Es gibt Momente, in denen ein Regelwerk seinen wahren Charakter zeigt. Nicht, wenn alles ruhig ist und Pläne akkurat funktionieren, sondern wenn mehrere Dinge gleichzeitig schiefgehen: Märkte zucken, Systeme stolpern, ein Dienstleister meldet Störung, das Callcenter läuft am Limit, und im Vorstand klingeln die Telefone. Genau in diesen Augenblicken beweist sich MaRisk – als Stresstest für Steuerung, Daten, Prozesse und Verhalten. Entweder entsteht Kontrolle: klare Prioritäten, kurze Schleifen, nachvollziehbare Entscheidungen, verlässliche Eskalationen. Oder es herrscht Chaos: Meeting-Marathons ohne Beschluss, Reports, die mehr Fragen als Antworten erzeugen, widersprüchliche Mails, Verantwortungen im Nebel. Dieser Artikel zeigt, warum MaRisk im Kern kein Papierprojekt ist, sondern ein System, das einen ganzen Kosmos aus Kredit, Markt, Liquidität, IT, Auslagerungen und operationellen Risiken in handhabbare Praxis übersetzt – und warum gerade IT-Organisationen davon genauso betroffen sind wie die klassischen Risikoeinheiten.

Worum es im Kern geht: Steuerungsfähigkeit unter Druck

MaRisk ist weder Checklistenromantik noch Selbstzweck. Es ist der Versuch, in einem hochkomplexen Umfeld eine gemeinsame Denkschiene für Entscheidungen zu etablieren: Welche Risiken nehmen wir bewusst? Woran erkennen wir Abweichungen früh? Welche Schwellen lösen Maßnahmen aus? Wer darf was entscheiden? Und wie kommen Erkenntnisse aus Fachbereichen, IT und Auslagerungen zur rechten Zeit an den Ort, an dem gehandelt wird?

Diese Fragen klingen theoretisch, entfalten aber gerade in Stresssituationen eine brutal praktische Wirkung. Wo Risikoappetit und Grenzsysteme sauber hergeleitet sind, spricht der Vorstand in einer Krise nicht über Grundsatzfragen, sondern über Hebel. Wo Berichte entscheidungsfähig sind, verkürzen sich Sitzungen und Eskalationen laufen nach Plan. Wo IT- und Auslagerungssteuerung Teil der Risikologik ist, wird Technik nicht zum Klotz am Bein, sondern zum Enabler. Und wo Risikokultur gelebt wird, trauen sich Menschen, früh zu melden – nicht erst, wenn die Lage peinlich wird.

Kontrolle definiert: Proportional, risikoorientiert, wirksam

Drei Prinzipien durchziehen MaRisk wie ein roter Faden. Proportionalität sorgt dafür, dass ein Institut nicht denselben Maschinenraum braucht wie ein globaler Konzern. Risikoorientierung lenkt Aufmerksamkeit und Ressourcen dorthin, wo es wirklich wehtun kann – in Portfolioklumpen, bei Zins- und Liquiditätsrisiken, in kritischen Auslagerungen, in IT-Schnittstellen, in neuen Produkten. Wirksamkeit schließlich verlangt nicht Papierberge, sondern nachvollziehbare Ergebnisse: Limits, die nutzen; Stresstests, die etwas auslösen; Notfallpläne, die geübt sind; Verträge, die Rechte sichern; Daten, die überprüfbar sind.

Diese Trias verhindert, dass das Regelwerk in Formalismus erstarrt. Sie zwingt zum Übersetzen: von der Strategie in Schwellenwerte, von Schwellenwerten in Ampeln, von Ampeln in Maßnahmen – und zwar so, dass Geschäfts- und IT-Teams die gleiche Sprache sprechen.

Der erste Lackmustest: Risikoappetit, der Entscheidungen lenkt

Viele Strategiepapiere sind eloquent, wenige sind steuernd. Ein Risikoappetit, der den Alltag prägt, hat drei Eigenschaften: Er ist quantifiziert (z. B. Verlusttoleranzen, Sensitivitätslimits, Klumpenobergrenzen, Liquiditätspuffer), er ist qualitativ konkret (z. B. No-Gos bei Branchen, Regionen, Produkten, Auslagerungsmodellen), und er ist verknüpft mit Maßnahmen (z. B. Hedgepflicht, Geschäftsstopp, zusätzliche Sicherheiten, Eskalationsstufen).

