Benachrichtigung aktivieren Dürfen wir Sie in Ihrem Browser über die wichtigsten Nachrichten des Handelsblatts informieren? Sie erhalten 2-5 Meldungen pro Tag.
Fast geschafft Erlauben Sie handelsblatt.com Ihnen Benachrichtigungen zu schicken. Dies können Sie in der Meldung Ihres Browsers bestätigen.
Benachrichtigungen erfolgreich aktiviert Wir halten Sie ab sofort über die wichtigsten Nachrichten des Handelsblatts auf dem Laufenden. Sie erhalten 2-5 Meldungen pro Tag.
Jetzt Aktivieren
Nein, danke

IT-Prüfung „Schwerwiegende Mängel“ – Bafin nimmt Volksbanken in die Pflicht

Im Zuge einer IT-Sonderprüfung hat die Bafin den Volksbanken erhebliche Mängel vorgeworfen. Den Banken drohen dadurch schlechte Noten für ihr Risikoprofil.
18.12.2019 - 10:12 Uhr 5 Kommentare
Der zentrale IT-Dienstleister der Volksbanken wurde von der Bafin geprüft. Quelle: Fiducia & GAD IT AG
Fiducia GAD

Der zentrale IT-Dienstleister der Volksbanken wurde von der Bafin geprüft.

(Foto: Fiducia & GAD IT AG)

Frankfurt Deutschlands Volksbanken haben Probleme mit ihrer IT. Und diese Probleme sind so groß, dass die Finanzaufsicht Bafin dem zentralen Dienstleister der Bankengruppe zum Teil „schwerwiegende Mängel“ attestiert.

Im vergangenen Jahr prüfte die Bafin – über den Umweg der Volksbank Jever – den zentralen IT-Dienstleister der Genossen Fiducia GAD. Heraus kam ein geharnischter Report mit einer Mängelliste, die es in sich hat und das Verhältnis der Aufsicht zu den Volksbanken belastet. Mit der teuren Abarbeitung der Beanstandungen sind die Institute noch immer beschäftigt, entsprechend groß ist die Unruhe in der Gruppe.

Die Fiducia bestätigt, dass es bei ihr im Zeitraum Mai bis August 2018 eine Sonderprüfung der Bafin gab, kommentiert aber nicht das konkrete Ergebnis. Auch die Bafin will sich nicht äußern.

Seit Monaten ist der kritische Bafin-Bericht ein Thema unter den 850 Volks- und Raiffeisenbanken, der „Platow Brief“ hatte verschiedentlich darüber berichtet. Nun zeigen Unterlagen, die dem Handelsblatt vorliegen, wie schlecht das Zeugnis der Bafin im Detail ausgefallen ist.

Top-Jobs des Tages

Jetzt die besten Jobs finden und
per E-Mail benachrichtigt werden.

Standort erkennen

    Insgesamt fanden die Aufseher 15 Kritikpunkte, im Fachjargon „Feststellungen“ genannt. Gleich drei dieser Feststellungen fielen in die gravierendste Kategorie „F4“, die für „schwerwiegende Mängel“ steht. Sechs weitere in die Kategorie „F3“ für „gewichtige“ Mängel.

    IT-Sonderprüfungen der Bafin bei Banken verlaufen selten günstig. Selbst die eine oder andere „F4“-Feststellung ist durchaus üblich. Doch eine solche Häufung von Mängeln der Kategorie „F4“ und „F3“ kommt selten vor – immerhin machen die gravierenden Feststellungen mehr als die Hälfte der Befunde aus.

    Das Ergebnis sei zwar nicht exorbitant schlecht, die Quote an schweren Mängeln aber doch überdurchschnittlich hoch, so ordnet ein Aufsichtsrechtsexperte, der nicht genannt werden will, die Ergebnisse ein. 

    Einstufung des operationellen Risikos verschärft

    Für die Banken als Kunden der Fiducia sind die Resultate der Bafin-Prüfung auf jeden Fall kritisch: Zwar hat die Finanzaufsicht keinen direkten Zugriff auf eine Nichtbank wie den IT-Dienstleister Fiducia. Doch wenn von der Aufsicht regulierte Institute Aufgaben auf einen von der Bafin kritisch eingestuften Dienstleister übertragen, drohen ihnen schlechte Noten für ihr Risikoprofil oder sogar Risikozuschläge bei der vorgeschriebenen Kernkapitalquote. 

