Dass Teile ihrer EDV noch aus der Computer-Steinzeit stammen, hängen Banken nicht gerne an die große Glocke. Eine Häufung von Pannen ruft jetzt nicht nur Verbraucherschützer, sondern auch die Finanzaufsicht auf den Plan.

Die Bafin schaut den Banken stärker bei deren IT-Aktivitäten auf die Finger und verpflichtet sie zugleich, ihre teilweise völlig veraltete IT-Struktur schleunigst auszubauen und zu verbessern. Dazu hat sie nun die "Bankaufsichtliche Anforderungen an die IT" (BAIT) veröffentlicht. Sie sind ab sofort in Kraft und zentraler Baustein für die IT-Aufsicht über den Bankensektor in Deutschland.  

Die Behörde begründet das neue Rundschreiben damit, dass die Informationstechnik die Basisinfrastruktur für sämtliche fachlichen, aber auch alle nichtfachlichen Prozesse bei Banken seien. Hinzu komme, dass in der heutigen global aufgestellten Finanzwelt immer mehr Menschen digital bezahlen und ihre Vermögensanlagen online erledigen. Aus diesem Grund "haben IT-Governance und Informationssicherheit für die Aufsicht inzwischen den gleichen Stellenwert wie die Ausstattung der Institute mit Kapital und Liquidität", heißt es offiziell.

KfW-IT schon länger im Visier der Behörde
Hierbei dürfte unausgesprochen mitschwingen, dass die IT-Systeme vieler deutscher Banken "antiquiert" und verbesserungswürdig sind. So stammten einige Programmcodes für Teile der zentralen IT-Kerne bei der Deutschen Bank bis vor Kurzem beispielsweise noch aus den 1970er-Jahren – und wurden bis dato noch immer benutzt. Kein Wunder, dass sich Deutsche-Bank-Chef John Cryan vom chaotischen Nebeneinander diverser EDV-Systeme erschüttert zeigte und die konzerneigene IT kurz nach seinem Amtsantritt Mitte 2015 als "lausig" bezeichnet hatte. Bekannt ist auch, dass bei der IT der staatlichen Kreditanstalt für Wiederaufbau (KfW) einiges im Argen liegt. Das hatte die Bafin auch schon bemängelt.

Gleich der erste Teil des aktuellen Papiers dreht sich daher um die Anforderungen, die die Bafin hinsichtlich der Technik an die Institute stellt. So schreiben die Aufseher, dass jedes Kreditinstitut eine IT-Strategie festlegen muss: Diese beinhaltet vor allem auch, dass die digitale Struktur einer Bank weiterentwickelt wird. Darüber hinaus muss jede Bank einen Notfallplan erarbeiten.

Außerdem präzisiert die Aufsicht ihre Anforderungen an die Datensicherheit und die Überwachung der Systeme, sodass Unbefugte sich keinen Zugang verschaffen können. Das letzte der acht Kapital dreht sich um die Auslagerung an Drittunternehmen und was die Banken dabei beachten müssen. (jb/ps).