Banken-IT: Zweifel an der Fitness

Philipp Hafner, Quelle: Verlag Helmut Richardi

"US-Banken holen altgediente IT-Experten aus dem Ruhestand zurück" - diese verblüffende Meldung machte Mitte April die Runde. Was zunächst wie eine amüsante Beiläufigkeit anmutet, offenbart bei genauerem Hinsehen ein ernst zu nehmendes Problem, vor dem im Übrigen auch so manches deutsche oder europäische Institut nicht gefeit ist: Banken fällt es zunehmend schwer, die personellen Ressourcen zur Aufrechterhaltung ihrer in die Jahre gekommenen IT-Infrastrukturen zu gewährleisten. Im besagten Fall handelt es sich um die Großrechner-Programmiersprache Cobol, die als echter "Dinosaurier" gilt und in Zeiten von Java und C# offensichtlich nicht mehr zum Standardrüstzeug des IT-Nachwuchses gehört. Ende der 1950er-Jahre vom US-Verteidigungsministerium entwickelt, ist Cobol bis heute in den Systemlandschaften vieler Finanzinstitute nicht wegzudenken. Grundsätzlich ist daran nichts auszusetzen, Cobol-Programme haben sich über Jahrzehnte bewährt und gelten als zuverlässig und stabil. "Never change a running system" - so lautet nicht umsonst eine alte Redensart in der Informatik. Doch spätestens dann, wenn operationelle Risiken wie die erwähnten Personalengpässe drohen, erscheint die Zeit reif für ein Umdenken.

Dass ein starres Festhalten an alten Systemstrukturen längst nicht mehr den Anforderungen der Zeit entspricht, zeigt sich auch mit Blick auf die deutsche Bankenlandschaft: Die Umstellung von Großrechnern auf dezentrale Systeme wird hierzulande schon seit fast einer Generation praktiziert. Gleichwohl verdeutlicht das Cobol-Beispiel aus den USA einmal mehr, wie lange sich solche Prozesse hinziehen können. Die Etablierung einer neuen IT-Infrastruktur ist allen Erfahrungen nach ein langer und steiniger Weg, zumal er in der Praxis in nahezu allen Banken bei laufendem Betrieb beschritten werden muss. Hinzu kommen noch die Widrigkeiten bei der Bewältigung großer oder kleiner Fusionen, mit denen viele Häuser zusätzlich zu kämpfen haben.

Ein schönes Beispiel liefert die Deusche Bank. Dort genießt die IT spätestens seit dem Amtsantritt John Cryans wieder höchste Priorität. Kaum im Amt, beklagte der CEO öffentlich die "lausigen" IT-Systeme seines Unternehmens. Dass diese massive Kritik von innen kommt, verdeutlicht die Dringlichkeit einer Neuausrichtung. Gerade für Großbanken mit Privatkundengeschäft und Investment Banking ist eine Modernisierung der IT-Architektur allerdings höchst komplex: Hier existieren nicht selten mehrere, aus Individuallösungen zusammengesetzte Systeme, die noch dazu über Jahrzehnte organisch gewachsen sind. In der Deutschen Bank sollen von den 45 parallel laufenden Betriebssystemen (Stand Dezember 2015) bis zum Jahr 2020 ganze vier übrig bleiben. Dass solche Projekte einer wahren Herkulesaufgabe gleichen, weiß man im Übrigen auch bei der Commerzbank spätestens seit der Fusion mit der Dresdner Bank im Jahr 2009. Knapp zwei Jahre dauerte die damit verbundene Eingliederung der Dresdner-IT in die der Commerzbank.

Bei der Bündelung ihrer IT vergleichsweise weit fortgeschritten sind mittlerweile die lange Zeit ob ihrer Sammelsurien an IT-Systemen verspotteten Verbundorganisationen. Existierten in der Sparkassen-Welt im Jahr 1995 noch elf verschiedene Rechenzentren, so war es im Jahr 2008 mit der Gruppentochter Finanz Informatik nur noch eines. Deren einheitliches IT-System "OSPlus" wird bereits seit Juli 2011 von nahezu allen Sparkassen benutzt. Die nach Berlin größte Sparkasse in Hamburg zieht bis 2019 nach. Ein ganz ähnlicher Verlauf lässt sich für die Genossenschaftsbanken beobachten, allerdings zeitlich versetzt: Dort ist die Fusion der beiden letzten verbliebenen Rechenzentren im Jahr 2015 vollzogen worden, die daran anknüpfende Migration von rund 350 Volksbanken und Raiffeisenbanken auf die "Agree21"-Plattform der Fiducia & GAD IT begann vor rund einem Jahr. Bis zum Jahr 2019 soll dieses Mammutprojekt abgeschlossen sein. Zwar werden diese Zusammenführungen zu Recht als Fortschritt gefeiert, doch bei der praktischen Umsetzung werden immer wieder Kompromisse geschlossen. So ist es bei Großprojekten dieser Art keineswegs garantiert, dass am Ende das technisch rückständigere System abgelöst wird.

