In Zeiten der digitalen Transformation steigt auch das Interesse an neuen Anlageklassen. So nimmt aktuell die Nachfrage nach Krypto-Assets rasant zu. Für Finanzdienstleister bedeutet dies neue Chancen, aber auch neue Risiken.
Die Bedeutung von Krypto-Assets für die Finanzbranche steigt, denn nach dem Hype der Privatanleger wächst nun auch das Interesse institutioneller Investoren und Anleger an der neuen Anlageklasse. Doch mit dem Einzug der Krypto-Werte in den Finanzsektor sind auch zahlreiche Risiken verbunden, welche Finanzdienstleister berücksichtigen sollten.
Beim Herstellen, dem sogenannten “Mining”, von Krypto-Assets werden auf Basis der Blockchain-Technologie kryptographische oder digitale Vermögenswerte geschaffen, die fälschungssicher sind und nicht durch dezentrale Kopien vervielfältigt werden können. Die Eigenschaften und Nutzung von Krypto-Assets sind jedoch vielseitig und verändern sich laufend. Grundsätzlich lassen sich Krypto-Werte in vier Gruppen unterteilen.
Krypto-Assets im Wandel: Fokus auf vier Gruppen
Zunächst existieren Kryptowährungen, die ihren Schwerpunkt auf einer Bezahlfunktion haben. Anders als bei gesetzlichen Zahlungsmitteln werden Kryptowährungen wie Bitcoin, Ripple, Litecoin und Tether nicht von einem Staat oder einer Staatengemeinschaft ausgegeben. Der Preis ergibt sich rein aus Angebot und Nachfrage und ist in den meisten Fällen noch sehr volatil. Es gibt keine öffentliche Institution, die den Wert dieser Währung garantiert.
Bei Asset Backed Token wird die Krypto-Technologie hingegen genutzt, um Eigentumsansprüche an anderen Vermögenswerten wie Wertpapieren oder Edelmetallen digital zu verbriefen.
Security Token sind Investitionsverträge, welche das rechtliche Eigentum an einem digitalen oder physischen Asset darstellen und innerhalb der Blockchain verifiziert worden sind. Der Wert des Tokens ist abhängig von dem aktuellen Stand der Bewertung des Unternehmens, das den Token ausstellt. Security Token haben ein geringes Betrugspotenzial, da regulatorische Vorschriften existieren: Investoren und Unternehmen müssen beispielsweise die Bedingungen des sogenannten „Howey Tests” erfüllen. Dieser Test wird herangezogen, um festzustellen, ob eine Transaktion als Investitionsvertrag bezeichnet werden kann. Dazu müssen vier verschiedene Kriterien erfüllt werden, unter anderem, ob Gewinne aus der Investition erwartet werden. Erfüllt der Vermögenswert alle vier Kriterien, so kann er als Investitionsvertrag betrachtet werden.
Zuletzt existieren noch die Utility Token, welche einem bestimmten Zweck dienen, z.B. bei einer bevorzugten Behandlung in einem Ökosystem zur Beanspruchung von Dienstleistungen. Im Gegensatz zu den Security Token hängt der Wert des Utility Tokens nicht mit der Bewertung eines Unternehmens zusammen. Bei dieser Art von Vermögensgegenstand ist das Betrugspotenzial recht hoch, da die regulatorischen Vorschriften bislang unzureichend sind und es keine einheitliche Regulierung gibt.
Private Schlüssel als IT-Risiko
Noch sind Krypto-Assets weitgehend unreguliert. Gerade im derzeitigen, frühen Stadium bietet die rasch wachsende Anlageklasse insbesondere für Banken zahlreiche Chancen, neue Dienstleistungen und Produkte zu entwickeln und damit hohe Erträge zu erzielen. Die Bandbreite an potenziellen Dienstleistungen reicht von eigenen Handelsgeschäften und -plätzen bis hin zu Tresoranbietern oder Verwahrern für Krypto-Werte.
Vor dem Hintergrund des rasanten Wachstums dieses Segments müssen die damit einhergehenden Risiken regelmäßig evaluiert werden. Ein wesentliches Risiko von Krypto-Assets liegt dabei nicht in den Transaktionen, sondern in den dafür benötigten Schlüsseln. Ein privater Schlüssel bestimmt über den Besitz eines Krypto-Wertes. Wird dieser Schlüssel gestohlen, einem Dritten zugänglich gemacht, verändert, oder geht er verloren, kann der Zugriff auf das Krypto-Asset nicht länger kontrolliert werden.
