Die deutschen Banken sind in punkto IT-Sicherheit schon deutlich stärker geworden, die Finanzaufsicht BaFin sieht jedoch weiterhin Verbesserungsbedarf. Wäre eine Schulnote zu vergeben, würde er den Instituten im Schnitt eine „4“ geben, erklärte der für die Bankenaufsicht zuständige BaFin Exekutivdirektor Raimund Röseler am Donnerstag. Die relativ schwache Benotung liege aber nicht daran, dass die Geldhäuser nichts gegen Cyberrisiken getan hätten, sondern auch daran, dass die Anforderungen der Behörde an die von ihr beaufsichtigten Institute gestiegen seien.
Die IT-Architektur zahlreicher Banken in Deutschland gilt als veraltet und störanfällig, auch die Großbanken Deutsche Bank und Commerzbank haben immer wieder Probleme. Der frühere Chef der Deutschen Bank, John Cryan, hatte die IT des Branchenprimus noch vor wenigen Jahren sogar als „lausig“ bezeichnet. BaFin-Aufseher Röseler ging mit den Instituten nicht so hart ins Gericht, im europäischen Vergleich seien sie, was die IT angehe, nicht schlecht aufgestellt. Röseler bestätigte, dass die BaFin wegen Mängeln bei der IT-Sicherheit bei einigen Banken schon eine höhere Kapitaldecke verfügt habe. Namen nannte er keine.
Die BaFin werde wegen der Bedeutung des Themas für die Stabilität des Finanzsystems künftig „einen stärkeren Fokus auf die Effektivität von Schutzmaßnahmen und auf geeignete Krisenreaktionsmechanismen legen“, kündigte Röseler an. Dabei werde es auch darum gehen, wie Krisenübungen und ein wirksames Notfallmanagement bei Banken aussehen sollten. Zudem überlege die BaFin mit umfangreichen Tests die Systeme der Banken auf Herz und Nieren zu prüfen. „Software- oder Hardwarestörungen und Mängel in der 'Cyber-Hygiene' sind viel häufiger die Ursache von Sicherheitsvorfällen als Attacken von außen.“
