Mehr Druck, mehr Risiko: Was die MaRisk-Novellen wirklich auslösen

Mehr Druck, mehr Risiko: Was die MaRisk-Novellen wirklich auslösen

Es gibt Schlagworte, die harmlos klingen, aber im Maschinenraum einer Bank Erdbeben auslösen. „Novelle“ gehört dazu. Auf dem Papier liest sich das nüchtern: ein paar neue Randziffern, geschärfte Formulierungen, ein verändertes Wording zu Auslagerungen, mehr Präzision bei Daten, Governance und IT. In der Praxis fühlt sich das an wie eine Taktverdichtung in einem Orchester, das ohnehin am Limit spielt: mehr Anforderungen, engere Zyklen, schärfere Nachweise, tiefere Eingriffe in die tägliche Steuerung. Mehr Druck also. Und mit ihm – wenn man nicht aufpasst – mehr Risiko: für Überforderung, für Schein-Compliance, für Fehlsteuerung durch Kennzahlen, die niemand wirklich versteht, für IT-Fragilität unter Last, für Lieferkettenprobleme, die man gestern noch „Outsourcing“ nannte und heute „Konzentrationsrisiko“.

Dieser Text seziert nicht die Paragraphen, sondern ihre Wirkung. Er zeigt, wie die MaRisk-Novellen den Alltag von Banken und IT tatsächlich verändern – im Guten wie im Schwierigen. Und er macht deutlich, warum es jetzt weniger auf mehr Papier, sondern auf bessere Praxis ankommt: auf Entscheidungen, die schneller werden, weil sie klar vorbereitet sind; auf Daten, die tragfähig sind; auf Verträge, die Zähne haben; auf IT, die Stabilität wirklich belegt; auf eine Kultur, die Abweichungen nicht verdeckt, sondern gezielt nutzt, um robuster zu werden.

Warum der Druck steigt – und wo er herkommt

MaRisk war nie statisch. Jede Novelle folgt einem größeren Kontext: europäische Harmonisierung, neue Aufsichtserwartungen, Erfahrungen aus Stresstests, Vorfälle in Markt und Technik, die Grenzen aufgezeigt haben. Daraus entsteht ein Muster:

• Schärfere Governance: klare Rollen, Verantwortlichkeiten, Eskalationswege. Nicht nur „wer zeichnet“, sondern „wer versteht“ und „wer handelt“.
• Mehr Nachweisbarkeit: Konzepte reichen nicht – Wirkung muss belegbar sein. Ein Notfallplan zählt erst, wenn er geübt wurde und die Übung Spuren hinterließ.
• Tiefere Integration der IT: Aus BAIT-Punkten werden MaRisk-Pflichten. Technik ist kein Silo, sondern Teil der Risikosteuerung – mit eigenen Limits, Kennzahlen, Kontrollen.
• Drittparteien im Fokus: Auslagerung ist nicht nur Beschaffung, sondern ein Risikofeld mit Prüf- und Zugriffsrechten, Sub-Outsourcing-Transparenz und Exit-Szenarien.
• Datenqualität als Steuerungsfrage: Nicht „mehr“ Daten, sondern verlässliche. Data Governance wird risikorelevant, nicht nur IT-Hygiene.
• Resilienz statt nur Verfügbarkeit: Widerstandsfähigkeit gegen kombinierte Störungen – fachlich, technisch, organisatorisch – rückt ins Zentrum.

Das kumuliert zu einer Botschaft: Prozesse dürfen nicht nur existieren, sie müssen unter Druck funktionieren. Und genau dort trennt sich Schein von Sein.

Der organisatorische Effekt: Die Projektlisten werden länger – und der Kalender enger

Die erste sichtbare Folge jeder Novelle ist banal: mehr Projekte. Neue Leitlinien, hinzugekommene Prüfobjekte, aktualisierte Verträge, zusätzliche KPIs, neue Stresstest-Szenarien, erweiterte Notfallübungen, geschärfte Datenprozesse. Was sich weniger banal anfühlt: der gleichzeitige Vollzug. Kaum ein Haus hat die Kapazität, Anforderungen sequentiell abzuarbeiten. Es passiert parallel – Fachbereiche, Risiko, IT, Einkauf, Recht, Compliance, Informationssicherheit, Notfallmanagement.