Aus diesem Grund spielt die Absicherung der Erzeugung, Aufbewahrung und Nutzung von privaten Schlüsseln eine wesentliche Rolle bei der sicheren Nutzung von Krypto-Assets. Bei der Absicherung der Schlüssel sind verschiedene Aspekte zu berücksichtigen. Sie reichen vom Berechtigungsmanagement über die Änderungen und den Betrieb der genutzten IT-Systeme bzw. IT-Infrastrukturen bis hin zur Speicherung und zum Backup der Schlüsselinformationen.
Ein privater Schlüssel sollte stets vom Backup der Schlüsselinformationen getrennt aufbewahrt werden. Außer dem Eigentümer des Krypto-Assets sollte hierauf keiner Zugriff haben. Ferner sollten die Verfügbarkeit, Vertraulichkeit und Integrität der Schlüssel ganzheitlich sichergestellt werden. Wird bei der Verschlüsselung einer Nachricht ein falscher Schlüssel verwendet, kann die Transaktion nicht authentifiziert werden.
Hinsichtlich des Datenschutzes sind ebenfalls Besonderheiten im Umgang mit Krypto-Assets zu beachten. Durch eine Rückverfolgung der IP-Adresse, von der aus eine Transaktion durchgeführt wurde, können Transaktionen mit personenbezogenen Daten verknüpft werden. Die Transaktionsdaten sind zwar anonym, aber für alle Teilnehmer sichtbar.
Finanzaufsichten stecken Rahmenbedingungen ab
Auch die Finanzaufsichten haben die wachsende Bedeutung von Krypto-Assets erkannt und arbeiten an einem einheitlichen, aufsichtsrechtlichen Rahmen. Es existieren bereits Empfehlungen auf europäischer und nationaler Ebene, welche Risiken durch Geschäftstätigkeiten mit Krypto-Werten entstehen können und wie damit umgegangen werden sollte.
Die Mindestanforderungen an das Risikomanagement (MaRisk) der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) unterstreichen etwa die Bedeutung von Transparenz, um Risiken angemessen steuern und überwachen zu können. Daher sehen die MaRisk unter anderem die Durchführung eines strukturierten Neu-Produkt-Prozesses (NPP) bei der Aufnahme von Geschäftsaktivitäten im Kontext von Krypto-Assets vor.
Dieser Anforderung zufolge sollen Finanzinstitute zunächst ausreichend detailliert prüfen, ob sie die Risiken, die aus neuen Produkten und Geschäftsaktivitäten resultieren, mit dem bestehenden Instrumentarium angemessen steuern und überwachen können. Bevor neue Geschäftsaktivitäten im großen Stil aufgenommen werden dürfen, verlangt die BaFin IT-seitige oder prozessuale Weiterentwicklungen.
Im Rahmen der 6. MaRisk-Novelle wird außerdem hervorgehoben, dass der Erwerb von Krypto-Assets ein Handelsgeschäft darstellt. Die Aufsicht formuliert daher detaillierte Anforderungen, wie solche Handelsgeschäfte abzuwickeln sind und welche Maßnahmen für ein Risikocontrolling gelten.
Der Basler Ausschuss für Bankenaufsicht (BCBS) sieht in Krypto-Assets zudem potenzielle Risiken für Banken und die Finanzstabilität. In einem aktuellen Konsultationspapier adressiert der Ausschuss eine Vielzahl an Risiken, die den Krypto-Assets unterliegen – etwa Liquiditätsrisiken, Marktrisiken, operationelle Risiken, das Risiko der Geldwäsche und Terrorismusfinanzierung sowie Reputationsrisiken.
Prämissen für einen zukunftsorientierten Umgang
Noch sind viele Fragen in der Bewertung und im Umgang mit Krypto-Assets offen. Bevor Finanzdienstleister und insbesondere Banken in großem Umfang Geschäftsaktivitäten mit Krypto-Bezug aufnehmen, sollten alle resultierenden technischen, operativen und aufsichtsrechtlichen Risiken angemessen und vollständig berücksichtigt werden.
Ein einheitlicher aufsichtsrechtlicher Rahmen bildet die erforderlichen Voraussetzungen für einen geregelten Umgang mit dieser Anlageklasse, doch sollte er insbesondere in der derzeitigen Frühphase nicht zu restriktiv sein, um Finanzinstituten zu ermöglichen, eigene Erfahrungen mit Krypto-Assets zu sammeln.
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.