Der Unterschied in Stresslagen ist enorm: Ohne klaren Appetit driftet die Organisation zwischen Angst und Wagemut; mit klaren Leitplanken weiß Vertrieb, was geht, Risikocontrolling, was zu messen ist, Treasury, wo Puffer enden, IT, welche Veränderungen sie wie testet, und der Vorstand, wann er handeln muss.

Daten entscheiden – oder sie verhindern Entscheidungen

Zahlreiche Institute haben in den vergangenen Jahren erfahren, wie gnadenlos die Realität Datenqualitätslücken offenlegt: Ratings, die nicht rechtzeitig aktualisiert wurden; Sicherheiten, deren Werte im System nicht mit den Urkunden übereinstimmen; Exposure-Zuordnungen, die Auslagerungen falsch klassifizieren; Liquiditätsdaten, die über mehrere Silos laufen; IT-Assets, für die niemand Verantwortung übernimmt.

MaRisk verlangt nicht „mehr Daten“, sondern verantwortete Daten: klare Datenhoheit, definierte Qualitätsregeln (Vollständigkeit, Plausibilität, Stetigkeit), einfache KPI-Cockpits zur Datenqualität und – entscheidend – Konsequenzen, wenn Regeln reißen. In Krisen ist keine Zeit für Datenarchäologie. Wer dann auf Knopfdruck weiß, wo Limits stehen, welche Gegenparteien betroffen sind, welche Auslagerungen kritisch sind, welche IT-Services primär sind und welche Puffer noch tragen, hat Kontrolle. Wer PDF-Gräber öffnet, hat Chaos.

Kreditrisiko im Stress: Von Frühwarnen zum Handeln

Das Kreditbuch ist der Herzschlag vieler Institute. Hier zeigt sich MaRisk-Praxis in vier Hebeln. Vergabe folgt nachvollziehbaren Kompetenzen und Modellen, die nicht nur hübsch kalibriert, sondern geerdet sind. Überwachung nutzt Indikatoren, die nicht nur blinken, sondern Arbeitsaufträge erzeugen: bei Zahlungsverzug, Covenant-Bruch, Sicherheitenwertschwankung, Branchenstress. Portfoliosicht gibt die Weite: Konzentrationen werden aktiv gesteuert – auf Gegenpartei-, Sektor- und Regionenebene. Intensivbetreuung hat eine Pipeline, Maßnahmen, ein Reporting, das Fortschritt zeigt, nicht nur Aktivität.

Im Stressfall entscheidet die Vernetzung: Frühwarnung löst Maßnahmen aus, Maßnahmen schlagen auf Portfoliowerte durch, Werte gehen in Limits, Limits bestimmen Neugeschäft. Wer diese Kette beherrscht, bleibt handlungsfähig, statt jeden Fall einzeln zu erfinden.

Zins-, Markt- und Liquiditätsrisiken: Stresstests mit Drehbuch

Stresstests sind keine Dekoration. Sie sind die Generalprobe für den Ernstfall. Reife Häuser kombinieren Sensitivitätsmaße (Barwert-, Perioden-, Cashflow-Sichten) mit mehrstufigen Stresstests (idiosynkratisch und marktweit) und verknüpfen beides mit Maßnahmenzwang: Ab Schwelle X wird Volumen gehedgt; ab Schwelle Y werden Laufzeiten gedreht; ab Schwelle Z wird Neugeschäft adjustiert.

Liquidität verlangt zusätzlich Tagessteuerung (Intraday-Aspekte, Collateral-Management) und Notfallpläne, die getestet sind: alternative Fundingquellen, abgestimmte Kommunikationslinien, definierte Prioritäten für Zahlungen, Startprozeduren auf Ersatzstandorten. In Krisen entscheidet nicht die feinste Modellgüte, sondern Zeit. Wer 48 Stunden schneller stabilisiert, reduziert Schäden dramatisch.

