Wenn die Aufseher die Ertragslage und die Kostenstrukturen der hiesigen Bankenszene analysieren, verweisen sie oft auf eine Cost Income Ratio, die weit über den Vergleichswerten ausländischer Institute liegt. Zurückgeführt wird dieser Befund nicht zuletzt auf Defizite in der IT-Ausstattung, deren Standard offensichtlich in vielen Instituten weder mit Blick auf die Prozessabläufe im klassischen Bankgeschäft mithalten kann noch den Anforderungen gewachsen ist, die im Zeitalter der Digitalisierung auf die Kreditwirtschaft zukommen. Eine zweite nicht minder wichtige Schiene der wachsenden Aufmerksamkeit der Aufseher bilden die Gefahren der Cyber-Kriminalität, auf die die deutsche Finanzaufsicht schon im vergangenen Jahr ausdrücklich hingewiesen hat (siehe ZfgK 18-2015).
Die vielzitierten Beispiele der Zentralbank von Bangladesch, der finnischen Bank OP Pohjola financial services group und der arabischen Institute Bank of Muscat und Rakbank wurden von der interessierten Öffentlichkeit zwar zur Kenntnis genommen, schienen aber weit weg. Dabei war der Zentralbank von Bangladesch durch die Generierung falscher Überweisungsaufträge auf Konten von Betrügern ein Schaden von 81 Millionen US-Dollar entstanden. In Finnland, mit seinen rund 5,4 Millionen Einwohnern war ab Heilig Abend 2014 für rund 4 Millionen Kunden das Online-Banking über sechs Tage blockiert und die Geldausgabeautomaten ausgefallen. Die Schäden bei einer der arabischen Banken durch Geldabhebungen in 24 Ländern werden auf 40 Millionen US-Dollar veranschlagt. Auf einen Fall noch größeren Ausmaßes mit äußerst komplexem und zielgerichteten Vorgehen hat BaFin-Präsident Felix Hufeld hingewiesen. Die sogenannte Carbanak-Bande war über einen Zeitraum von zwei Jahren in bis zu 100 Banken in rund 30 Ländern in die Sicherheitssysteme eingedrungen und nutzte diverse Zugangsberechtigungen von Bankmitarbeitern für ihre kriminellen Aktivitäten, beispielsweise Swift-Überweisungen und die Manipulation von Geldautomaten. Die Schadenssumme wird auf bis zu einer Milliarde US-Dollar beziffert.
Richtig deutlich, weil unmittelbar spürbar, dürften die Dimensionen solcher Bedrohungen einer breiten Öffentlichkeit in Deutschland erst Ende November geworden sein, als die Störungen der Router bei rund 900000 Kunden der Telekom vom Bundesamt für Informationssicherheit als Teil eines weltweiten Cyber-Angriffs eingestuft wurden. Dazu passen nahtlos die dieser Tage veröffentlichten Erkenntnisse des Sicherheitsdienstleisters Kaspersky, der 2016 zum Jahr der Ransomware beziehungsweise Cybererpressung ausgerufen hat und weltweit mittlerweile alle 40 Sekunden einen solchen Angriff gegen Unternehmen oder Heimanwender registriert. Noch im Januar dieses Jahres war aus gleicher Quelle die Angriffsfrequenz auf alle zwei Minuten beziffert worden.
Im gesamten Unternehmenssektor und damit auch in der Kreditwirtschaft sollte die Gefahrenlage der Cyber-Kriminalität eigentlich längst angekommen sein. Wenn der BaFin-Präsident ebenso wie Andreas Dombret, das für die Bankenaufsicht zuständige Vorstandsmitglied der Bundesbank, schon vor gut anderthalb Jahren auf die Gefahr der Cyber-Risiken hingewiesen und die notwendigen Sicherheitsvorkehrungen in den IT-Systemen der Kreditwirtschaft angemahnt haben, sollten die Banken sich nicht wundern, wenn sich die deutsche und europäische Bankenaufsicht allmählich anschicken, im Rahmen ihrer regulatorischen Möglichkeiten die IT-Technik der Kreditwirtschaft konkret in den Blick zu nehmen. Die Bundesbank betont dazu in ihrem Finanzstabilitätsbericht 2016 explizit ihre Überwachungsmöglichkeiten der Cyber-Risiken im Rahmen der mikroprudenziellen Bankenaufsicht und verweist zudem auf die Prinzipien für Finanzmarktinfrastrukturen der Bank für Internationalen Zahlungsausgleich. Bereits im Oktober 2015 hatte die EZB in einer Informationsveranstaltung der BaFin über den Stand der IT-Prüfungen in systemrelevanten Instituten berichtet. Rechtsgrundlagen bilden demnach die SSM Regulierung, alle relevanten EU-Regulierungen wie CRR, CRD IV und daraus abgeleitetes nationales Recht, von der EU-Kommission abgesegnete EBA-Standards sowie eigene EZB-Standards zum Zwecke der Harmonisierung. Als spezielle Prüfungsfelder der Aufsicht werden Ablauforganisation, Dokumentation, Strategien und Systemarchitektur, Aufbauorganisation und Auslagerungen, Informationsrisikomanagement, IT-Sicherheitsmanagement, IT-Betrieb, Softwareeinkauf, Anwendungsentwicklung und Projektmanagement, Datenqualitätsmanagement, IT-Notfallmanagement, IT-Berichtswesen und IT-Revision genannt.
