Die Bedeutung von Handelsplätzen für das Finanzsystem wird eher subtil wahrgenommen. Zumindest die meiste Zeit über. „Die ausgestreckten Hände", so schrieb der deutsche Ökonom und Soziologe Max Weber 1894 unter Bezugnahme auf Angebot und Nachfrage, „müssen sich treffen können, und dazu ist der Markt unerlässlich“. Auch wenn die Volkswirtschaften des späten 19. Jahrhunderts nur noch wenig Ähnlichkeit mit den heutigen haben, sind seine Ausführungen zur Preisfindung und Preisbildung zeitlos.
Die Menschen haben nicht unbedingt makroökonomische Zusammenhänge im Kopf, wenn sie an Handelsplätze denken, aber jeder hat ihre Bedeutung vor Augen, wenn die Dinge nicht so funktionieren, wie sie es normalerweise tun. Wenn die Märkte nervös werden und es Ausschläge in die eine oder andere Richtung gibt, ist das verheerend genug; aber wenn Handelsplätze aufgrund technologischer Unzulänglichkeiten ausfallen, ist das eine Bedrohung für das Vertrauen der Anleger und die Integrität des Marktes. Wenn von Börsenausfällen gesprochen wird, fällt als erstes die aussergewöhnliche Volatilität im März 2020 auf, die viele Marktinfrastrukturen bis an ihre Grenzen, manche sogar darüber hinaus, strapaziert hat.
Zunehmende Abhängigkeit von Drittanbietern
Die Europäische Wertpapier- und Marktaufsichtsbehörde (ESMA) wies in ihrem TRV-Bericht jedoch nicht auf diese Periode extrem hoher Volatilität im ersten Quartal 2020 hin, als die Anzahl der Circuit Breaker Trigger-Ereignisse im Durchschnitt 3.300 pro Woche erreichte. Die technologischen Probleme, die nach Ansicht der ESMA ein „Risiko für die ordnungsgemässe Funktion eines Netzwerks von Handelsplätzen“ darstellen, traten in der zweiten Jahreshälfte 2020 auf, als die Anzahl der Circuit-Breaker-Trigger-Ereignisse auf weniger als 80 pro Woche gesunken war. Laut ESMA richtet sich die Sorge auf eine zunehmende Abhängigkeit von Drittanbietern von Daten oder Software und Cloud-Diensten. Es ist wichtig festzuhalten, dass die Behörden das Outsourcing bestimmter Geschäftsfunktionen nicht als solches kritisieren; regulierte Unternehmen beschäftigen seit vielen Jahren Drittanbieter. Es gibt sogar spezielle Vorschriften darüber, wie relevante Prozesse strukturiert und gesteuert werden müssen. Je kritischer die betreffende Dienstleistung ist, desto strenger sind die Anforderungen an ihre Fremdvergabe. Die meiste Zeit hat dies gut funktioniert und anfängliche Befürchtungen - vor allem im Zusammenhang mit der Cybersicherheit - sind der Erkenntnis über die vielen Vorteile gewichen, die Outsourcing, insbesondere von IT-Services, mit sich bringt. Unternehmen können nicht nur bei den Infrastrukturausgaben sparen, sondern haben aufgrund des erheblichen Flexibilitätsüberschusses im Vergleich zu On-Premise-Implementierungen mehr Kontrolle über die laufenden IT-Kosten. Zu dieser Flexibilität gehören die einfachere Skalierbarkeit von Kapazitäten, die kostengünstigere Anpassung an neueste Softwarestandards und der Nutzen eines insgesamt höheren Standardisierungsgrades in der Branche. Denn eine solche Standardisierung reduziert den Integrationsaufwand. Nicht zuletzt wird die Absicherung eines Netzwerks vor Cyberangriffen oder vor technologischen Risiken in Verbindung mit Kapazität oder Redundanz von Cloud-Service-Providern meist wesentlich effektiver gehandhabt, als es Unternehmen selbst tun könnten.