Operationelles Risiko & Cyber: Prozesse, die Fehler verzeihen

Operationelle Risiken sind greifbar geworden: Fehlbedienungen, Betrugsversuche, Ausfälle in Zahlungsstrecken, Cyberangriffe, Systemwechsel mit Nebenwirkungen. MaRisk will hier kein Museum, sondern Lernfähigkeit. Drei Elemente wirken im Zusammenspiel: Ereigniserfassung ohne Schuldabwehr, Key Risk Indicators mit klaren Schwellen und Maßnahmen, Lessons Learned, die tatsächlich Prozessänderungen erzeugen (z. B. Vier-Augen-Schritte an neuralgischen Punkten, Trennschärfe in Berechtigungen, zusätzliche Kontrollen in Auszahlungen, bessere Validierungen in Eingabemasken).

Cyberrisiken sind die schärfste Form des operationellen Risikos. Hier treffen MaRisk-Logik und IT-Sicherheitsdisziplin aufeinander: Asset-Transparenz, Patch- und Schwachstellenmanagement, Monitoring mit ausgewerteten Logs, klare Reaktionsketten, geübte Notfallkommunikation. Wer Security-Events nur sammelt, aber nicht interpretiert, hat trügerische Ruhe.

BAIT, IT-Governance und Auslagerungen: Technik ist Teil des Risikos – und der Lösung

IT-Steuerung ist MaRisk nicht nachgelagert, sondern eingebettet. Rollen sind klar (IT-Leitung, Informationssicherheitsbeauftragter, Datenschutz, Notfallmanager), Prozesse sind nachvollziehbar (Change/Release, Berechtigungsmanagement, Betrieb, Monitoring), Artefakte sind lebende Dokumente (Architekturübersichten, Schutzbedarfe, Wiederanlaufpläne).

Auslagerungen verschärfen den Stresstest. Ohne zentrales Auslagerungsregister mit Kritikalitäten, ohne Mindestvertragsinhalte (Prüf-/Zugriffsrechte, Informationspflichten, Unterauslagerungen, Messgrößen), ohne laufendes Providermonitoring und ohne Exit-Strategien gerät Kontrolle ins Wanken. Mit diesen Bausteinen bleibt das Institut Herr der Lage – auch wenn Lieferketten lang sind. Der Alltag zeigt: Drei Fragen gehören in jedes Provider-Steering-Komitee: Sehen wir, was wir brauchen? (KPIs, Vorfälle, Changes). Dürfen wir, was wir müssen? (Audit, Zugriff, Transparenz). Kommen wir im Zweifel raus? (Daten, Know-how, Alternate).

Notfall- und Krisenmanagement: Üben schlägt Erzählen

Notfallpläne, die nur gelesen wurden, sind Versprechen. Notfallpläne, die geübt sind, sind Fähigkeit. Business-Impact-Analysen liefern Prioritäten, RTO/RPO geben Takt, IT-Wiederanlaufpläne definieren Reihenfolgen, Krisenstäbe proben Entscheidungen, Kommunikationslinien werden getestet – intern und extern. Jedes ernstgenommene Szenario-Exercise verändert die Organisation: Telefonnummernlisten werden aktuell, Checklisten schlanker, Zuständigkeiten klarer, Backups realer, Ersatzstandorte schneller. Aus Papier wird Routine.

Risikokultur: Der leiseste Hebel mit der größten Wirkung

Alle Konzepte scheitern, wenn Menschen Angst haben, schlechte Nachrichten zu bringen, wenn Zielkonflikte nicht benannt werden, wenn Regelverstöße folgenlos bleiben. Risikokultur ist kein Poster, sondern Verhalten: Führungskräfte, die bei Abweichungen konsequent sind – in beide Richtungen. Fachbereiche, die früh melden und ernst genommen werden. IT-Teams, die ein Release stoppen dürfen, wenn Tests rot zeigen. Vertrieb, der einen lukrativen Deal aus guten Gründen nicht macht und dafür Rückenwind erhält. MaRisk setzt hier einen Rahmen, der nur dann lebendig wird, wenn das Vorbild oben stimmt.

