Von Bernd Neubacher, FrankfurtEuropas Aufseher verstärken zusehends den Druck auf große Banken, die Sicherheit und Stabilität der IT zu erhöhen. Anfangs hatte es die Europäische Zentralbank (EZB) noch bei allgemeinen Ermahnungen belassen, gerade an der IT nicht zu sparen. Dann flatterte den Großbanken Eurolands ein Fragebogen zur Informationstechnik ins Haus. Seit Auswertung der Antworten nun rücken bei den Instituten auch hierzulande reihenweise Aufsichtsteams aus Vertretern der EZB, der Deutschen Bundesbank sowie der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) zu Prüfungen vor Ort an.Klar ist: Ein Haar in der Suppe findet sich immer. Manchmal sind es auch ganze Büschel. Der BayernLB, der Bremer Landesbank und der LBBW haben die Prüfer bereits längere Mängellisten ins Stammbuch geschrieben. Die DekaBank wähnt sich da mit 29 Feststellungen unter anderem zur Informationssicherheit noch recht glimpflich davongekommen.Mangelnden Eifer mag den Aufsehern ohnehin niemand nachsagen. Mancherorts verlangen sie etwa eine unabhängige Überprüfung aller Computer-Codes. Deren Zahl geht in großen Banken rasch in die Milliarden. Tatsächlich ist das Risiko von Fehlern, Sicherheitslücken und Hintertüren in Codes kaum von der Hand zu weisen, sorgten vor nicht allzu langer Zeit doch Berichte über in Cisco-Routern verbaute Hintertüren des US-Geheimdienstes NSA für Furore. Im Sommer 2016 wiederum landeten Deutsche Bank und Commerzbank nach Pannen im Online-Banking in den Schlagzeilen – jeden Aufseher mit etwas Selbstachtung im Leib muss es da in den Fingern jucken, zumal die IT vieler Banken als ebenso veraltet wie anfällig gilt. Darauf angesprochen, dass Teile der IT in der von ihm geleiteten Bank aus den achtziger Jahren stammen, versetzt etwa der Chef einer größeren deutschen Bank, dies seien jene Bereiche, die besonders stabil liefen.Es dürfte freilich nicht die Infrastruktur sein, die eine Bank braucht, um im 21. Jahrhundert zu bestehen. Wohl nicht ohne Grund schauen sich die Aufseher neben der Entwicklung von IT-Anwendungen, den Auslagerungen von IT und deren Einbettung ins Risikomanagement denn auch die Steuerung der Nutzer-Identitäten und des Zugangs zu IT-Ressourcen durch die Banken an. Beides sei wichtiger denn je, da Banken sich Cloud-Diensten und mobilen Apps zuwendeten, um die Ertragskraft zu steigern und Kosten zu senken. Dies könne “sehr disruptive” Cyber-Attacken nach sich ziehen, heißt es in einer Analyse, in der sich die EZB gleichwohl keinerlei Illusionen hinzugeben scheint: Die IT-Risiken würden noch auf Jahre hinaus auf hohem Niveau verharren.