MaRisk: Die Säulen des modernen Banken-Risikomanagements
Die MaRisk (Mindestanforderungen an das Risikomanagement) sind verbindliche Verwaltungsanweisungen der BaFin für Kreditinstitute, Finanzdienstleistungsinstitute, Versicherungen sowie andere Finanzunternehmen, die Bankgeschäfte betreiben.
MaRisk konkretisieren Vorgaben des Kreditwesengesetzes, insbesondere § 25a KWG, setzen qualitative Anforderungen aus Eigenkapitalvorschriften um und übersetzen damit gesetzliche Pflichten in prüf- und umsetzbare Anforderungen an Governance, Kontrollen und Risikomanagement (BaFin: Rundschreiben 06/2024 (BA) – MaRisk; Bundesbank: MaRisk-Übersichtsseite).
Die Entwicklung der MaRisk
Seit der Erstveröffentlichung 2005 wurden die MaRisk mehrfach novelliert, um neue Risikolagen und EU-Leitlinien in Banken zu integrieren. Aktuelle Meilensteine sind:
- 7. Novelle (2023): u. a. stärkere Anforderungen rund um Kreditprozesse und ESG-Risiken (als Rahmenanforderung im Risikomanagement).
- 8. Novelle (29.05.2024): veröffentlicht als BaFin-Rundschreiben 06/2024 (BA); Schwerpunkt war die Umsetzung der EBA-Leitlinien zu Zinsänderungs- und Kreditspreadrisiken im Anlagebuch (IRRBB/CSRBB). (BaFin-Meldung zur 8. Novelle; BaFin: RS 06/2024)
- MaRisk 2026: Branchenverbände und Marktbeobachter rechnen mit weiteren Anpassungen („neunte Novelle“). In dieser soll die Komplexität reduziert und die Proportionalität in Form einer neuen Institutsklassifizierung gestärkt werden.
Kernmodul AT 9: Auslagerungen (Outsourcing)
AT 9 MaRisk regelt die Auslagerungen (Outsourcing) von Kreditinstituten. Ziel ist es, dass ausgelagerte Aktivitäten keine unkontrollierbaren Risiken erzeugen und die Steuerungs-, Kontroll- und Prüfungsfähigkeit jederzeit erhalten bleibt.
AT 9 MaRisk ist besonders praxisrelevant, weil Auslagerungen im Bankbetrieb – vor allem von IT- und Cloud-Services – gleichzeitig Risikotreiber und Effizienzhebel sind.
AT 9 MaRisk fordert unter anderem:
- die Klassifizierung von Auslagerungen nach ihrer Wesentlichkeit als kritische bzw. wichtige Funktionen sowie eine daran ausgerichtete Intensität der Steuerungs- und Kontrollmaßnahmen,
- risikoorientierte Due-Diligence-Prüfungen vor dem Abschluss von Auslagerungsverträgen,
- die Einhaltung verbindlicher Mindestvertragsinhalte, mit wichtigem Fokus auf Prüf- und Zugriffsrechte, Unterauslagerungen (Sub-Outsourcing) sowie Exit- und Rückverlagerungsszenarien,
- die Führung eines zentralen und aktuellen Auslagerungsregisters sowie das laufende Monitoring der ausgelagerten Leistungen anhand geeigneter KPIs und KRIs sowie regelmäßiger Berichterstattung an die Geschäftsleitung.
Schnittstelle zu DORA (Digital Operational Resilience Act)
Der Digital Operational Resilience Act (DORA) gilt seit 17.01.2025 EU-weit. Er setzt einen einheitlichen Rahmen für IKT-Dienstleistungen, digitale Dienste und Datendienste mit dem Ziel, die digitale Resilienz zu stärken.
DORA ergänzt MaRisk – praktisch bedeutet das: Auslagerungs- und IKT-Controls müssen „MaRisk + DORA“ konsistent erfüllen (EIOPA DORA-Übersicht).
Einordnung aus der Praxis: AT 9 MaRisk regelt selbst keine technischen Zugriffskontrollen. In der Praxis erwarten Aufsicht und Prüfer belastbare Nachweise zu Zugriffen, privilegierten Konten, Authentifizierung und Incident-Response.
Im Rahmen der IKT-Compliance sind beispielsweise Zugriffskontrollen in Form eines Identity and Access Managements zur konsistenten starken Authentifizierung und sicheren Benutzeranmeldung umzusetzen.
Ein typischer Prüfpunkt im Outsourcing-Kontext und DORA-Vorschriften ist die Auditierung privilegierter Zugriffe und die Anwendung moderner IAM-Standards wie des Zero Trust Modells.
Im Artikel wird ausschließlich das Zusammenspiel aus MaRisk und DORA behandelt. In der Praxis sind auch globale Standards wie NIST-CSF und ISO-27001/31000 relevant.