Interne Revision: Spiegel statt Strafgericht

Revision ist im Stresstest keine Strafe, sondern Sicherheitsgurt. Wer sie früh als Sparringspartnerin in Konzeptphasen nutzt (ohne operative Verantwortung abzugeben), reduziert spätere Überraschungen. Was zählt, sind präzise, wirksame Feststellungen – nicht die Länge des Berichts. In reifen Häusern sind Maßnahmenlisten fokussiert und an die Steuerungslogik angebunden: Wenn ein Befund auf Datenqualität zielt, hängt daran eine KPI-Strecke; wenn er Auslagerungsrechte moniert, wird der Mustervertrag angepasst; wenn er Notfallübungen kritisiert, wird geübt – mit Ergebnisnachweis.

Woran man wirksame MaRisk-Praxis erkennt

Es gibt Anzeichen, die man nicht übersehen kann. Vorstandsvorlagen beginnen mit einer Seite Entscheidung: Ampeln, Trends, Vorschläge. Limitreports lösen automatisch Maßnahmen aus, nicht Debatten. Stresstests haben Drehbücher. Auslagerungsregister sind aktuell, nicht retrospektiv; Audit- und Zugriffsrechte existieren in der Praxis. IT-Changes haben echte Go/No-Go-Schranken, Berechtigungen werden rezertifiziert, Logs ausgewertet. Notfallübungen finden statt und fließen in Verbesserungen. Datenqualität hat Eigentümer und Kennzahlen; bei Rot passiert etwas.

Wenn diese Muster sichtbar sind, entsteht Souveränität. Nicht, weil alles perfekt wäre, sondern weil Erkenntnis in Handlung übergeht.

Anti-Muster: So sieht Chaos aus

Es lohnt, die Gegenseite klar zu benennen – nicht aus Häme, sondern als Warnung. Papier ohne Gebrauch: Richtlinien mit Eleganz, aber ohne Anwendung. Berichte ohne Entscheidung: viele Zahlen, keine Schwellen, keine Maßnahmen. Grenzen ohne Konsequenz: Limitrisse, die niemanden interessieren. Stresstests ohne Wirkung: hübsche Charts, die das Neugeschäft nicht berühren. Auslagerungen ohne Zähne: Verträge ohne Prüfrechte, ohne Transparenz in Unterauslagerungen, ohne Exit. IT-Governance als Ritual: Change-Kalender, die niemand nutzt; Berechtigungen, die nie zurückgeschnitten werden; Logs, die im Datensee ertrinken. Notfallmanagement als Ordner, nicht als Übung. Risikokultur als Folie, nicht als Verhalten.

Wo mehrere dieser Muster zusammenkommen, ist Chaos keine Schande – es ist vorprogrammiert.

Ein verdichtetes Praxisbeispiel: Vier Entscheidungen, die alles drehen

Ein mittelgroßes Institut mit wachsendem Digitalgeschäft stand in einem turbulenten Quartal mehrfach „im Wind“: ein kritischer Cloud-Dienst mit Störung, volatile Märkte, hoher Eingang im Intensivbereich, Personalengpässe in der IT. Statt kosmetischer Maßnahmen traf das Haus vier grundsätzliche Entscheidungen.

Erstens definierte der Vorstand einen konkreten Risikoappetit mit messbaren Schwellen und Eskalationsregeln – inklusive qualitativer No-Gos. Zweitens wurde der Risikobericht radikal verdichtet: vorn Ampel- und Trendseite mit drei Entscheidungsoptionen, dahinter fokussierte Kapitel, alle mit Maßnahmenlogik. Drittens bündelte man Auslagerungssteuerung: ein Register mit Kritikalitäten, Mindestvertragsinhalten, KPIs, Regeln für Unterauslagerungen, Exit-Pläne. Viertens wurden vier IT-Disziplinen zur Chefsache: Berechtigungs-Rezertifizierung, Change-Disziplin mit hartem Go/No-Go, gelebte Notfallübungen, Log-Auswertung mit Feedback in Prozesse.