Das Problem sind selten die Inhalte an sich, sondern Kollisionen: dieselben Schlüsselpersonen werden in mehreren Streams gebraucht; dieselben Daten werden in unterschiedlichen Formaten gefordert; dieselben Verträge müssen gleichzeitig angepasst werden; dieselben Systeme sollen neue Felder, neue Prüfpfade und neue Reports ausspucken – und das möglichst gestern. So entsteht der Risikotreiber „Change-Druck“. Wer ihn unterschätzt, baut ungewollt Change-Schulden auf: Workarounds, die in der Produktion bleiben; Excel-Zwischenlösungen, die nie abgelöst werden; Ausnahmen, die zur Regel werden.

Die Lehre daraus ist unbequem und hilfreich: Nicht „mehr Projekte“ lösen den Druck, sondern besser orchestrierte Veränderungen. Wenn Steuerungskomitees konsequent Prioritäten vergeben, Ressourcen bündelt, Abhängigkeiten transparent macht, „No-Gos“ definiert und Fertig heißt wirklich fertig durchsetzt, sinkt das Gesamtrisiko trotz höherer Anforderungen.

Daten: Von schöner Statistik zu entscheidungsfähiger Information

Jede Novelle legt die Latte bei Daten ein Stück höher. Das trifft nicht nur Reporting, sondern Steuerung. Entscheidend ist die Unterscheidung zwischen Zahlen und Information. Zahlen sind schnell erzeugt, Information ist anstrengend: Sie verlangt definierte Datenhoheit, klare Qualitätsregeln (Vollständigkeit, Stetigkeit, Plausibilität), Data Lineage (woher kommt der Wert?), Abstimmung zwischen Fachlogik und IT-Umsetzung, Kontrollen mit Konsequenzen sowie Versionierbarkeit.

Der Gewinn: Wenn Risikoappetit, Limits und Stresstests auf einer stabilen Datenbasis laufen, werden Entscheidungen kürzer, Eskalationen seltener, Maßnahmen wirkungsvoller. Der Verlust: Wer an dieser Stelle spart, zahlt später doppelt – mit Nacharbeiten, Sonderabfragen, Rückfragen der Aufsicht, Auditreports, die Arbeit verlangsamen, und schlimmstenfalls mit Fehlsteuerung in Stresslagen.

Praktisch bewährt hat sich eine schlanke Architektur: wenige „Golden Sources“, standardisierte Schnittstellen, ein Datenqualitäts-Cockpit mit wenigen, aber harten Kennzahlen (zum Beispiel Fehlerrate in Schlüsselattributen, Anteil manueller Eingriffe, Stetigkeitsbrüche bei Zeitreihen) und klare Verantwortliche, die bei Rot nicht diskutieren, sondern handeln.

IT rückt in die erste Reihe: Governance, Change, Betrieb, Sicherheit

Banken sind Software. Produkte, Prozesse und Kontrollen laufen auf Code, Konfiguration und Schnittstellen. MaRisk-Novellen zementieren, was die Praxis ohnehin zeigt: IT ist Risiko und Risikosteuerung zugleich. Vier Felder sind besonders exponiert:

Governance und Rollen. Ohne klaren Takt zwischen IT-Leitung, Informationssicherheitsbeauftragtem, Datenschutz, Notfallmanagement und den Fachbereichen wird jede Auditsaison zum Marathon. Rollen müssen nicht nur definiert, sondern gelebt werden: Wer entscheidet Releases? Wer stoppt, wenn Tests rot sind? Wer genehmigt Berechtigungen? Wer verantwortet Logs?

Change- und Releasemanagement. Viele Vorfälle haben dieselbe Wurzel: übereilte Changes, unvollständige Tests, unklare Rückfallpläne. Novellen verstärken den Anspruch: Nachvollziehbarkeit, Risikobewertung je Change, Go/No-Go-Disziplin, dokumentierte Fallbacks, Segregation of Duties, Testprotokolle, die nicht nur existieren, sondern verstanden wurden. Das bremst nicht, es beschleunigt – weil Produktionsstörungen teuer sind.

Betrieb und Observability. Überwachung ist kein Sammeln von Logs, sondern Auswerten und Handeln. Wenn Metriken, Traces und Logs konsistent erhoben werden, Schwellen sinnvoll gesetzt sind und On-Call-Prozesse funktionieren, verschwinden die „Geisterfehler“. Genau das will Aufsichtspraxis sehen: Wirksamkeit statt Tool-Inventare.

Sicherheit und Verwundbarkeiten. Patch- und Schwachstellenmanagement, Härtungsstandards, Penetrationstests, Berechtigungs-Rezertifizierungen – alles Klassiker, alles erklärungsbedürftig, wenn es nicht in einem lebenden Zyklus hängt. Die Latte liegt dort, wo Maßnahmen nachweislich Risiken senken.

