hocheffiziente Angriffsmethoden und Schadcodes zu entwickeln.

Doch es geht nicht nur um KI. Am Horizont zeichnet sich schon ein weiterer technologischer Umbruch ab. Das Quantencomputing. Quantencomputer bedrohen die IT-Sicherheit, weil sie klassische Verschlüsselungsverfahren überwinden können. Manch einer mag jetzt einwenden: Es gibt hierfür doch noch keine leistungsfähigen Quantencomputer. Das ist richtig. Richtig ist aber auch, dass die Technologie Fortschritte macht. Und dass es gefährlich ist, abzuwarten, bis die ersten leistungsfähigen Quantencomputer zur Verfügung stehen. Denn dann könnte es zu spät sein. Bereits heute können Kriminelle verschlüsselte Daten klauen und speichern. Um sie später mit Hilfe eines Quantencomputers zu entschlüsseln. Viele Unternehmen unterschätzen die Bedrohung durch diese Harvest Now, Decrypt Later-Methode. Davor warnt auch das BSI, das Bundesamt für Sicherheit in der Informationstechnik. Unternehmen des Finanzsektors müssen bereits heute Schutzmaßnahmen entwickeln. Damit ihre sicherheitsrelevanten Daten langfristig sicher sind. Sie müssen also schauen: Welche quantengefährdeten Daten haben wir? Und dann ein konkretes Schutzkonzept erstellen. Ein Konzept, das auch flexibel auf künftige Entwicklungen reagieren kann. Es gibt ja zum Beispiel bereits klare Post-Quanten-Kryptographie-Standards für den Schutz von Organisationen gegen Quanten-Hacking. Das U. S. National Institute of Standards and Technology hat sie 2024 erstmals definiert. Auch das BSI empfiehlt erste Post-Quanten-Verfahren. Jede und jeder, der im Versicherungssektor IT-Verantwortung trägt, sollte dieses Thema ernst nehmen. Die Zeit zu handeln ist jetzt.

Das steigende Risiko aus Cyber-Vorfällen spiegelt sich natürlich auch im Versicherungsgeschäft wider. Cyber-Versicherungen sind sehr gefragt. Aus Aufsichtsperspektive sind hier vor allem die hohen Kumulrisiken, aber auch die hohe Änderungsdynamik der Risikolandschaft relevant. In diesem Segment fehlen jedoch historische Daten zum Geschäftsverlauf. Deshalb ist es schwierig abzuschätzen, wie sich die Schäden entwickeln. Wir werden daher auch in diesem Jahr wieder Daten erheben. Denn wir wollen negative Entwicklungen frühzeitig erkennen und einen guten Überblick über diesen schnell wachsenden Markt haben. Von den Versicherern erwarten wir, dass sie in diesem Geschäft sorgfältig vorgehen. Das heißt konkret: Wir erwarten eine umsichtige Zeichnungspolitik. Eine Tarifierung, die die hohe Unsicherheit berücksichtigt. Ein angemessenes Risikomanagement. Und das Sie für passenden Rückversicherungsschutz sorgen.

Neben den Risiken aus Cyber-Vorfällen steigen auch die Risiken aus Konzentrationen bei der Auslagerung von IT-Dienstleistungen. Unternehmen des Finanzsektors lagern immer mehr IT-Dienstleistungen an spezialisierte Anbieter aus. Auch an Cloud-Anbieter. Das bringt ja auch viele Vorteile mit sich. Nutzung von aktuellster Technologie zum Beispiel. Höhere Sicherheit. Oder niedrigere Kosten. Allerdings entstehen durch die Vielzahl der Auslagerungen Konzentrationsrisiken.

Im vergangenen Jahr haben wir gesehen, zu welchen Konsequenzen Abhängigkeiten von IT-Dienstleistern führen können. Sie erinnern sich sicherlich an den Vorfall beim US-Unternehmen CrowdStrike. Hier gab es im Juli ein fehlerhaftes Update eines IT-Sicherheits-Tools. Und dieses fehlerhafte Update hat eine weltweite IT-Störung ausgelöst. Bei vielen Unternehmen, auch bei solchen der kritischen Infrastruktur, haben die Systeme versagt. Glücklicherweise war der deutsche Finanzsektor kaum betroffen.