Drei Monate später war die Welt nicht friktionsfrei, aber die Reaktionszeit sank, die Überraschungsrate fiel, die Diskussionsqualität stieg. Die Organisation hatte gelernt, unter Druck gleichzeitig zu atmen und zu handeln. Das ist MaRisk – nicht als Papier, sondern als Praxis.

Metriken, die zählen – im Geschäft und in der IT

Wer steuern will, muss messen – aber das Richtige. In der Praxis haben sich schlanke Sätze von Leading- und Lagging-Indikatoren bewährt. Leading-Seite: Limitnutzungen mit Trend, Frühwarnindikatoren im Kredit, Liquiditätsfrühwarnungen, Change-Stabilität, offene kritische Findings, Providervorfälle, Datenqualitäts-KPIs. Lagging-Seite: realisierte Verluste, Ausfallquoten, Stresstestergebnisse, Plan-Ist-Abweichungen. Alle Indikatoren brauchen Schwellen und Aktionen – sonst sind sie Dekoration.

Ein Rat aus der Praxis: Lieber zehn gute Kennzahlen, die eine Entscheidung erzwingen, als hundert, die niemand liest. Und: jede KPI braucht einen Owner. Keinerseits und andererseits sind die Feinde jeder Handlung.

Warum IT und Fachbereich ein Team sind – oder gemeinsam scheitern

Die alte Trennung „die IT da drüben, die Banker hier“ ist in modernen Häusern verschwunden. Produkte sind Software, Prozesse sind Software, Kontrollen sind Software. Wer MaRisk deshalb nur durch die Bankbrille liest, übersieht die Hälfte. Change-Fenster, die diszipliniert laufen; Testautomatisierung an den richtigen Stellen; Observability, die nicht nur Alarme schickt, sondern Kontext liefert; Berechtigungen, die sich an Funktionen orientieren, nicht an Einzelpersonen – all das ist Risikosteuerung in Reinkultur.

Der Effekt ist handfest: Weniger Produktionsstörungen bedeuten weniger operationelle Verluste, bessere Datenqualität, höhere Verlässlichkeit in Berichten. IT ist dann nicht „zu auditieren“, sondern Mitautorin der Risikokontrolle.

Der rote Faden: Von Ordnung zu Freiheit

Am Ende geht es um einen einfachen, aber oft missverstandenen Zusammenhang: Ordnung schafft Freiheit. Je klarer Risikoappetit, Grenzen, Datenhoheiten, Eskalationswege und Maßnahmenlogiken sind, desto schneller können Menschen handeln – im Vertrieb, im Controlling, im Treasury, in der IT. Je mehr geübt ist, was selten passiert, desto ruhiger bleibt es, wenn es doch passiert. Je präziser Verträge sind, desto leichter lässt sich mit Dienstleistern auf Augenhöhe sprechen.

Kontrolle ist hier kein Gegenpol zu Unternehmergeist, sondern dessen Voraussetzung. Chaos ist nicht Kreativität, sondern Kostenstelle. MaRisk ist in dieser Lesart kein regulatorischer Zaun, sondern das Geländer, das Geschwindigkeit ermöglicht, ohne abzustürzen.

Fazit: MaRisk besteht – oder fällt – im Alltag

Ob Kontrolle oder Chaos – die Entscheidung fällt nicht im Rundschreiben, sondern in Routinen, Tools, Gesprächen, Auslagerungsverträgen, Logs, Übungen und Berichten. Institute, die MaRisk als lebendiges Steuerungssystem verstehen, gewinnen im Stresstest Zeit, Klarheit und Glaubwürdigkeit. Sie treffen bessere Entscheidungen, weil sie wissen, was sie wollen, was sie sehen, wo sie stehen und wer handeln darf.

Das ist der Unterschied, der zählt: Nicht, ob ein Ordner vollständig ist, sondern ob eine Organisation unter Druck funktioniert. MaRisk liefert dazu den Bauplan. Gebaut wird jeden Tag – gemeinsam durch Fachbereiche, Risikocontrolling, IT, Einkauf, Compliance, Revision und Vorstand. Wer diese Baustelle ernst nimmt, braucht vor Stresstests keine Angst zu haben. Er nutzt sie, um noch robuster zu werden.