Wer die Mechanismen der Bankenaufsicht nur einigermaßen kennt, dem dürfte schon damals klar geworden sein, das dies im Wesentlichen Aspekte sein könnten, auf die künftig bei allen Banken Wert gelegt wird, ob sie nun schon einer ausdrücklichen IT-Prüfung unterzogen werden oder nicht. Dass sich einige deutsche Kreditinstitute, wie kürzlich bekannt wurde, derzeit in aufsichtlichen Prüfungsprozessen ihrer IT befinden und in den einschlägigen Prüfberichten sowie in zugehörigen Gesprächsrunden zur Behebung der Mängel aufgefordert werden, mag man in einer Zeit des ohnehin harten Wettbewerbs durch die Digitalisierung als regulatorische Sonderbelastung einstufen. Nüchtern betrachtet kann IT-Regulierung aber auch eine Chance darstellen und die Bank-IT im Sinne eines Innovationstreibers fit für die Anforderungen der Zukunft machen. Denn viele Kreditinstitute aus allen Bankengruppen haben längst die Defizite ihrer IT-Struktur erkannt und arbeiten aktiv an einer Verbesserung.
So hat die Deutsche Bank schon kurz nach dem Amtsantritt von John Cryan eine Art Offenbarungseid zur Qualität ihrer IT geleistet und eine drastische Verschlankung und damit Vereinfachung der Prozesse und Systeme angekündigt. Auch der Commerzbank war eine erste Runde der Technisierung in den vergangenen Jahren nicht genug, sondern in einem derzeit laufenden weiteren Schritt einer Effizienzoffensive hin zu einer Digitalisierung von mindestens 80 Prozent aller Prozesse will sie zu einem digitalen Technologieunternehmen werden. Wie sehr sich die beiden Verbundgruppen effizienzsteigernde Strukturen und Lösungen der IT auf die Fahnen geschrieben haben, lässt sich an der Bündelung der Verbund-IT in jeweils einem Rechenzentrum und vielen zentralen Dienstleistern erkennen. Gerade im Sparkassen- und Landesbankensektor haben sich in den vergangenen Jahren alle Häuser von hauseigenen IT-Strukturen abgewandt. Viele drängen auf einen verstärkten Einsatz von Standardsoftware.
Ob das alles für die hiesigen Institute reichen wird, um auch im internationalen Vergleich ihre Wettbewerbsfähigkeit sicherzustellen, wird allerdings in so mancher globalen Marktbetrachtung bezweifelt. Denn der Aufbau einer neuen IT-Infrastruktur muss bei laufenden Betrieb erfolgen. Und das beansprucht allen Erfahrungen nach oft sehr viel mehr Zeit als es dem Management lieb sein kann. Zudem verlangt er in einer Zeit sinkender Margen, einen erheblichen Einsatz von Personal und Finanzmitteln für ständige Updates der Regulierungsvorgaben und den Anforderungen der ebenfalls mit großem technischen Aufwand zu begleitenden Digitalisierung. Entsprechend heftig muss oft von den IT-Verantwortlichen um die erforderlichen Investitionsbudgets gerungen werden. In den dezentral ausgerichteten Verbünden mit ihren zeitaufwendigen Entscheidungsprozessen gilt es zudem eine kontinuierliche Überzeugungsarbeit zu leisten, weil immer mehr traditionelle Funktionen der unabhängigen Ortsbanken zulasten zentraler Aktivitäten aufgegeben werden müssen.
Als kleinen Trost könnte der sanfte Druck der Regulierer auf die Güte der IT allerdings hierzulande einen positiven Effekt auf die Wirtschaftsentwicklung auslösen. Wenn immer mehr Banken und ebenso Unternehmen nicht nur massiv in ihre IT-Infrastrukturen investieren wollen, sondern es von aufsichtlichen Vorgaben getrieben tatsächlich auch müssen, dürfte das auch endlich den ersehnten Schub für die Ausrüstungsinvestitionen geben. Der kommt dann auch wieder dem Bankgeschäft zugute.
