IT-Prüfung: „Schwerwiegende Mängel“ – Bafin nimmt Volksbanken in die Pflicht
Der zentrale IT-Dienstleister der Volksbanken wurde von der Bafin geprüft.
Foto: Fiducia & GAD IT AGFrankfurt. Deutschlands Volksbanken haben Probleme mit ihrer IT. Und diese Probleme sind so groß, dass die Finanzaufsicht Bafin dem zentralen Dienstleister der Bankengruppe zum Teil „schwerwiegende Mängel“ attestiert.
Im vergangenen Jahr prüfte die Bafin – über den Umweg der Volksbank Jever – den zentralen IT-Dienstleister der Genossen Fiducia GAD. Heraus kam ein geharnischter Report mit einer Mängelliste, die es in sich hat und das Verhältnis der Aufsicht zu den Volksbanken belastet. Mit der teuren Abarbeitung der Beanstandungen sind die Institute noch immer beschäftigt, entsprechend groß ist die Unruhe in der Gruppe.
Die Fiducia bestätigt, dass es bei ihr im Zeitraum Mai bis August 2018 eine Sonderprüfung der Bafin gab, kommentiert aber nicht das konkrete Ergebnis. Auch die Bafin will sich nicht äußern.
Seit Monaten ist der kritische Bafin-Bericht ein Thema unter den 850 Volks- und Raiffeisenbanken, der „Platow Brief“ hatte verschiedentlich darüber berichtet. Nun zeigen Unterlagen, die dem Handelsblatt vorliegen, wie schlecht das Zeugnis der Bafin im Detail ausgefallen ist.
Insgesamt fanden die Aufseher 15 Kritikpunkte, im Fachjargon „Feststellungen“ genannt. Gleich drei dieser Feststellungen fielen in die gravierendste Kategorie „F4“, die für „schwerwiegende Mängel“ steht. Sechs weitere in die Kategorie „F3“ für „gewichtige“ Mängel.
IT-Sonderprüfungen der Bafin bei Banken verlaufen selten günstig. Selbst die eine oder andere „F4“-Feststellung ist durchaus üblich. Doch eine solche Häufung von Mängeln der Kategorie „F4“ und „F3“ kommt selten vor – immerhin machen die gravierenden Feststellungen mehr als die Hälfte der Befunde aus.
Das Ergebnis sei zwar nicht exorbitant schlecht, die Quote an schweren Mängeln aber doch überdurchschnittlich hoch, so ordnet ein Aufsichtsrechtsexperte, der nicht genannt werden will, die Ergebnisse ein.
Einstufung des operationellen Risikos verschärft
Für die Banken als Kunden der Fiducia sind die Resultate der Bafin-Prüfung auf jeden Fall kritisch: Zwar hat die Finanzaufsicht keinen direkten Zugriff auf eine Nichtbank wie den IT-Dienstleister Fiducia. Doch wenn von der Aufsicht regulierte Institute Aufgaben auf einen von der Bafin kritisch eingestuften Dienstleister übertragen, drohen ihnen schlechte Noten für ihr Risikoprofil oder sogar Risikozuschläge bei der vorgeschriebenen Kernkapitalquote.
Mehrere Genossenschaftsbanken bestätigten dem Handelsblatt, dass die Aufsicht den Banken mit Kapitalzuschlägen gedroht habe. Der Vorstand eines Instituts räumte ein, dass die Aufseher die Einstufung des operationellen Risikos seiner Bank wegen der Probleme der Fiducia verschärft hätten.
Fiducia GAD ist der IT-Dienstleister für die rund 850 Volks- und Raiffeisenbanken, weitere genossenschaftliche Spezialinstitute, darunter auch das Spitzeninstitut, die DZ Bank, nutzen Fiducia GAD. Der DZ-Konzern ist, gemessen an der Bilanzsumme, die zweitgrößte deutsche Bank. Genau das macht die Fiducia auch für die Bankenaufseher so relevant: von ihren IT-Systemen ist ein relevanter Teil des deutschen Bankenmarkts abhängig.
Bis zum Jahresende, so eine Forderung der Bafin, müsse die Fiducia die in der Mängelliste aufgelisteten Risiken mindestens um die Hälfte reduziert haben. Dieser Wert von 50 Prozent bezieht sich nicht auf die Anzahl der Feststellungen, sondern auf das Risiko, das die gefundenen Defizite insgesamt bergen. Das Risiko sinkt also auch dann, wenn ein Mangel zwar noch nicht gänzlich behoben, aber deutlich verbessert wird.
Dieser Wert von 50 Prozent weniger Risiko ist mittlerweile erreicht, wie eine mit dem Sachverhalt vertraute Person berichtet. Insgesamt vier der 15 Feststellungen sollen bis Jahresende vollständig abgehakt sein. Im kommenden Jahr sollen weitere vier Punkte abgearbeitet werden.
Auch einer weiteren Forderung kommen die Genossenschaftsbanken nun nach. Denn die Bankenaufseher fordern auch Verbesserungen bei der Governance, also der Unternehmensführung und -kontrolle. So drängen sie den Bundesverband der deutschen Volks- und Raiffeisenbanken (BVR) dazu, mehr Verantwortung beim IT-Dienstleister der Gruppe zu übernehmen und auch einen Vertreter in den Aufsichtsrat der Fiducia zu entsenden.