    Mehrere Genossenschaftsbanken bestätigten dem Handelsblatt, dass die Aufsicht den Banken mit Kapitalzuschlägen gedroht habe. Der Vorstand eines Instituts räumte ein, dass die Aufseher die Einstufung des operationellen Risikos seiner Bank wegen der Probleme der Fiducia verschärft hätten.

    Fiducia GAD ist der IT-Dienstleister für die rund 850 Volks- und Raiffeisenbanken, weitere genossenschaftliche Spezialinstitute, darunter auch das Spitzeninstitut, die DZ Bank, nutzen Fiducia GAD. Der DZ-Konzern ist, gemessen an der Bilanzsumme, die zweitgrößte deutsche Bank. Genau das macht die Fiducia auch für die Bankenaufseher so relevant: von ihren IT-Systemen ist ein relevanter Teil des deutschen Bankenmarkts abhängig.

    Bis zum Jahresende, so eine Forderung der Bafin, müsse die Fiducia die in der Mängelliste aufgelisteten Risiken mindestens um die Hälfte reduziert haben. Dieser Wert von 50 Prozent bezieht sich nicht auf die Anzahl der Feststellungen, sondern auf das Risiko, das die gefundenen Defizite insgesamt bergen. Das Risiko sinkt also auch dann, wenn ein Mangel zwar noch nicht gänzlich behoben, aber deutlich verbessert wird.
    Dieser Wert von 50 Prozent weniger Risiko ist mittlerweile erreicht, wie eine mit dem Sachverhalt vertraute Person berichtet. Insgesamt vier der 15 Feststellungen sollen bis Jahresende vollständig abgehakt sein. Im kommenden Jahr sollen weitere vier Punkte abgearbeitet werden.

    Auch einer weiteren Forderung kommen die Genossenschaftsbanken nun nach. Denn die Bankenaufseher fordern auch Verbesserungen bei der Governance, also der Unternehmensführung und -kontrolle. So drängen sie den Bundesverband der deutschen Volks- und Raiffeisenbanken (BVR) dazu, mehr Verantwortung beim IT-Dienstleister der Gruppe zu übernehmen und auch einen Vertreter in den Aufsichtsrat der Fiducia zu entsenden.

    Das Unternehmen ist der zentrale IT-Dienstleister von Deutschlands Volksbanken. Quelle: Fiducia & GAD IT AG
    Fiducia GAD in Münster

    Das Unternehmen ist der zentrale IT-Dienstleister von Deutschlands Volksbanken.

    (Foto: Fiducia & GAD IT AG)

    Mit der Arbeit des bisherigen Aufsichtsrats sei die Bafin unzufrieden, hieß es. Die Kritik nehmen die Gesellschafter des Unternehmens und der BVR nun auf. Verbandsvorstand Andreas Martin soll noch im Januar in das Kontrollgremium des IT-Dienstleisters einziehen, der seine Hauptsitze in Karlsruhe und Münster hat.

    Die Fiducia betonte auf Anfrage, von einer Kritik der Bafin am Aufsichtsrat sei ihr nichts bekannt. Sie bestätigte aber, dass ein Aufsichtsrat der Kapitaleigner sein Mandat am Rande der Aufsichtsratssitzung am 3. Dezember altersbedingt niedergelegt habe und dass Martin über einen gerichtlichen Bestellungsprozess und unter Vorbehalt der Gerichtsentscheidung in das Gremium berufen werden soll.

    Martin ist in die Abarbeitung der Mängelliste eng involviert. Er leitet einen Lenkungsausschuss, der aus Vertretern der Fiducia, dem genossenschaftlichen Finanzverbund und der Beratung Strategy& besteht, einer Tochter des Wirtschaftsprüfers PwC. Angesiedelt ist der Ausschuss, der das Projekt überwacht, beim BVR.

    Auch wenn inzwischen der erste Meilenstein beim Abbau der Risiken erreicht ist, liegt noch viel Arbeit vor den Volksbanken.