Module AT 8.0, 8.1 und 8.2 – Prozesse & Strukturen
Neben dem Tagesbetrieb adressiert MaRisk die Frage: Wie bleibt Risikomanagement wirksam, wenn sich Produkte, Märkte und Organisation ändern? Genau dafür steht AT 8 (Anpassungsprozesse):
- AT 8.1 (MaRisk 8.1) Neu-Produkt-Prozess, NPP: Vor der Einführung neuer Produkte oder Märkte ist eine strukturierte Risikoanalyse mit Einbindung relevanter Funktionen (Risikocontrolling, Compliance, Revision etc.) und die dokumentierte Freigabe erforderlich.
- AT 8.2 (MaRisk 8.2) wesentliche Änderungen: Vor größeren organisatorischen oder IT-seitigen Änderungen ist die Auswirkung auf Kontroll- und Risikostrukturen zu bewerten und zu dokumentieren.
Best Practices für die Umsetzung
In Projekten zur Umsetzung der MaRisk zeigt sich regelmäßig, dass formale Regelwerke allein nicht ausreichen. Entscheidend ist eine konsequente, praxisnahe Integration der Anforderungen.
1. Governance klar strukturieren – „Three Lines of Defense (TLoD)“
Eine belastbare Governance ist die Grundlage jeder MaRisk-konformen Organisation. Bewährt hat sich das Three-Lines-of-Defense-Modell, bei dem:
- die erste Linie (Fachbereiche) operative Risiken verantwortet,
- die zweite Linie (Risikomanagement, Compliance, Informationssicherheit) steuernd und überwachend wirkt,
- die dritte Linie (Interne Revision) unabhängig prüft.
Die MaRisk (Fassung 06/2024) verlangen klare Rollen, Verantwortlichkeiten, Zuständigkeiten und Eskalationswege sowie eine nachvollziehbare Governance. Transparenz und Dokumentierbarkeit sind zentrale Prinzipien, die sich u. a. aus AT 3 (Gesamtverantwortung der Geschäftsleitung), AT 4 (Organisation) und im Kontext von Auslagerungen aus AT 9 ableiten lassen.
2. Auslagerungen systematisch und skalierbar steuern
Auslagerungen zählen zu den prüfungsintensivsten MaRisk-Themen. Best Practice ist eine Industrialisierung des Auslagerungsmanagements, um Qualität und Konsistenz sicherzustellen. Dazu gehören:
- ein zentrales, aktuelles Auslagerungsregister,
- standardisierte Risikoanalyse-Templates,
- vordefinierte Vertragsbausteine (z. B. Prüfungsrechte, Informationspflichten, Exit-Klauseln),
- regelmäßige Reviews bestehender Auslagerungen,
- sowie Exit-Übungen, um die tatsächliche Rückführbarkeit kritisch zu testen.
Diese strukturierte Steuerung der Auslagerung reduziert absolute Abhängigkeiten und erhöht die Steuerungsfähigkeit.
3. Identity- & Access-Controls als Prüfungsanker etablieren
In MaRisk-Prüfungen spielen Identity- & Access-Controls eine zentrale Rolle. Sie gelten als besonders aussagekräftig, weil sich an ihnen Governance, IT-Sicherheit und operative Umsetzung messen lassen.
Maßnahmen sind:
- starke Authentifizierungsverfahren,
- saubere, rollenbasierte Berechtigungskonzepte,
- lückenlose Protokollierung von Zugriffen,
- gezielte Kontrolle privilegierter Zugriffe und Sitzungen (PAM).
Bei IT-nahen Auslagerungen und im Kontext von Digital Operational Resilience Act (DORA) gewinnen diese Kontrollen weiter an Bedeutung. Identity-Management- und Privileged-Access-Management sind in ein übergeordnetes Kontrollkonzept einzubetten.
4. Monitoring und Schulungen verankern
Institute sollten ein strukturiertes Regulatory Monitoring etablieren, das relevante Änderungen frühzeitig identifiziert und bewertet.
Ebenso entscheidend ist eine institutsweite Schulung und Awareness:
- Fachbereiche müssen verstehen, warum Anforderungen existieren,
- IT und Einkauf müssen Auslagerungsrisiken einordnen können,
- Führungskräfte müssen Verantwortung aktiv wahrnehmen.
So wird vermieden, dass MaRisk-Compliance auf reine Dokumentation („Papier-Compliance“) reduziert wird, ohne im operativen Alltag wirksam zu sein.
MaRisk BaFin – Ordnungsrahmen für digitale Resilienzmaßnahmen
Die MaRisk-Vorgaben der Bundesanstalt für Finanzdienstleistungsaufsicht bilden den zentralen Ordnungsrahmen des deutschen Banken-Risikomanagements. Ihre praktische Bedeutung nimmt mit zunehmendem Outsourcing, wachsender Cloud-Nutzung und dem Inkrafttreten des DORA-Regimes weiter zu.
Institute, die Auslagerungen gemäß AT 9 MaRisk steuern, Anpassungsprozesse nach AT 8.1 und AT 8.2 nachvollziehbar dokumentieren und technische Kontrollmaßnahmen im Rahmen der übergeordneten Governance verankern, stärken damit ihre operative Resilienz und Prüfungsfestigkeit.