Grundsätzlich lässt sich aber konstatieren: Viele Kreditinstitute haben Defizite in ihrer IT-Architektur diagnostiziert und arbeiten aktiv daran, diese fit für die Zukunft zu machen. Einer aktuellen Studie von Bain & Company zufolge befürchten gleichwohl 63 Prozent der befragten CIOs europäischer Banken, dass die IT-Infrastruktur in ihrem Unternehmen nicht mit dem technischen Fortschritt wird Schritt halten können. Und die Herausforderungen sind in der Tat mannigfaltig. Dass so manches Kernbanksystem im Zeitalter der Digitalisierung zunehmend an seine Grenzen zu stoßen droht, lässt sich exemplarisch an den sich in immer kürzeren Zeitabständen wandelnden Kundenbedürfnissen ausmachen. Sei es das "Omnichannel"-Erlebnis oder die Beratung per Video - die (digitalen) Ansprüche gegenüber dem Bankpartner steigen rasant und erfordern ein Höchstmaß an Agilität. Auch die Verarbeitung und Analyse immer umfangreicherer Datenmengen (Stichwort Big Data) halten die Banken-IT gehörig auf Trab und stärken so ganz nebenbei die Position der IT-Verantwortlichen im Management. Um schnelle und flexible Reaktionen gewährleisten zu können, ist eine möglichst umfangreiche Digitalisierung der Prozesse erforderlich, wie sie beispielsweise die Commerzbank in die Wege geleitet hat.

Das Rüsten gegen die steigenden Gefahren der Cyberkriminalität sowie die ständigen Updates regulatorischer Vorgaben sind weitere gewichtige Argumente auf einer langen Liste, die für den Aufbau beziehungsweise Erhalt einer zeitgemäßen IT sprechen. Stichwort Regulatorik: Hier beschränkt sich der Aufwand für die Banken längst nicht mehr bloß auf das Einpflegen der aufsichtsrechtlichen Bestimmungen, sondern die Institute sehen sich auch einem ausgeprägten Interesse der Aufsicht an der Güte der IT-Systeme gegenüber. Stichwort Cyberrisiken: Diese sind in den vergangenen Jahren massiv gestiegen, entsprechend dringlich sind entsprechende Sicherheitsvorkehrungen in der IT. Das jüngste regulatorische Vorhaben in diesem Bereich stellen die "Bankaufsichtlichen Anforderungen an die IT" (BAIT) dar, mit denen die Deutsche Bundesbank und die BaFin Mitte dieses Jahres ihre Erwartungshaltung an das IT-Risikomanagement der Institute transparenter darstellen wollen.

Offiziell handelt es sich dabei nur um eine Konkretisierung der Mindestanforderungen an das Risikomanagement (MaRisk) im Hinblick auf die IT. Der Mitte März veröffentlichte Entwurf zu den BAIT, die sich im Übrigen explizit an die Geschäftsleitungen der Institute richten, hat es jedoch in sich: Acht Themenschwerpunkte umfasst die Vorschrift und spannt dabei den Bogen von der grundlegenden IT-Strategie über die IT-Governance bis hin zum laufenden Betrieb. Viel tiefgehender und umfangreicher könnten die Anforderungen kaum sein. Doch der Vorstoß kommt nicht von ungefähr: Die Aufseher machen keinen Hehl daraus, dass sie mit den Ergebnissen der IT-Prüfungen bei den Instituten bislang oftmals unzufrieden waren. BaFin-Präsident Felix Hufeld und Bundesbank-Vorstandsmitglied Andreas Dombret haben bereits im Rahmen des Bundesbank-Symposiums "Bankenaufsicht im Dialog" im Juli 2015 (siehe ZfgK 18-2015) ausführlich auf die beträchtlichen Risiken von Cyberangriffen für die Finanzindustrie hingewiesen und seither immer wieder ein verschärftes Problembewusstsein angemahnt. Laut Raimund Röseler, Exekutivdirektor der Bankenaufsicht bei der BaFin, kommt in den einschlägigen Prüfungen allerdings nach wie vor "kaum eine Bank besser weg als mit einer Vier".

Die Probleme mit der Banken-IT sind also bei Aufsicht und Instituten gleichermaßen erkannt, und Anstrengungen, sie zu beheben, laufen auf allen Ebenen. Wirklich zur Ruhe kommen wird die Branche aber vermutlich nie. Wie sich in den Beiträgen dieses Heftes mit Blick auf die Blockchain zeigt, schreitet die Technik unaufhaltsam voran und verlangt nach angemessenen Antworten. Es handelt sich um eine relativ junge Technologie, der großes, mancherorts gar bahnbrechendes Potenzial in diversen Bereichen der Finanzindustrie zugesprochen wird. Einer Untersuchung von IBM zufolge rechnen rund 65 Prozent der Banken mit konkreten Einsätzen der Blockchain innerhalb der nächsten drei Jahre.

Bei aller Euphorie um die zweifellos vielversprechenden Verheißungen dieser Technologie: Dass sich bei der massiven weltweiten Cyberattacke Mitte Mai (Wanna-Cry) die Lösegeldforderungen zur Datenfreigabe auf Bitcoin - einer auf Blockchain basierenden Kryptowährung - beliefen, trägt nicht unbedingt zur Vertrauensbildung bei. Und auch wenn die Technologie unter Fachleuten als ausgesprochen sicher gilt: Ein gesundes Maß an Skepsis bei ihrer Erforschung für den täglichen Einsatz in der Finanzindustrie erscheint angebracht, denn die Risiken und Nebenwirkungen des technischen Fortschritts können sich in einer immer komplexer, digitaler und vernetzter werdenden Welt schnell potenzieren.

Philipp Hafner , Leitender Redakteur, Immobilien & Finanzierung , Helmut Richardi Verlag
Noch keine Bewertungen vorhanden


X