Seine ersten Computer hat Manfred Schwiebert damals noch mit Lochkarten programmiert. Und als der Frankfurter IT-Berater 1980 anfing, professionelle Projekte für Unternehmen umzusetzen, war er eine Ausnahmeerscheinung. „Da wurden Computerspezialisten in den Fachabteilungen mit leuchtenden Augen empfangen“, sagt der heute 67-Jährige. Schließlich liefen fast alle Prozesse manuell, Rechner waren groß, langsam, leistungsschwach und nur von wenigen Experten bedienbar.
Das ist heute anders. Beschäftigte sind mit Computern aufgewachsen, die Informationstechnik dominiert das Tagesgeschäft der Banken. Trotzdem geht erfahrenen Experten wie Schwiebert die Arbeit nicht aus. Er beherrscht Cobol, eine schon vor mehr als einem halben Jahrhundert entwickelte Programmiersprache, die jüngere Experten kaum kennen.
Vor allem bei Banken verrichten auf ihr basierende und über Jahrzehnte immer wieder ergänzte Programme weiter ihren Dienst. „Irgendwer muss die alten Systeme ja pflegen“, sagt Schwiebert. Gerade erst hat er für ein großes Frankfurter Institut sichergestellt, dass sich Daten neuer Kundendepots in die vorhandene IT-Struktur der Bank einfügen.
Was Schwiebert und andere IT-Leihopas auch im Rentenalter gut ernährt, wird für Banken zunehmend zum Problem. Die veraltete EDV macht sie anfällig für Pannen, erschwert den Aufbruch in die viel beschworene digitale Zukunft und frustriert Kunden. Vor allem aber macht sie die Banken verletzbar gegenüber Angriffen professioneller Hacker und Cyberkrimineller. Bankenaufseher widmen sich dem Thema verstärkt: Schließlich drohen gewaltige Schäden bis hin zum zeitweiligen Zusammenbruch eines Instituts oder des Zahlungsverkehrs.
Verglichen damit, was passieren könnte, sind die jüngsten Pannenmeldungen aus der Branche Randnotizen, wenn auch peinliche: Die KfW überwies versehentlich Milliarden an andere Institute, bei der Commerzbank-Tochter Comdirect landeten Kunden nach dem Einloggen auf fremden Konten, und bei der Deutschen Bank buchte ein System Ende März wegen eines technischen Fehlers Überweisungen von rund 175 000 Kunden doppelt. Bleibende Schäden sind in keinem Fall entstanden.
Über Jahre wild gewuchert
John Cryan, Chef der Deutschen Bank, hatte sich schon kurz nach seinem Amtsantritt 2015 über die „lousy IT“ des Instituts ausgelassen. Damit meinte er aber vor allem die interne Struktur. Die ist über Jahre wild gewuchert, in der Spitze liefen rund 45 Systeme parallel. Standardsoftware sei in vier unterschiedlichen Versionen im Einsatz, mit den Programmen zum Einkauf und der Abrechnung von Reisekosten verplemperten Beschäftigte oft viele Stunden, berichten Insider. Nun soll die Komplexität deutlich sinken, einige Programme sind bereits abgeschaltet, und im Jahr 2020 soll es nur noch vier statt 45 Systeme geben.
Das Ziel halten Insider für ausgesprochen ehrgeizig. Denn auch bei der Deutschen Bank basieren große Teile der EDV noch auf Programmen in antiquierten Sprachen wie Cobol und Assembler. Junge Fachkräfte müssen sich erst mal in die Archäologie der Systeme einarbeiten, erfahrene Experten und Ruheständler immer wieder aushelfen. Insider berichten von einem freundlichen Herren, der auch im gesegneten Alter von fast 80 Jahren noch regelmäßig in einem IT-Zentrum vorbeikam, um dort nach dem Rechten zu sehen.
