Risikoanalyse 2025
Die Risikoanalyse 2025 identifiziert 15 hochrelevante Bedrohungsszenarien für Kreditinstitute und Finanzdienstleister. Im Zentrum stehen nicht Deliktsbezeichnungen, sondern: Wie genau entstehen diese Gefährdungen? Welche Schwachstellen machen Banken angreifbar? Und welche Gegenmaßnahmen können Institute ergreifen, um sich zu schützen?
1. Business Email Compromise (BEC)
Gefährdung: Gefälschte Zahlungsanweisungen über kompromittierte E-Mail-Konten
Schwachstellen: Keine E-Mail-Authentifizierung, keine Anrufverifikation
Gegenmaßnahmen: SPF/DKIM/DMARC, 4-Augen-Prinzip, Awareness-Trainings
2. Investment Fraud
Gefährdung: Betrügerische Anlageprodukte mit falschen Renditeversprechen
Schwachstellen: Keine Produktprüfung, fehlende Vertriebskontrolle
Gegenmaßnahmen: Produktfreigabeprozess, Whitelist-System, Beratungskontrollen
3. Veruntreuung durch Mitarbeitende
Gefährdung: Unterschlagung von Geldern, Umgehung interner Kontrollen
Schwachstellen: Keine Funktionstrennung, fehlende Jobrotation
Gegenmaßnahmen: IKS-Prinzipien, Kontrollprotokolle, Zugriffsbeschränkungen
4. Insiderhandel
Gefährdung: Nutzung vertraulicher Informationen zum persönlichen Vorteil
Schwachstellen: Unkontrollierte Informationsflüsse, fehlendes Trade Monitoring
Gegenmaßnahmen: Insiderverzeichnisse, Pre-Approval-Verfahren, Marktmissbrauchsschulungen
5. Steuerbetrug (MTIC, Karusselle)
Gefährdung: Umsatzsteuerkarusselle mit Banken als Durchleitungsinstanz
Schwachstellen: Keine UBO-Prüfung, fehlende wirtschaftliche Plausibilität
Gegenmaßnahmen: Substanzprüfung, steuerliches Monitoring, Risikofilter bei Zahlungsausgängen
6. Bestechung und Vorteilsgewährung
Gefährdung: Einflussnahme auf Kreditentscheidungen oder IT-Zugänge
Schwachstellen: Keine Interessenkonflikt-Offenlegung, unkontrollierte Zuwendungen
Gegenmaßnahmen: Zuwendungsrichtlinie, Lieferantenprüfung, Integritäts-Check
7. Untreue in der Kreditvergabe
Gefährdung: Schädigung des Instituts durch kollusive Kreditentscheidungen
Schwachstellen: Intransparente Entscheidungskette, fehlende Revisionsschleife
Gegenmaßnahmen: Kreditkompetenzmatrix, revisionssichere Entscheidungsprotokolle
8. Geldwäsche
Gefährdung: Integration illegaler Mittel über Konten, Immobilien, Krypto
Schwachstellen: Oberflächliche CDD, kein Echtzeit-Monitoring
Gegenmaßnahmen: Risikobasierte KYC-Systeme, Delta-Screening, STR-Meldepflichten
9. Romance Scam / Love Fraud
Gefährdung: Manipulation von Kunden zur Selbstüberweisung an Täter
Schwachstellen: Fehlende Erkennung von Verhaltenstrends, keine Schutzlogik im Zahlungsverkehr
Gegenmaßnahmen: Behavioral Analytics, Kundensensibilisierung, Schwellenkontrollen
10. Subventionsbetrug
Gefährdung: Täuschung bei Fördermitteln mit Bankbeteiligung
Schwachstellen: Keine Mittelverwendungsprüfung, keine Registerabgleiche
Gegenmaßnahmen: Dokumentation, Plausibilitätsprüfung, Rückmeldestrukturen zu Förderstellen
11. Bilanzfälschung
Gefährdung: Manipulation von Abschlusszahlen zur Täuschung von Investoren oder Aufsicht
Schwachstellen: Keine unabhängige Kontrolle, interne Interessenkonflikte
Gegenmaßnahmen: 3rd Line-Prüfungen, Transparenzpflichten, Kontrollstichproben
12. Korrespondenzbankrisiken
Gefährdung: Nutzung von Nested Accounts oder Shell-Banken zur Umgehung von AML-Regeln
Schwachstellen: Fehlende Drittbankgespräche, kein EDD
Gegenmaßnahmen: Gesprächsprotokolle, Verbot von Nested Accounts, Drittstaaten-Risikoanalyse
13. Datendiebstahl / Informationsabfluss
Gefährdung: Abfluss sensibler Daten durch interne/externe Täter
Schwachstellen: Keine DLP-Systeme, unüberwachte Adminrechte
Gegenmaßnahmen: Zugriffskontrollen, SIEM/Logging, Incident Response Playbooks
14. Sanktionsumgehung
Gefährdung: Umgehung von EU-/UN-Sanktionen durch Tarnfirmen oder Umleitungen
Schwachstellen: Fehlende Listenscreenings, keine Dual-Use-Produktprüfung
Gegenmaßnahmen: Sanktionsmonitoring, Delta-Screening, produktbasierte Risikoanalyse
15. Phishing & Fake-Banking
Gefährdung: Täuschung von Kunden über gefälschte Portale und Mails
Schwachstellen: Kein 2FA, keine URL-Verifikation, fehlende Kundenschulung
Gegenmaßnahmen: 2FA/TAN-Verfahren, Mail-Gateways, Sensibilisierungskampagnen
Eintrittswahrscheinlichkeit und Schadenshöhe 2025
| Strafbare Handlung | Wahrscheinlichkeit | Schadenshöhe |
|---|---|---|
| BEC / CEO-Fraud | Hoch | Mittel–Hoch |
| Investment Fraud | Mittel | Hoch |
| Veruntreuung intern | Mittel | Mittel |
| Insiderhandel | Niedrig | Hoch |
| Steuerbetrug (MTIC) | Mittel | Hoch |
| Bestechung / Korruption | Mittel | Hoch |
| Untreue bei Krediten | Mittel | Hoch |
| Geldwäsche | Mittel | Hoch |
| Romance Scam | Mittel | Mittel |
| Subventionsbetrug | Mittel | Hoch |
| Bilanzfälschung | Niedrig | Hoch |
| Korrespondenzbankrisiken | Niedrig–Mittel | Hoch |
| Datendiebstahl | Hoch | Hoch |
| Sanktionsumgehung | Mittel | Hoch |
| Phishing / Fake-Banking | Hoch | Mittel |
Die „Risikoanalyse 2025“ macht sichtbar, wie gezielt Angriffe auf Banken verlaufen – von innen wie außen. Nur wer die Schwachstellen erkennt und geeignete technische, organisatorische und verhaltensorientierte Gegenmaßnahmen implementiert, bleibt handlungsfähig.