    Seite 12Alles auf einer Seite anzeigen
    Mehr zu: IT-Prüfung - „Schwerwiegende Mängel“ – Bafin nimmt Volksbanken in die Pflicht
    5 Kommentare zu "IT-Prüfung: „Schwerwiegende Mängel“ – Bafin nimmt Volksbanken in die Pflicht"

    Das Kommentieren dieses Artikels wurde deaktiviert.

    • Wahrscheinlich meint Herr Berger meinen Kommentar? Ich lese den Artikel mit einigem Know-How und jahrzehntelanger praktischer Erfahrung in IT(-Sicherheit) sowie Bankgeschäft. Hab mich schon mit IT-Sicherheit in einer Bank befasst, als es das BaFin noch gar nicht gab und das BaKred für die Banken zuständig war und wohl noch gar nicht wusste, wie man IT-Sicherheit schreibt.
      Wenn Sie die ISO-Regel usw. zitieren, dann stellt sich zum einen die Frage, ob diese von praktisch denkenden Menschen geschrieben wurden oder von Theoretikern, die vor lauter Regelungswut im Detail nicht die wirklich wichtigen Sicherheits-Themen übersehen. Und zum anderen stell ich mir, wie Herr Glück, die Frage, ob da die deutschen Aufsicht nicht noch was drauf setzt, sozusagen übererfüllt. IT-Experten aus anderen Branchen lachen angeblich über die beanstandeten Probleme bei der Fiducia.
      BVR: Ob die Beteiligten für IT-Sicherheit zu alt sind, mag ich nicht beurteilen. Beim BaFin habe ich früher die Erfahrung gemacht, dass dort altgediente Beamten beim Thema IT allgemein und IT-Sicherheit einige Jahre hinterher hinken. Aber, vielleicht sind diese inzwischen in Pension.
      Und aus Gesprächen mit den Erfüllungsgehilfen des BaFin, nämlich der Bundesbank, habe ich Horrorgeschichten von "sonstigen" Banken in Erinnerung, deren IT äußerst "zersplittert" ist und manches noch mit Hilfe von Excel-Arbeitsblättern "gesteuert" wurde. Und ob N26, Wirecard usw. weniger F4-Fehler stehen haben, glaube ich schon gar nicht.
      IT-Sicherheit ist sicher ein äußerst komplexes Thema, das einem täglichen Wandel und neuen Herausforderungen für Rechenzentralen unterliegt. Wenn dann aber noch permanent neue Regulatorik hinzu kommt, die gar nichts mit IT-Sicherheit zu tun hat, sondern z.B. die Banken für alle staatlichen Stellen die Erfüllungsgehilfen sind (Steuer usw.), dann fehlt Zeit und Geld für die echten IT-Probleme. Angeblich betreffen ca. 80% aller Programm-Neuentwicklungen bei der FiduciaGAD nur Themen der Regulatorik.

    • Wenn man den Artikel mit Know-How in IT-Sicherheit liest, hat sich der BVR beim Thema IT-Service-Management (ITSM) wohl die Ohren zu gehalten, gemeint das wäre ein alleiniges Thema der Fiducia und die sollen das einfach so machen wie wir ihnen das beauftragen. Das zeugt von hohem Alter der Veteiligtem im BVR in Verbindung mit Ignoranz und Beratungsresistenz, denn es ist seit Jahren DAS Thema in den Beratungshäusern die IT-Beratung auch nur tangieren. Die Kommentare die der BaFin die Schuld geben beschimpfen wohl auch den Briefträger wenn sie eine Mahnung bekommen. Die Regeln sind international bestimmt (ISO/IEC 20000 ff) und die BaFin hat das zu prüfen. Da heute alle Abläufe in Banken über IT-Systeme laufen ist das natürlich ein essentieller Punkt beim Scoring der Sicherheit und Stabilität einer Bank.