Dennoch verdeutlicht dieses Beispiel: Einzelne Störungen bei einem Dienstleister können gravierende Auswirkungen haben. Das kann besonders bei kritischen Prozessen schnell problematisch werden. Im schlimmsten Fall können Unternehmen des Finanzsektors dann auf bestimmte Dienstleistungen nicht mehr zugreifen.
Kurzfristiger Ersatz ist dann schwierig bis unmöglich. Weil spezialisierte IT-Dienstleister nicht immer identische Produkte anbieten. Und weil ein Wechsel Zeit kostet. Zeit, die in einer Krisensituation fehlt. Auch Selbstmachen ist oft keine Option mehr. Das sehen wir an den Daten in unserer Auslagerungsdatenbank. Mehr als die Hälfte der anzeigepflichtigen Unternehmen gibt unter anderem an, dass sie ihre ausgelagerten IT-Dienstleistungen nicht wieder selbst erbringen können.
Und genauso wie bei den Cyber-Vorfällen gibt es hier eine geopolitische Dimension. Sie alle wissen, dass einige sehr große IT-Dienstleister ihren Sitz im außereuropäischen Ausland haben. Auch das kann zu einem Risiko werden. Zum Beispiel im Fall von Sanktionen. Oder im Zuge handelspolitischer Auseinandersetzungen. Auch diesen Aspekt gilt es zu berücksichtigen.

Uns ist wichtig, dass die Unternehmen die Risiken des technologischen Wandels gut managen. Das heißt: dauerhaft in ihre IT-Systeme und in die IT-Sicherheit investieren. Natürlich kümmern wir uns ebenfalls um diese Risiken. Nur ein paar Beispiele dazu. Unter dem europäischen Regelwerk DORA sind wir Melde-Hub für IT-Vorfälle im deutschen Finanzsektor. Auf Basis der Informationen, die wir so erhalten, erstellen wir ein Cyber-Lagebild des Finanzsektors, das uns beispielsweise zeigt, welchen Bedrohungen die Finanzwirtschaft ausgesetzt ist – und wie verwundbar die beaufsichtigten Unternehmen und ihre Dienstleister sind. Außerdem üben wir zusammen mit den beaufsichtigten Unternehmen Krisen- und Notfallsituationen, die durch Cyber-Attacken ausgelöst werden können. Wir werden 2025 auch IT-Dienstleister intensiver überwachen, die für den europäischen Finanzmarkt sehr wichtig sind. Außerdem bereiten wir uns darauf vor, in gemeinsamen Untersuchungsteams auf EU-Ebene mitzuarbeiten. Deren Aufgabe wird es sein, kritische IT-Dienstleister zu überwachen. Diese Teams werden von den drei europäischen Aufsichtsbehörden EZB, EIOPA und ESMA geleitet. Im Fokus steht unter anderem die Überwachung der Cloud-Hyperscaler.

Natürlich steht auf unserer Agenda für das kommende Jahr auch das Thema Künstliche Intelligenz sehr weit oben. Wie sicherlich auch bei vielen von Ihnen.

Mit der KI-Verordnung verfügen wir in Europa nun über einen regulatorischen Rahmen für KI, der Rechtssicherheit schaffen soll. Die KI-Verordnung setzt umfangreiche Pflichten, vor allem für Hochrisiko-Anwendungen. Das sind beispielsweise Anwendungen, die die Grundrechte natürlicher Personen tangieren können. Denken Sie an den Bereich der Lebens- und Krankenversicherungen. Hier beträfe das Systeme für die Risikobewertung und die Preisbildung in Bezug auf natürliche Personen.

Wir arbeiten zurzeit in einer Arbeitsgruppe der EIOPA mit daran, noch offene Aspekte hinsichtlich der KI-Verordnung zu klären. Auch hier geht es um Hochrisiko-Systeme – und um die Einordnung von KI-Systemen in die bestehende Regulierung. Diese ist ja bereits eine gute Basis für die Aufsicht über KI-Modelle. Daher ist mir ein Aspekt mit Blick auf KI ganz grundsätzlich wichtig: Nämlich, dass Unternehmen für alle ihre KI-Systeme nicht nur für Hochrisiko-Systeme über eine adäquate Governance verfügen. Über eine Governance, die alle aufsichtlich relevanten Risiken umfasst. Dazu gehört es auch, regelmäßig zu prüfen: Sind die Ergebnisse unserer Systeme nachvollziehbar? Kann das Modellverhalten erklärt werden? Und: Sind die Daten, die wir verwenden, repräsentativ, hochwertig und ausgewogen? Außerdem müssen Menschen die Entscheidungsprozesse weiterhin kontrollieren können – und bei Bedarf eingreifen.

