Blockchain und Kryptowerte sind längst auch Themen im klassischen Bankenumfeld. Getriggert auch durch Vorstöße vieler Staaten oder Unternehmen wie Facebook mit Diem (früher: Libra) nimmt die Entwicklung des digitalen Euroimmer mehr Fahrt auf. Auch bei den Endkunden ist in den vergangenen Jahren das Interesse an Kryptowährungen gestiegen.
Nicht nur für Großbanken, auch für die IT-Dienstleister der Banken und Finanzinstitute wird daher die Frage drängender, ob und wie die eigenen Geschäftsmodelle an diese Entwicklungen angepasst werden könnnen. Welche Chancen gibt es, welche Voraussetzungen, regulatorischer wie auch technischer Art, werden benötigt?
Die Grundlage bildet die Technik der „verteilten Kassenbücher“: die Distributed Ledger Technologie (DLT), deren derzeit bekannteste technische Umsetzung die Blockchain-Architektur ist. Über geeignete Konsensusprotokolle (wie Proof of work oder Proof of Stake) werden Transaktionen dezentral legitimiert und bei allen Teilnehmern gespeichert.
Mit Hilfe solcher dezentral organisierten Architekturen können auch im Bankenbereich Transaktionen erheblich beschleunigt, durch den Einsatz von Smart Contracts künftig auch teilweise automatisiert werden. Gleichzeitig birgt die Technologie auch Potenzial für Disruption: Für die dezentrale Abwicklung werden zahlreiche Vermittlungs- und Clearingpunkte, die Banken bislang für vertrauenswürdige Transaktionen zur Verfügung stellen, nicht mehr benötigt.
Kryptographie als Sicherheitsanker
Die Rolle des Sicherheitsankers, den die Banken im klassischen Umfeld einnehmen, wird von kryptographischen Verfahren übernommen, genauer gesagt von asymmetrischen Kryptographie. Der private Schlüssel ist der zentrale Vertrauensanker, der dem Nutzer die umfassende Verfügungsgewalt über die jeweiligen Kryptowerte und Transaktionen ermöglicht und ihn auch im Handel mit Krypto-Werten authentisiert.
Um aber diese Funktion „sicher“ umzusetzen sind höchste Anforderungen an die Vertraulichkeit und Integrität des privaten Schlüssels (sowie natürlich auch an das Pendant, den öffentlichen Schlüssel) zu stellen. Und an dieser Stelle sind wieder Grundkompetenzen der Banken und ihrer Dienstleister gefragt, die jahrelange Erfahrungen in der sicheren Verwahrung und Verwaltung von Werten eingebringen können.
Da die Schlüsselverwaltung für Transaktionen mit Kryptowerten so entscheidend ist, greift auch in der Regulierung der Tatbestand des Kryptoverwahrgeschäfts schon mit der Zugriffsmöglichkeit auf private Schlüssel.1 Als neue Finanzdienstleistung wurden Kryptoverwahrgeschäfte in das Kreditwesengesetz mit aufgenommen, Anbieter benötigen dafür seit dem 1. Januar 2020 eine Lizenz der BaFin. Konkret betrifft das Unternehmen, die Kryptowerte oder private kryptografische Schlüssel, die dazu dienen, Kryptowerte zu halten, zu speichern oder zu übertragen für andere verwahren, verwalten und sichern.
Vorteile der klassischen Finanzdienstleister
Im Rahmen des Lizenzantrages ist die Erfüllung der Bankenaufsichtlichen Anforderungen an die IT (BAIT), der Mindestanforderungen an das Risikomanagement (MaRisk) und die Eignung der Geschäftsleiter ebenso nachzuweisen wie die Erfüllung der Pflichten nach der fünften Geldwäscheregulierung der EU (AML5).
Klassische Banken und deren IT-Dienstleister sind Neueinsteigern gegenüber im Vorteil, da sie mit all diesen Anforderungen bereits vertraut sind und auch entsprechende Compliance- und Sicherheitsmechanismen etabliert haben. Gerade Autorisierer, die bereits für andere Anwendungen kryptographische Schlüssel verwenden, verfügen auch schon über die entsprechende technische Infrastruktur. Die Herausforderung besteht dann vor allem in der Aufbereitung der Informationen für die Regulierungsbehörden und einer umfassenden Darstellung.