    • Guten Tag, Frau Osman und Frau Atzler.
      Zu Ihrem Artikel zwei Anmerkungen: Erfahrungsgemäß sind ein Großteil der Mängel solche bei der Dokumentation von Programmen, Abläufen etc und im Berechtigungsmanagement. Beschäftigte, die beim IT-Dienstleister von einem Aufgabenbereich in einen anderen wechseln, bekommen Zugang zu neuen Daten und Programmen, verlieren aber oft die nicht mehr benötigten Zugriffsrechte nicht. Beides ist im Normalfall also nicht für die Produktion zwingend oder auch nur entscheidend!
      Und wenn es in dem Artikel heißt, nun drängten die Volksbanken darauf, dass der BVR in den Aufsichtsrat der Fiducia geht, dann ist das schon Hohn. Es war ja bisher nicht so, dass die Verbände nicht beteiligt waren im AR. Über lange Jahre führten Verbandspräsidenten den AR der Fiducia. Fakt ist aber, dass die Volksbankvorstände sich darum drängelten, in ein solches wichtiges Amt gewählt zu werden. Ist ja auch immer ein gewisses "Zubrot" und verschafft Einfluss!
      Herzliche Grüße aus dem Norden!

    • Mich würde mal interessieren, ob in Italien, Ungarn, Rumänien u.s.w. ebenfalls so intensiv bis auf den letzten i-Punkt geprüft. Ich glaube die BaFin handelt wieder mal typisch deutsch, als bis ins kleinste Detail zerlegen.

    • Wer ist die BaFin? Ist eine Anstalt des Bundes und dem Finanzministerium unterstellt. Kann aber schalten und walten wie sie will. Kann also Aufwand produzieren wie sie will, denn die Zeche zahlen die Banken über eine Umlage und somit letztlich der Verbraucher. Und was wurde dem Verbraucher bisher dafür geboten?
      Ein komplettes Versagen vor der Finanzkrise 2008. Vor allem, weil das BaFin die großen, international verflochtenen Banken längst nicht mehr überblickt hatte. Das Resultat ist, dass die Aufsicht für diese Großbanken seit 2014 bei der europ. Aufsicht liegt. Und somit verbleiben im Prinzip bei den Banken nur noch die GenoBanken und Sparkassen, die vom BaFin geprüft werden. Haben diese Bankengruppen die Finanzkrise ausgelöst? Nein, aber sie müssen sie seit 10 Jahren ausbaden. Mit immer neuen Regulatorien, einige unsinnig, werden diese Banken in Fusionen getrieben bis am Schluss nur noch jeweils eine zentrale VR-Bank und Sparkasse übrig bleiben sollen? Und somit schließt sich der Kreis und irgendwann ist das BaFin größtenteils überflüssig und muss sich nicht immer was neues einfallen lassen, um seine eigene Daseinsberechtigung unter Beweis zu stellen. Und für dubiose Finanzvermittler wie z.B. P+R Container, bei deren Prospekt-Prüfung das BaFin wohl wieder nicht durchgeblickt hat oder beim Thema Bitcoin, wo erst "beobachtet" wurde, könnten dann die frei werdenden Personal-Ressourcen eingesetzt werden.
      Und wie das BaFin intern organisiert ist konnte man 2006 lesen. Durch ein nicht vorhandenes internes Kontrollsystem entstand dort ca. 7 Mio € Schaden. Dafür müsste man noch ein weiteres F-Kriterium finden, z.B. F6-. Und der verantwortliche Behördenleiter Sanio durfte bleiben und kassiert jetzt seine Pension. Und wäre das BaFin auch für die IT-Prüfung des Bundestags zuständig, wie wären die diversen erfolgreichen Hackerangriffe bewertet worden? Mit F6-? Der Staat reguliert immer mehr, legt diese Maßstäbe aber nicht bei sich an = Banken sind längst verstaatlicht!

    Zur Startseite
    -0%1%2%3%4%5%6%7%8%9%10%11%12%13%14%15%16%17%18%19%20%21%22%23%24%25%26%27%28%29%30%31%32%33%34%35%36%37%38%39%40%41%42%43%44%45%46%47%48%49%50%51%52%53%54%55%56%57%58%59%60%61%62%63%64%65%66%67%68%69%70%71%72%73%74%75%76%77%78%79%80%81%82%83%84%85%86%87%88%89%90%91%92%93%94%95%96%97%98%99%100%