[1]Banken melden fast 500 IT-Pannen in zwei Jahren – Verantwortlich dafür ist auch veraltete Technik, sagt die Aufsicht Bafin. Weshalb auch immer: Banken müssen – eigentlich – die Banken- und Finanzaufsicht Bafin über schwerwiegende Betriebs- und Sicherheitsvorfälle informieren: Kein Zugang zum Onlinebanking, Einblicke in fremde Konten, Buchungen, die sich in Luft auflösen: Bankgeschäfte liefen für viele Kunden in den vergangenen Monaten alles andere als glatt. Gerade erst berichtete der Informationsdienst Finanz-Szene über Probleme der Postbank bei der Umstellung auf die Zahlungsdienstrichtlinie PSD 2.
Die wachsende Zahl von Störfällen fällt auch der deutschen Finanzaufsicht Bafin auf. „Uns sind in den letzten zwei Jahren knapp 500 IT-Sicherheitsvorfälle gemeldet worden“, sagte Jens Obermöller, Leiter der Gruppe IT-Aufsicht, am Mittwoch in Bonn.
Nicht immer sind die Störfälle so spektakulär wie die Pannen, die zuletzt bei der Commerzbank oder der Direktbank DKB publik wurden. „Im Regelfall sind die Vorfälle, die uns gemeldet werden, von begrenzter Auswirkung“, sagte Obermöller.
Mit einer wachsenden Zahl von Hackerangriffen haben die Zahlen nichts zu tun. „Der Großteil ist auf wirklich hausinterne Schwächen der Banken zurückzuführen“, sagt der Bafin-Experte. „Aus unserer Sicht mangelt es doch einigen deutschen – aber auch europäischen – Banken im Bereich der Cyberhygiene an ganz grundlegenden Themen.“
Genau die machen es aus Sicht von Obermöller für die Banken schwerer, Wartungsarbeiten durchzuführen. Manchmal führen aber auch einfach neu eingeführte Prozesse in der Bank zu Problemen. Das deckt sich mit den Erkenntnissen, die die Bafin aus ihren örtlichen Prüfungen bei Finanzinstituten gewinnt.
Für Felix Hufeld, den Präsidenten der Bafin, sind die Störfälle kein Zeichen dafür, dass das IT-Management in Banken in den vergangenen fünf oder zehn Jahren systematisch schlechter geworden wäre.
„Aber durch die immer stärker werdende Abhängigkeit von anderen IT-Systemen erreicht ein Fehler, den sie vor zehn Jahren auch schon gemacht haben, heute eine völlig andere Dimension als früher“, meint Hufeld. Das Finanzsystem sei viel stärker vernetzt, es gebe mehr Nutzer und mehr Anwendungen.
Komplexe Wartung
Obwohl unvorhergesehene Wechselwirkungen zwischen alten und neuen Systemen häufig einen Beitrag zu den Störfällen leisten, spricht sich Obermöller gegen ein radikales Ausmisten von Altsystemen aus. „Der Weg ist nicht, dass man alle IT-Lösungen komplett auf den neuesten Stand bringt“, sagt er.
Die Vernetzung sei mittlerweile so groß, dass man sich bei jedem Schritt, bei jeder Veränderung überlegen müsse, welche Folgen das für die IT-Systeme anderer habe. Das ginge hin bis zu Folgen für Endnutzer. „Es wird eine Zeit brauchen, um hier den Übergang auf die modernen Systeme zu schaffen“, argumentiert Obermöller.
Zu Sanktionen gegen Banken greife die Bafin nur, wenn Fehler nicht abgestellt und wiederholt auftreten würden.
„Sanktionierung ist nicht das bevorzugte Mittel der Wahl“, erläuterte Hufeld. Bei den Vor-Ort-Prüfungen der Bankenaufseher ist IT-Sicherheit allerdings mittlerweile immer wieder Schwerpunkt – bei der Bafin ebenso wie bei den Bankenaufsehern der Europäischen Zentralbank (EZB).