Die Pannen in der IT-Infrastruktur von Kreditinstituten häufen sich. Dafür verantwortlich sind oft veraltete Systeme. Wie es um den Zustand der IT in Banken bestellt ist und wie die Institute im Ernstfall kommunizieren sollten.
Kreditinstitute verwalten viele sensible Daten von Kunden in komplexen Systemen und sind daher oft Ziele von Hackern.
James Thew / stock.adobe.com
Ob IT-Pannen bei der DKB, der Deutschen Wertpapierbank oder der Helaba, derzeit knirscht es in vielen IT-Systemen von Kreditinstituten. Kunden konnten zum Teil nicht mehr auf ihre Konten oder Depots zugreifen. Jüngst hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beim genossenschaftlichen IT-Dienstleister eine Sonderprüfung anberaumt. "Die Fiducia GAD arbeitet gezielt und in enger Abstimmung mit den Gremien in der genossenschaftlichen Finanzgruppe an der Abarbeitung der Feststellungen aus der §44er-Prüfung", hieß es dazu auf Anfrage von springerprofessional.de. Hierzu gebe es einen mit der BaFin im Detail abgestimmten Plan. "Wir liegen aktuell voll im Plan", so die Sprecherin weiter.
Allein im Jahr 2018 meldeten deutsche Geldhäuser bei der BaFin insgesamt 301 IT-Störungen, erklärt Dieter Ketterle in seinem Artikel "Was Bank-Technologen den Rücken freihält" (Ausgabe 1|2020). Die Abhängigkeit der Banken und Sparkassen von der IT unterstreicht dem Bankmagazin-Autor zufolge, warum gerade im Finanzsektor die Bedeutung eines reibungslosen Betriebs mit hoher Verfügbarkeit kaum groß genug eingeschätzt werden kann.
Yannick Bartens, Senior Manager Future of Technology bei Capgemini Invent, bemängelt gegenüber springerprofessional.de dennoch, dass es "immer noch eine geringe Investitionsbereitschaft in diesem als Kostenfaktor angesehenen Bereich gibt". Der branchenweit hohe Kostendruck führe in Deutschland bei Governance, Risk & Compliance "zu einer Angst-induzierten Follow-not-lead-Mentalität", so Bartens. "Hier muss ein Umdenken im Top-Management bei den Vorständen beginnen", sagt auch Boris Strucken, Leiter Innovationen im Bereich Banking für Europa Fidelity Information Services (FIS), gegenüber springerprofessional.de.
Ähnliche IT-Herausforderungen bei allen Instituten
"Die IT-Probleme und Herausforderungen zu störungsfreiem IT-Betrieb und IT-Sicherheit sind bei Genossen, Sparkassen und Privatbanken ähnlich gelagert, ebenso deren Maßnahmen", so Strucken weiter. Zu unterscheiden sind aus seiner Sicht Compliance- und Audit-relevante Themen, die Risiken im IT-Betrieb nach innen verringern und der Bereich Cyber-Security, bei dem die Institute von außen etwa über Phishing attackiert werden. Insgesamt steigen die Anforderungen der BaFin an interne Sicherheits- und Risiko-Management-Vorgaben aus seiner Sicht "deutlich und auch zu Recht".
"Im Zuge des steigenden Innovations- und Digitalisierungsdrucks sollten die Institute auch verstärkt darauf achten, Vorgaben der BaFin im Bereich von Auslagerungen beziehungsweise ihrer IT-Supply-Chain priorisiert, ohne Verzug und vollständig zu erfüllen", so Bartens. Dies müsse als Grundvoraussetzung betrachtet werden, bevor verstärkt Beziehungen zu Fintechs und Start-ups eingegangen werden, die häufig einen geringeren Reifegrad bei ihrer IT-Sicherheit aufweisen und dadurch zum Risikofaktor in der Wertschöpfungskette werden könnten. Aus Bartens Sicht bildet technisch gesehen weiterhin der Bereich "Unbefugte Zugriffe" die größte Herausforderung, der sich über IT- und Cyber-Risiken und das Berechtigungsmanagement, Netzwerksicherheit und -segmentierung sowie Auslagerungen erstreckt.
Maßnahmen gegen IT-Angriffe teilen
Strucken bemängelt außerdem, dass Angriffe auf die IT meist verschwiegen werden und wirksame Gegenmaßnahmen als sogenannte Lessons Learned nicht in der Experten-Community geteilt werden. "Hacker sind phantastisch untereinander organisiert und teilen die neuesten technischen Raffinessen und Angriffserfolge, die Angegriffenen jedoch nicht", erklärt Strucken. Wenn ein Institut offen gestehe, dass es IT-Probleme habe oder gehackt wurde, sei dies schlecht für die öffentliche Reputation und die Wahrscheinlichkeit einer IT-Prüfung der Behörden steige.
"Auf der anderen Seite werden IT-Pannen und zuletzt auch IT-Angriffe schnell öffentlich", so Strucken weiter. Portale wie allestoerungen.de erhöhen laut des Experten die Transparenz. Oft sei die Kundschaft tagelang ausgesperrt, was natürlich sofort auffalle und für Unruhe sorge. "Wenn ein IT-Ausfall und Hacker-Angriff eine gewisse Größe und auch Bedeutung angenommen haben, ist die Vogel-Strauß-Politik nicht der beste Ansatz. Ebenso wenig taugt das totale Gegenteil als mediales Feuerwerk bis hin zu Youtube-Videos des Vorstandsvorsitzenden", erklärt der Experte. Manchmal seien es Kleinigkeiten, die die Kundenbeziehung und das Vertrauen des Regulators erhalten, wie eine kleine unscheinbare präzise Meldung auf der Homepage oder ein proaktiver Hinweis.