Public Cloud-Systeme wachsen
Laut einer Studie von Gartner werden die Umsätze mit Public-Cloud-Services bis 2022 ein Volumen von 331 Mrd. US-Dollar erreicht haben und sich damit gegenüber den Ausgaben von 182 Mrd. US-Dollar im Jahr 2018 fast verdoppeln. Zu diesen Diensten gehören Cloud Business Process Services (BPaaS), Cloud Application Infrastructure Services (Platform as a Service, PaaS), Cloud Application Services (Software as a Service, SaaS), Cloud System Infrastructure Services (Infrastructure as a Service, IaaS) und andere Cloud-Management- und Sicherheitsdienste. BPaaS sind automatisierte Geschäftsprozesse, die über einen Cloud-Service bereitgestellt werden. PaaS bieten eine Cloud-basierte Umgebung zum Entwickeln, Testen, Bereitstellen und Verwalten von Softwareanwendungen, wie z. B. MS Azure oder IBM Cloud. SaaS sind Apps, die in der Cloud bereitgestellt werden, wie z. B. Microsoft 365. IaaS bietet die Nutzung und Verwaltung von IT-Infrastruktur über das Internet auf Pay-per-Use-Basis, wobei Amazons AWS das prominenteste Beispiel ist. Die fünf grössten Public-Cloud-Unternehmen erwirtschaften angeblich über drei Viertel der gesamten Umsätze mit Public-Cloud-Infrastruktur. Wenn aber Cloud-Dienste in puncto Kosten, Flexibilität, Sicherheit etc. besser abschneiden als der firmeneigene IT-Betrieb, wo ist dann der Haken? Nach der Erkenntnis der Aufsichtsbehörden liegt die Sorge eher in der übermässigen Abhängigkeit von den Cloud-Service-Providern als in der Nutzung solcher Dienste im Allgemeinen. Diese übermässige Abhängigkeit besteht, obwohl es nicht an aufsichtsrechtlichen Vorgaben mangelt, wie die Verantwortlichkeiten für das Risikomanagement zwischen Anbietern und Nutzern von Cloud-Diensten aufzuteilen oder zu verteilen sind. Für Einrichtungen wie geregelte Märkte oder multilaterale Handelssysteme gibt es zum Beispiel unter anderem die CPMI-IOSCO Principles for Financial Market Infrastructures (PFMI) – die Standards für solche Einrichtungen auflisten, die einige Vorgänge an eine andere Marktinfrastruktur oder einen Drittdienst auslagern.
Outsourcing: Wem gehören die Daten?
Da die Technik schnell voranschreitet und immer mehr Prozesse an externe Partner vergeben werden, besteht für Outsourcing-Unternehmen nicht nur die Gefahr, dass sie in weiten Bereichen der IT-Infrastruktur an Know-how verlieren, sondern sie neigen auch zu der Annahme, dass das, was ausgelagert wird, letztlich in die alleinige Hoheit des Dienstleisters fällt. Ungeachtet dieses rechtlichen Irrtums kommt es auch bei grossen Anbietern zu Störungen, wenn auch selten. Die Behörden haben nun auf diese Risiken hingewiesen und unterstreichen deren zunehmende Relevanz bei einer steigenden Zahl von Nutzern, die diese Dienste von einem oder nur wenigen Anbietern in Anspruch nehmen. Die ESMA hat in ihrem TRV-Bericht eine Reihe von Ausfällen im Jahr 2020 angeführt - teilweise mit unangenehmen Folgen für den Endanleger oder das Funktionieren eines ganzen Marktes. Es muss jedoch die Frage gestellt werden, ob diese Ausfälle tatsächlich auf das Outsourcing zurückzuführen waren. Ein Bericht des Financial Stability Board räumt ein, dass Störungen bei Cloud Service Providern, wenn sie denn auftreten, meist nicht sehr lange dauern (häufig nur wenige Minuten) und dass Redundanz in diesem Zusammenhang selten ein Thema ist. Doch selbst wenn sich Ausfälle nicht völlig ausschliessen lassen, liegt die Verantwortung für den reibungslosen Betrieb einer Marktinfrastruktur letztlich beim Betreiber dieses Marktes – und je veralteter die eingesetzte Technologie ist, desto schwieriger wird es sein, die Systemverfügbarkeit sicherzustellen. Kürzlich haben einige Marktteilnehmer die Idee geäussert, auf Ausfälle zu reagieren, indem sie einen gegenseitigen Back-up-Betrieb zwischen den Handelsplätzen einrichten. Ob solche Pläne jemals zustande kommen werden und, was noch wichtiger ist, ob sie Ausfälle verhindern, bleibt abzuwarten. Oder, wie Spectrum Markets CEO Nicky Maan im Mai gegenüber der Financial Times sagte: "Es gibt keine schnelle Lösung, um Kunden und Regulierungsbehörden zu garantieren, dass es beim nächsten Mal wieder klappt. Technische Änderungen haben lange Vorlaufzeiten. Und wenn sie einmal implementiert sind, dauert es seine Zeit, bis das Vertrauen wiederhergestellt ist."