Das Unternehmen ist der zentrale IT-Dienstleister von Deutschlands Volksbanken.
Foto: Fiducia & GAD IT AGMit der Arbeit des bisherigen Aufsichtsrats sei die Bafin unzufrieden, hieß es. Die Kritik nehmen die Gesellschafter des Unternehmens und der BVR nun auf. Verbandsvorstand Andreas Martin soll noch im Januar in das Kontrollgremium des IT-Dienstleisters einziehen, der seine Hauptsitze in Karlsruhe und Münster hat.
Die Fiducia betonte auf Anfrage, von einer Kritik der Bafin am Aufsichtsrat sei ihr nichts bekannt. Sie bestätigte aber, dass ein Aufsichtsrat der Kapitaleigner sein Mandat am Rande der Aufsichtsratssitzung am 3. Dezember altersbedingt niedergelegt habe und dass Martin über einen gerichtlichen Bestellungsprozess und unter Vorbehalt der Gerichtsentscheidung in das Gremium berufen werden soll.
Martin ist in die Abarbeitung der Mängelliste eng involviert. Er leitet einen Lenkungsausschuss, der aus Vertretern der Fiducia, dem genossenschaftlichen Finanzverbund und der Beratung Strategy& besteht, einer Tochter des Wirtschaftsprüfers PwC. Angesiedelt ist der Ausschuss, der das Projekt überwacht, beim BVR.
Auch wenn inzwischen der erste Meilenstein beim Abbau der Risiken erreicht ist, liegt noch viel Arbeit vor den Volksbanken.
Wer hat Zugriff auf die Daten?
Interne Unterlagen zeigen, dass die übrigen Mängel bis Ende 2021 beseitigt werden sollen. Im kommenden Jahr will das Unternehmen dann weitere vier Feststellungen erledigen. Außerdem sollen bei allen anderen – vor allem den gravierenden – Feststellungen größere „risikoreduzierende“ Meilensteine erreicht werden.
Die Fiducia wollte sich nicht zu Zeitplänen äußern. „Wir arbeiten alle Feststellungen nach einem mit der Bafin im Detail abgestimmten Plan ab und liegen aktuell voll im Plan“, sagte eine Sprecherin.
Die Unterlagen listen auf, wo die wichtigsten Schwachpunkte der Fiducia lagen. Die schlechtesten Noten gab es für die Qualitätssicherung und das Testverfahren beim Bankensteuerungssystem VR-Control, das Security Information & Event Management, also die Vorbereitung der Bank auf mögliche IT-Pannen, sowie das Berechtigungsmanagement, das regelt, welche Personen Zugriff auf welche Daten haben.
Besonders arbeitsintensiv scheinen Verbesserungen im Berechtigungsmanagement zu sein. Denn laut einer Fußnote sollen dort bis Ende 2021 zwar „wesentliche Abarbeitungspunkte erreicht“ sein, „restliche Aktivitäten“ laufen aber sogar „über 2021 hinaus“. Verschiedentlich wird im Verbund ein Zeitraum bis 2023 genannt, der genutzt werden darf, aus den Unterlagen lässt sich das nicht ableiten.
Zu den „F3“-Mängeln zählen unter anderem das Auslagerungsmanagement, das Notfallmanagement oder das Informationssicherheitsmanagement. Erledigt ist immerhin der „F3“-Kritikpunkt Netzwerksicherheit.
Das Ausmaß der Kritik an der Fiducia wirft Fragen nach den Gründen für das Ausscheiden des früheren Vorstandsvorsitzenden Klaus-Peter Bruns und von Vizechef Carsten Pfläging auf. Pfläging hatte das Haus bereits vor einigen Monaten verlassen, der langjährige Chef Bruns ist seit Mitte Oktober ebenfalls nicht mehr bei Fiducia GAD. Er hatte bereits vor einiger Zeit angekündigt, seinen Posten zu räumen, ist nun aber statt zum Jahresende bereits Mitte Oktober ausgeschieden.
„Sanfter Druck“ der Bafin?
Mehrere Vorstände aus dem Genossenschaftslager sind sich sicher, das schlechte Prüfungsergebnis sei der Grund dafür gewesen. Eine eng mit dem Sachverhalt vertraute Person konkretisierte, die Bafin habe informell „sanften Druck“ im Sinne einer Vorstandsbereinigung ausgeübt, gehandelt habe der Aufsichtsrat.
Diesen Aussagen tritt die Fiducia entgegen. Das Ausscheiden von Bruns und Pfläging stehe nicht im Zusammenhang mit der Bafin-Prüfung.
Bruns habe sich „aus privaten Gründen dafür entschieden, seinen zum Jahresende auslaufenden Vertrag nicht weiter zu verlängern“. Pfläging sei „im Zuge der Neuausrichtung des Unternehmens sowie der Neuordnung des Vorstands mit einem Co-Sprecher-Modell“ ausgeschieden.