Die Bankenaufsicht fühlt europaweit der IT großer Kreditinstitute auf den Zahn. Neben der IT-Strategie stehen dabei unter anderem Cyber-Risiken im Mittelpunkt. Im Landesbankensektor ist die Mängelliste lang.Von Bernd Neubacher, FrankfurtMit einer Welle an Sonderprüfungen nach § 44 KWG fühlt die europäische Bankenaufsicht derzeit in ganz Euroland der IT großer Banken auf den Zahn, wie die Börsen-Zeitung erfahren hat. In Deutschland bekamen demnach bereits die BayernLB, LBBW, die Nord/LB-Tochter Bremer Landesbank, die DWP Bank, die DekaBank sowie die NRW.Bank Besuch von Aufsehern der Europäischen Zentralbank (EZB), der Deutschen Bundesbank sowie der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Beobachter gehen davon aus, dass die Aufseher bald auch die übrigen deutschen der insgesamt 21 von der EZB direkt beaufsichtigten Institute aufsuchen werden und die Welle der Sonderprüfungen nur mangels personeller Kapazitäten langsam rollt. Den Prüfern geht es nicht nur um die Erfüllung regulatorischer Vorgaben, sondern auch ums IT-Risikomanagement sowie um den Schutz der Institute vor Cyber-Angriffen. Wenig schmeichelhaftDie Ergebnisse fielen bislang zuweilen wenig schmeichelhaft aus. Der BayernLB, der Nord/LB-Tochter Bremer Landesbank sowie der LBBW etwa wurden dem Vernehmen nach bereits vor Wochen umfangreiche Mängellisten präsentiert. BayernLB und LBBW äußern sich dazu auf Anfrage ebenso wenig wie die EZB. Die Nord/LB teilt mit, sie sei noch nicht Gegenstand einer IT-Prüfung gewesen.Bei der DekaBank trafen die Aufseher, wie im Markt zu erfahren ist, in einem 90-seitigen Prüfbericht insgesamt 29 Feststellungen, unter anderem zur Informationssicherheit. In der Bank wertet man dies als gutes Ergebnis, da die Beanstandungen eher Details als grundsätzliche Fragen beträfen. Immerhin hatte das Institut schon im vergangenen Jahr mit Hilfe eines Wirtschaftsprüfers Schwachstellen ihrer IT nachgespürt. Für den heutigen Dienstag ist ein abschließendes Treffen zwischen den Aufsehern und Vertretern der Bank anberaumt. Mit einem offiziellen Bescheid rechnet sie im Januar. Danach bleibt ihr bis Ende 2017 Zeit, die Monita abzustellen. Auf Anfrage äußert sich die Bank nicht zur Prüfung. Überkomplexe GebildeMit ihren Sonderprüfungen besetzen die Aufseher ein Gebiet, auf dem Banken kaum werden brillieren können: IT galt im Bankensektor lange als reiner Kostenfaktor. Nach der Eskalation der Finanzkrise fehlten dann die Mittel für Investitionen, weil die Institute Kapital aufbauen mussten, während die Erträge dahinschmolzen. Nicht selten sind auf diese Weise im Laufe der Jahre überkomplexe IT-Gebilde entstanden, die kaum noch beherrschbar scheinen. Die offen zutage tretenden Pannen jedenfalls häufen sich. So stellten Kunden der Deutschen Bank Anfang Juni fest, dass Abbuchungen und Einzahlungen auf ihren Kontoauszügen doppelt erschienen. Im Monat darauf erhielten einige Tausend Kunden der Commerzbank-Tochter Comdirect nach einem System-Update Zugriff auf die Kontoübersicht anderer Bankkunden. Im September kämpfte wieder die Deutsche Bank mit ihrer IT – sie zeigte Girokontoumsätze verzögert an.Mit ihrer IT sind die Banken auch anfällig für kriminelle Angriffe: Anfang November erstattete die Tesco Bank, die Bank des größten britischen Einzelhändlers, rund 9 000 Online-Banking-Kunden 2,5 Mill. Pfund, die Cyberkriminelle gestohlen hatten. Die zunehmenden Bemühungen von Betrügern, Zahlungen von Unternehmen umzuleiten, hatte schon im September Stefan Bender, Leiter Firmenkunden Deutschland bei der Deutschen Bank, mit den Worten kommentiert: “Das hat einen gewissen Grad an Professionalität bekommen, der wirklich beeindruckend ist.” Spätestens mit der Attacke auf die Deutsche Telekom ist das Problem ins Bewusstsein der breiten Öffentlichkeit gerückt. Was wunder, dass die Aufsicht auf den Plan tritt.Die Aufseher, die sich inzwischen weltweit austauschen (siehe nebenstehenden Text), sorgen sich dabei nicht nur um Cyber-Kriminalität, sondern mindestens ebenso um die Stabilität der Systeme sowie um die Fähigkeit der Banken, ihre Risiken im Blick zu behalten. Wochenlange InspektionenBei den wochenlangen Vor-Ort-Prüfungen, zu denen nach Informationen der Börsen-Zeitung in der Regel jeweils ein Vertreter von EZB, Deutscher Bundesbank und Bundesanstalt für Finanzdienstleistungsanstalt (BaFin) auftaucht, geht es ans Eingemachte, wie aus informierten Kreisen zu hören ist. Vier Schwerpunkte gibt es demnach: So schauen die Aufseher auch vor dem Hintergrund der zunehmenden Cyber-Attacken und des Betrugs bei der Notenbank in Bangladesch über das Zahlungsverkehrssystem Swift vor allem auf das Management der IT-Berechtigungen in Banken.Dabei sei auch Thema, wie konsequent Banken überprüften, ob Berechtigungen im Einzelfall noch erforderlich bzw. zu erneuern seien, und wie dies dokumentiert sei, heißt es. Dies betreffe nicht nur Menschen, sondern auch “technische Nutzer”, also Maschinen. Generell habe sich der Fokus der Aufseher in jüngster Zeit ausgeweitet, wird berichtet. Habe man in der Vergangenheit allein über IT-Risiken gesprochen, so gehe es nun vermehrt auch um Informationssicherheit allgemein. Damit stehe neben der Datenverarbeitung etwa auch der Umgang mit physischen Dokumenten, etwa auf Reisen, und die Gefahr, dass Daten dort ausgespäht würden, im Blickpunkt. Outsourcing unter der LupeZum Zweiten sehen sich die Prüfer den Angaben zufolge genau an, wie die Banken ihre Auslagerungen von IT-Tätigkeiten und die jeweiligen Dienstleister steuern und welche Rahmenbedingungen sie den Insourcern setzen. Wie Banken mit ihrer IT messen können, ob Ziele erreicht werden und wie die IT eingebettet ist ins Management auch operativer Risiken, steht demnach zum Dritten auf dem Programm.Schon vor Jahresbeginn hatte die EZB die Risikoüberwachung und die Datenqualität der Institute als einen der Schwerpunkte ihrer Tätigkeit für das Jahr 2016 benannt. Und zum Vierten geht es nicht zuletzt um die interne Datenverarbeitung sowie um die Entwicklung von IT-Anwendungen in den Banken. Neben IT-Strategie und -Sicherheit sowie dem IT-Risikomanagement ist in einzelnen Banken darüber hinaus auch Business-Continuity-Management ein Thema, also die Entwicklung von Strategien für den Schutz von Prozessen, deren Unterbrechung ernsthafte Schäden für eine Bank und deren Kunden bedeuten würde.