Aus unserer Aufsichtspraxis wissen wir: Die Entwicklung solcher Governance-Rahmenwerke ist bei den Versicherern unterschiedlich weit gediehen. Wichtig ist uns, dass hier alle Unternehmen auf ein gutes Niveau kommen.

IV. Fachkräftemangel

Wo wir gerade beim Thema IT sind, möchte ich noch einen Aspekt ansprechen, der aus unserer Perspektive zunehmend an Relevanz gewinnt: den Fachkräftemangel. Sie alle wissen, die Zahl der Menschen im Erwerbsalter wird in den kommenden Jahren abnehmen. Die Prognosen des Statistischen Bundesamts sind da eindeutig.

Wir haben dazu im vergangenen Jahr Einrichtungen der betrieblichen Altersversorgung befragt. Also Pensionskassen und Pensionsfonds. Wir werden dazu in Kürze einen Artikel auf unserer Website veröffentlichen. Vorab nur so viel: Von den EbAVs, die noch eigenes IT-Personal haben, sagt nur etwas mehr als die Hälfte, dass sie ausreichend besetzt sind. Rund 40 Prozent bezeichnen sich als „knapp ausreichend besetzt“. Die verfügbaren Personalkapazitäten reichen also gerade so. Und immerhin acht Prozent sagen, sie sind nicht ausreichend besetzt. Das Hauptproblem bei der Besetzung von Positionen ist der Mangel an fachlich geeignetem Personal.
Vom Fachkräftemangel ist nicht nur der IT-Bereich betroffen. Von den EbAVs, die noch eigene Mitarbeitende in einzelnen Geschäftsbereichen beschäftigen, hatte in der Vergangenheit jedes zweite Unternehmen Probleme bei der Besetzung von Stellen bzw. erwartet solche Probleme in der näheren Zukunft. Das gilt insbesondere für die Bereiche Kapitalanlagen, Risikomanagement, Leistungsbearbeitung und Bestandsverwaltung. Ich möchte daher betonen: Pensionskassen und Pensionsfonds müssen stets ihre Leistungsfähigkeit wahren. Und alle regulatorischen Besonderheiten vollumfänglich einhalten. Trotz des Fachkräftemangels. Wenn sich Probleme durch den Mangel an qualifiziertem Personal abzeichnen, müssen Unternehmen frühzeitig grundlegende Entscheidungen treffen. Zum Beispiel, ob sie Funktionen ausgliedern. Aber natürlich können auch Dienstleister vom Fachkräftemangel betroffen sein. Unternehmen, die Funktionen ausgliedern, stehen weiter in der Verantwortung. Und bevor Sie sich jetzt zurücklehnen: Das gilt nicht nur für EbAVs, das gilt für die gesamte Branche. Ich appelliere daher an Sie alle: Behalten Sie das Thema Fachkräftemangel auf der Agenda. Denn es betrifft auch Ihr Unternehmen.

V. Schluss

Ich denke, in den letzten Minuten wurde deutlich: Es gibt klare Risiken, mit denen die deutschen Versicherer umgehen müssen.

Aber wir sind ja bei einem Neujahrsempfang. Und da will ich zumindest am Schluss noch etwas Zuversicht verbreiten. Und die deutschen Versicherer haben ja auch wirklich gute Voraussetzungen, sich für all die Unwägbarkeiten der Zukunft zu wappnen. Insgesamt betrachtet ist ihre Lage stabil. Viele wirtschaftliche Kennzahlen haben sich in den vergangenen Jahren verbessert. Die Ertragschancen in der Neu- und Wiederanlage sind gestiegen. Die Risikotragfähigkeit ist heute stärker als noch vor einigen Jahren.

Als Aufseherin fällt es mir ja fast schon ein bisschen schwer, das öffentlich zu sagen: Aber natürlich gibt es neben allen Risiken auch Chancen. Chancen, die auch entstehen, weil sich der Rahmen, in dem die Branche agiert, verändert. Aber denken Sie daran, was schon Louis Pasteur wusste: Veränderungen begünstigen nur den, der vorbereitet ist.

In diesem Sinne wünsche ich Ihnen allen ein glückliches, erfolgreiches und vor allem gesundes 2025!