Regulatorik in Bewegung
Was aber auch Brancheninsidern die Orientierung erschwert, ist die Dynamik der Regulierungsprozesse, die beständig weiterentwickelt und immer wieder angepasst werden. Sowohl nationale Behörden als auch die EU bewegen sich hier in einem Spannungsfeld: Es gilt, die Technologieentwicklung voranzutreiben, gleichzeitig aber Geldwäsche und Missbrauch wirksam zu verhindern. Sicherheit und regulierte Märkte ziehen Investoren an; zu große regulatorische Hürden aber würden gerade Start-Ups abschrecken und Innovationen ausbremsen.
Entsprechend ist in der Regulatorik derzeit vieles in Bewegung und in der Diskussion. So steht etwa die technische Ausgestaltung des digitalen Euro noch gar nicht fest. Hier hat die EZB im Juli 2021 den Startschuss für eine Erprobungsphase gegeben. Mit einer Umsetzung ist nicht vor 2024 zu rechnen. Ebenfalls noch im Abstimmungsprozess ist die neue Verordnung der EU zu „Markets in Crypto-Assets“ (MiCA).
Es ist möglich, all diese Entwicklungen selbst zu verfolgen, das bindet aber Ressourcen im Unternehmen. Dann kann es hilfreicher sein, auf die Unterstützung durch spezialisierte IT-Dienstleister zurückzugreifen, die über die entsprechenden Erfahrungen in der Begleitung von Lizenzverfahren und der Zusammenarbeit mit Regulierungsbehörden verfügen. Je nach Ausgangssituation sollten für solche gemeinsamen Projekte Laufzeiten von drei bis sechs Monaten kalkuliert werden.
Die Beschaffung der Technik ist dabei in der Regel nicht zeitkritisch, für die Lizenzerteilung, die ja an Kapazitäten der Regulierungsbehörde gebunden ist, sollte aber ein zeitlicher Vorlauf eingeplant werden. Umso wichtiger ist die vollständige und übersichtliche Darlegung bereits in den Antragsunterlagen, auch dabei können erfahrene Berater unterstützen.
Schlüsselverwaltung ist die Basis, genügt aber nicht
Und noch ein weiterer Umstand kommt hinzu: So zentral die Funktion der Schlüsselverwaltung ist, so wenig wird sie in Zukunft als Differenzierungsmerkmal genügen. Banken haben zweifellos einen hohen Vertrauensbonus als Verwahrer kryptographischer Schlüssel, gerade für Endkunden zählen aber neben Sicherheit auch Komfort sowie schnelle und unkomplizierte Transaktionen.
Hier liegen die Chancen, sich vom Wettbewerb zu differenzieren. Die Verknüpfung klassischer Kontofunktionen und Transaktionen mit Kryptowerten dürfte dabei eine Rolle spielen, etwa durch Applikationen, die es Endkunden ermöglichen, über das eigene Bankkonto auf Kryptowährungen und entsprechende Plattformen zuzugreifen oder zum Beispiel Bitcoins an einen Empfänger mit bekannter Giro-Kontonummer zu überweisen. Für Banken wie für Endkunden könnte die Abwicklung von Online-Banking-Transaktionen über Plattformen der IT-Dienstleister eine Option sein. Plattformbetreiber könnten durch Bündelung von Transaktionen ihren Kunden günstigere Transaktionskosten offerieren.
Für solche weitergehenden Angebote werden zusätzliche technische Infrastrukturen benötigt, auch die Sicherheitskonzepte sind entsprechend anzupassen. Die konkreten Voraussetzungen und Schritte für den einzelnen Anbieter können in Beratungsprojekten besprochen und geplant werden. Voraussetzung für den Erfolg ist in jedem Fall eine enge Zusammenarbeit der Bereiche Compliance und IT in den Unternehmen.
Zusammengefasst: DLT Anwendungen bieten IT-Dienstleistern im Bankenumfeld gute Chancen, die eigenen Geschäftsmodelle anzupassen und sich auch für die Zukunft zu positionieren. Als geeigneter Einstiegspunkt sind Dienstleistungen im Rahmen des Kryptoverwahrgeschäfts zu sehen, die künftig erweitert und ergänzt werden können.
Autor Dr. Benjamin Botermann ist Senior Berater bei SRC Security Research & Consulting GmbH
1 Merkblatt: Hinweise zum Tatbestand des Kryptoverwahrgeschäfts. BaFin, 02.03.2020, zuletzt abgerufen 28.07.2021.https://www.bafin.de/SharedDocs/Veroeffentlichungen/DE/Merkblatt/mb_200302_kryptoverwahrgeschaeft.html?nn=13733456