Drittrisiken, überall: Auslagerung ist ein Steuerungsthema, kein Einkaufsprozess

Auslagerungen sind längst nicht mehr „Ein Vertrag, und gut ist“. Novellen verlagern den Fokus von der Erstprüfung auf den durchgängigen Lebenszyklus: Initiale Due Diligence mit echter Sicht auf Sub-Auslagerungen und Leistungsversprechen, Mindestvertragsinhalte (Prüf-/Zugriffsrechte, Informationspflichten, Reporting, Exit), laufendes Providermonitoring mit Kennzahlen, die nicht geschönt werden können, Steuerungsgremien mit Entscheidungskompetenz, Exit-Pläne, die realistisch sind, und Konzentrationsrisiken, die ausdrücklich betrachtet werden.

Die neue Komplexität liegt in der Kette: Cloud-Provider, Plattformanbieter, Software-as-a-Service, Integratoren, Betriebsdienstleister. Ein Problem an Glied A pflanzt sich in B und C fort, oft zeitlich versetzt. Wer hier Kontrolle behalten will, braucht ein Auslagerungsregister, das den Namen verdient; kritikalitätsbasierte Steuerung; Musterverträge mit Zähnen; Transparenz in Unterauslagerungen; und die Bereitschaft, Konsequenzen zu ziehen, wenn Service-Levels reißen.

Resilienz heißt: üben, lernen, verbessern

Notfallmanagement ohne Proben ist Folklore. Resilienz entsteht dort, wo Business-Impact-Analysen Prioritäten klarmachen, RTO/RPO nicht Wunschkonzerte sind, Wiederanlaufpläne verprobt wurden, Krisenstäbe Entscheidungen trainieren und Kommunikation (intern wie extern) festen Mustern folgt. MaRisk-Novellen heben genau darauf ab: Praxis schlägt Prosatext.

Der entscheidende Schritt ist die Transformation vom jährlichen Pflichttermin zum inkrementellen Lernsystem: kleine Übungen im Quartal, wechselnde Szenarien (IT-Ausfall, Dateninkonsistenz, Lieferant down, Marktstress, Betrugsfall), am Ende Lessons Learned, die in Prozesse, Playbooks und Verträge zurückfließen. So entstehen kurze Reaktionszeiten – die wichtigste Währung im Ernstfall.

Kredit, Zins, Liquidität: Wenn die Modelle in die Wirklichkeit müssen

Die Novellen berühren nicht nur Non-Financial-Risiken. Sie verschärfen auch die Erwartung an Kredit-, Zins- und Liquiditätssteuerung: Risikoappetit mit klaren Schwellen, Frühwarnsysteme, die Arbeit auslösen, Portfoliosichten, die Klumpen sichtbar machen, mehrstufige Stresstests, die Konsequenzen definieren, Liquiditätspuffer, die nicht nur berechnet, sondern verfügbar sind.

Die operative Kunst liegt in der Verknüpfung: Von der Einzelkredit-Warnung zur Portfoliosteuerung; vom Stresstestergebnis zur Fundingstrategie; von der Limitnutzung zur Business-Entscheidung; von Markt- und Zinsrisiko zum Produktangebot. Wenn diese Kette steht, wird aus Druck Handlungsfähigkeit.

ESG und Klimarisiken: Ein neues Risikofeld wird erwachsen

Ein zunehmend sichtbares Feld ist die Integration von Klimaund Umweltrisiken in das Gesamtrisikoprofil. Es geht nicht darum, ob man Klimaphysik im Detail modelliert, sondern wo und wie Übergänge (z. B. Regulierung, Technologie, Nachfrage) und physische Effekte Kreditwürde, Sicherheiten und Geschäftsmodelle beeinflussen. Novellen stärken die Erwartung, dass Institute Strukturen haben, die solche Risiken identifizieren, bewerten, überwachen und steuern – proportional, aber wirksam.

Praktisch heißt das: Exposure-Landkarten, sensible Branchen, angepasste Vergabestandards, Szenarien mit längerem Horizont, Datenquellen mit Augenmaß und – wieder – Risikokultur, die Nichtwissen als Auftrag begreift, nicht als Ausrede.

Risikokultur: Das leiseste Kapitel mit der größten Wirkung

Papier überzeugt Prüfer, Verhalten überzeugt Krisen. Novellen legen daher subtil, aber spürbar mehr Gewicht auf Risikokultur: auf die Fähigkeit, früh zu melden, klar zu eskalieren, konsequent zu handeln, Widersprüche auszuhalten, Incentives zu richten. Ein Haus, das Vertrauen belohnt und Schönfärberei sanktioniert, ist resilienter – unabhängig von seiner Tool-Landschaft.

