In Frankfurt brennt die Hütte. Die Migration der Postbank-IT auf die Systeme der Deutschen Bank, im Juli offiziell für unter Dach und Fach erklärt, bringt Postbank-Kunden und Verbraucherschützer in Rage. Derart viele Beschwerden haben sich seit Jahresbeginn angehäuft, dass die Finanzaufsicht BaFin sich genötigt sah, am Montagabend eine ellenlange Veröffentlichung ob der erheblichen Beeinträchtigungen herauszugeben.

Dass die Aufseher in Finanzinstituten IT-Mängel ausmachen, den Betroffenen abzuarbeitende Pflichten auferlegen und ihnen höhere Kapitalanforderungen abverlangen, ist gang und gäbe. Nicht aber eine solche aufsichtliche Klatsche. Sie veranschaulicht, wie sehr hausgemachte IT-Probleme Banken zu schaffen machen können. Die sich häufenden Meldungen über Cyberattacken verstellen mitunter den Blick darauf, dass Ungemach nicht nur von außen droht.

Von haufenweisen Beschwerden, deren Zahl in die Tausende geht, wissen BaFin, Verbraucherzentralen und Ombudsleute zu berichten. Die Deutsche Bank gelobt, die Defizite zu beseitigen. Die Aufseher geloben, den Störungen im Online- und Mobile Banking ebenso nachzugehen wie der unzureichenden telefonischen Erreichbarkeit, langwierigen Bearbeitungen etwa von Pfändungsangelegenheiten, Kontoauflösungen und Rückzahlungen von Spareinlagen. Und sie drohen mit möglichen Maßnahmen, ohne ins Detail zu gehen. Das könnten etwa zusätzliche Eigenmittel sein, aber auch ein Sonderbeauftragter, der im Hause die Abarbeitung der Mängel überwacht. Auch wenn es dazu nicht kommt, ist der Schaden immens. Die Deutsche Bank, die sich in den vergangenen Jahren von verschiedensten Altlasten zu befreien suchte, hat sich ein neues Reputationsproblem eingehandelt.

Die Ironie der Geschichte ist, dass die BaFin den Rüffel verschickt hat, als sie selbst Opfer einer Cyberattacke war. Just bevor sie der Deutschen Bank vor aller Augen die Standpauke verpasste, war sie selbst einer sogenannten Distributed-Denial-of-Service-Attacke (DDoS) anheimgefallen, d.h., die Internetseite war nicht erreichbar, weil der Server mit massenhaften Anfragen in die Knie gezwungen wurde.

Bereits im Mai, am Tag der Bilanzpressekonferenz, hatte ein Stromausfall IT-Systeme der BaFin streckenweise lahmgelegt. Grund war ein Stromausfall nach einer missglückten Routineprüfung der Notstromversorgung. Und vor vier Jahren hatte die EZB ihre der Harmonisierung des Meldewesens dienende Internetseite BIRD nach einem Hackerangriff vom Netz nehmen müssen. Aufseher müssen also mit Fingerzeigen auf ihre Schutzbefohlenen vorsichtig sein.