Risikokultur sichtbar zu machen gelingt, wenn Führungskräfte Beispiele setzen (ein Release wird gestoppt, ein Deal wird abgelehnt, eine Übung wird wiederholt, bis sie sitzt), wenn Zielsysteme Konflikte berücksichtigen (Umsatz vs. Risiko), wenn Speak-Up geübt wird und wenn Post-Mortems ohne Schuldzuweisung stattfinden, aber mit konkreten Änderungen enden.

Kosten, Kapazitäten, Talente: Die Engpässe sind real

Es wäre naiv, Novellen nur als Technik- oder Governancefrage zu betrachten. Sie sind Personal- und Kompetenzfragen. Datenarchitekten, Informationssicherheitsbeauftragte, Sourcing-Juristen, Cloud-Engineers, Risikoanalysten, Business-Architektinnen – sie sind rar. Gleichzeitig steigen die Anforderungen an alle Linien: die erste Linie muss nachweislich steuern, die zweite Linie muss wirksam challengen und designen, die dritte Linie muss fokussiert prüfen.

Was hilft? Priorisierung statt Add-on-Denken. Standardisierung statt Einzelfallromantik. Automatisierung dort, wo sie Qualität hebt (z. B. Datenchecks, Berechtigungs-Rezerts, Konfig-Drift-Monitoring). Schulung mit Praxisbezug, nicht nur E-Learning. Tools als Mittel, nicht als Ziel. Und das Bewusstsein, dass wenige gute Kennzahlen mehr bewirken als hundert hübsche.

Stresstest für Gremien: Entscheidung statt Debatte

Ein unterschätztes Wirkfeld der Novellen ist die Neuordnung von Entscheidungswegen. Der Vorstand braucht Vorlagen, die Entscheidungen ermöglichen: oben Ampeln, Trends, Schwellen, Vorschläge; erst danach Herleitung. Die ALM-Runde braucht Berichte, die Aktionen triggern (Hedge, Laufzeit drehen, Funding verschieben), nicht Erzählungen. Das Provider-Steering braucht Transparenz, die konsequent wird (Zeitplan, Nachlieferung, Vertragshebel). Der Krisenstab braucht Playbooks, die handhabbar sind – und situative Freiheit dort, wo es darauf ankommt.

Die Kunst besteht darin, Form und Inhalt zu verbinden: ausführlich im Hintergrund, knapp und klar im Front-Sheet. Jede Novelle, die zu mehr Papier statt zu besserer Kommunikation führt, verfehlt ihr Potenzial.

Anti-Muster: Woran man Schein-Compliance erkennt

Man kann an wenigen Symptomen erkennen, ob der Druck produktiv wird – oder ob Chaos lauert:

• Excel-Zwischenwelten als Dauerlösung – ohne Eigentümer, ohne Kontrollen.
• KPIs ohne Schwellen – schön anzusehen, aber ohne Handlung.
• Limitrisse ohne Konsequenz – das nächste Meeting klärt’s.
• Stresstests ohne Drehbuch – „Spannend!“, aber was tun wir jetzt?
• Verträge ohne Zähne – kein Audit-Recht, keine Unterauslagerungs-Sicht, schwache Exit-Klauseln.
• Logs ohne Auswertung – wir sammeln viel, nur handeln wir nicht.
• Übungen ohne Lerneffekt – Häkchen dran, weiter so.
• Risikokultur als Poster – niemand bringt schlechte Nachrichten gern nach oben.

Wo diese Muster auftauchen, steigt das operative Risiko proportional zum Regeldruck. Nicht, weil Regeln schlecht wären, sondern weil sie nicht in Verhalten übersetzt wurden.

Wie man den Druck in Leistung wandelt

Die Lösung liegt nicht in mehr Meetings, sondern in wirksamen Leitplanken:

Ein Risikoappetit, der lenkt. Quantitativ und qualitativ, mit klaren Schwellen und Maßnahmen. So wissen alle, was „grün, gelb, rot“ bedeutet – fachlich, finanziell, technisch.

Ein verdichtetes Reporting. Ein Front-Sheet mit Ampeln, Trendpfeilen, Top-Risiken, Maßnahmenstand; dahinter ein konsistenter Baukasten an Sichten. Immer dasselbe Layout, damit Diskussionen inhaltlich werden.

Daten mit Eigentümern. Golden Sources, klare Lineage, Data-Quality-KPI, Eskalationslogik. „Fehler gehören uns allen“ – ja. Aber jemand muss sie beheben.

IT-Disziplin, die liefert. Change-Prozesse mit Risiko-Scoring, Testabdeckung, Go/No-Go-Ritual; Berechtigungen mit Lebenszyklus; Observability mit echten On-Call-Pflichten; Security als Regelkreis, nicht als Audit-Artefakt.

Sourcing mit Zähnen. Kritikalitätsorientierung, Mindestvertragsinhalte, Sub-Outsourcing-Transparenz, KPIs, Steering-Gremien, Exit-Designs, die getestet wurden (Daten, Know-how, Alternativen).

Resilienz als Training. Quartalsweise Übungen, wechselnde Szenarien, messbarer Lerneffekt. Krisenstabsarbeit in Friedenszeiten üben, bis sie Leichtigkeit bekommt.

Risikokultur mit Konsequenzen. Früh melden wird belohnt. Verschleiern hat Folgen. Entscheidungen werden erklärt. Fehler werden analysiert, nicht personifiziert.

Was sich konkret für Rollen ändert

Vorstände brauchen Mut zur Präzision: Risikoappetit unterschreiben, Maßnahmen priorisieren, Grenzen durchsetzen, Berichtskultur prägen, Konsequenzen tragen.

Risikocontrolling wird vom Reporter zum Co-Steuerer: weniger Zahlenteppich, mehr Handlung, Szenarien, Maßnahmenlogik, Datenverantwortung.

Fachbereiche werden erste Linie im Wortsinne: Sie steuern Risiken in ihren Produkten und Prozessen – und beweisen es.

IT wird Mit-Autorin der Risikosteuerung: Release-Stabilität, Berechtigungs-Hygiene, Observability, Security-Zyklen – das sind Primärhebel für operationelle Verluste.

Einkauf/Sourcing wird Risikomanager: Verträge als Instrumente, nicht als Ablage; Providersteuerung mit Daten, nicht mit Bauchgefühl.

Revision wird Spiegel statt Strafgericht: frühe Einbindung, fokussierte Feststellungen, Maßnahmen, die wirklich schließen.

Der stille Nutzen: Klarheit senkt die Kosten

Es klingt paradox, ist aber Alltagserfahrung: Gut gemachte MaRisk-Umsetzung spart. Nicht direkt in Budgets, sondern in vermiedenen Überstunden, in weniger Nacharbeit, in weniger Produktionsstörungen, in kürzeren Sitzungen, in weniger Eskalationen, in schnellerer Entscheidungsfindung. Klarheit ist Effizienz.

Wer den Mut hat, von „mehr“ auf „besser“ umzustellen – weniger KPIs, aber mit Zähnen; weniger Tools, aber integriert; weniger Gremien, aber entscheidungsstark – der wandelt Regeldruck in Wettbewerbsvorteil. Denn robust zu sein heißt nicht langsam zu sein. Es heißt: schnell ohne Zittern.

Fazit: Novellen sind kein Unwetter – sie sind ein Windkanal

MaRisk-Novellen erzeugen Druck. Das ist gewollt. Der Sinn besteht nicht darin, Institute zu belasten, sondern sie fähiger zu machen: für Volatilität, für technische Störungen, für Lieferkettenprobleme, für neue Risikoarten. Ob daraus mehr Risiko oder mehr Resilienz entsteht, ist keine Frage der Prosa, sondern der Praxis.

Wer jetzt priorisiert, verdichtet, übt, vereinfacht, standardisiert und verbindlich wird, erlebt die Novellen als Windkanal: Schwächen werden sichtbar, Stärken messbar, Verbesserungen konkreter. Wer stattdessen Papier produziert, verteilt den Druck nur – und vergrößert die Bruchgefahr.

Die Wahl ist klar: Kontrolle statt Chaos. Und der Weg dorthin ist offen. Jede Bank, jede IT-Organisation, jedes Gremium kann heute damit anfangen: mit einer Seite mehr Entscheidung und einer Seite weniger Erzählung. Mit einem Release, das bewusst gestoppt wird. Mit einem Vertrag, der Zähne bekommt. Mit einer Übung, die wirklich etwas ändert.

Dann zeigt die nächste Prüfungsrunde, die nächste Marktspanne, die nächste Störung nicht, wo Regeln fehlen – sondern wie wirksam sie sind. Und genau darum geht es.