Keine großen Lösungen in Sicht
Bei vielen Instituten ist es ähnlich: Abläufe basieren auf Software, die hauseigene Programmierer vor Jahrzehnten geschrieben haben. An die haben die Banken neue Anwendungen angebaut, zusätzlich Systeme übernommener Konkurrenten integriert und so einen Flickenteppich geschaffen, in dem immer wieder Risse entstehen. Meist wurde die sparsamste Lösung gewählt. Denn die IT hatte keine Fürsprecher, Vorstände konnten sich kaum über die Modernisierung des Zahlungsverkehrs profilieren.
Das schafft heute Probleme – vor allem dann, wenn das komplexe Gemisch aus alten und neuen Programmen nicht kontrolliert werden kann, sagt Markus Alberth, IT-Experte der Managementberatung Capco. Besonders kompliziert wird die Sache dort, wo Banken gemeinsam mit ihren Kunden dem digitalen Zeitgeist folgen wollen. So würden viele Institute gern Zahlungen in Echtzeit anbieten, sind dazu aber technisch kaum in der Lage. „Die alten Systeme waren ursprünglich nie für Onlineanwendungen vorgesehen“, sagt Christian Tölkes vom Beratungsunternehmen Accenture.
Große Lösungen sind trotzdem nicht in Sicht – und vermutlich auch nicht empfehlenswert. Diverse ehrgeizige Projekte sind gescheitert. So floppte etwa die Plattform Magellan, auf der die Deutsche Bank das Geschäft mit der Postbank bündeln wollte. Die HypoVereinsbank musste vor einigen Jahren den Start ihrer Plattform Eurosig immer wieder verschieben. Ein kompletter Umbau sei so, „als würde man alle Knochen im Körper austauschen“, sagt der IT-Vorstand einer Bank. Wirkungsvoller wäre es, die IT-Landschaft wie eine Zwiebel zu häuten und schrittweise einzelne Teile auszutauschen.
Darauf drängen auch Bankenaufseher. In der Finanzkrise ab 2008 erkannten sie, dass viele Institute Daten nicht liefern konnten, mit denen sie ihre Stabilität bewerten wollten. Seitdem haben sie den Druck erhöht und detaillierte Regeln erlassen. Dabei klingt vieles selbstverständlich: Das Topmanagement soll sich mit der Technik beschäftigen, Verantwortungen klar sein, Notfallpläne existieren. Und Daten sollen möglichst automatisch übermittelt werden und vollständig ankommen. Die Praxis sieht mitunter anders aus.
So digitalisieren Banken ihr Geschäftsmodell
Durch Auswertung des Kundenverhaltens über alle Kanäle (Online, Mobil, Filiale) können Kundenbedürfnisse besser gefiltert werden und so der ideale Zeitpunkt für eine individuelle Kundenansprache identifiziert werden.
Quelle: Roland Berger
Die Neukundengewinnung ist in den letzten Jahren sehr schwierig geworden. Banken müssen daher innovative Ideen entwickeln, um Neukunden mit einfachen und digitalisierten Produkten zu überzeugen.
Es reicht nicht aus, Geschäftsmodelle zu optimieren. Banken müssen auch ihr Wachstum vorantreiben und neue Geschäftsfelder erschließen.
Durch Kooperationen mit branchenfremden digitalen Playern oder FinTech-Unternehmen bekommen Banken direkten Zugang zu innovativen Ideen und lernen die Denkweise der "Digital Natives".
Fehler müssen erlaubt sein, denn nur so können sich Organisationen in dem sich ständig ändernden digitalen Umfeld weiterentwickeln.
Digitalisierung ermöglicht eine neue Art des Kundenservice. Um diese Chancen nutzen zu können, muss ein radikaler Kulturwandel in den Banken stattfinden.
Die Digitalisierung muss entlang der gesamten Wertschöpfungskette bis hin zum Back Office stattfinden, damit auch komplexe Finanzprodukte schnell und zuverlässig abgewickelt werden können.
Trotz der Defizite klagen Branchenvertreter darüber, dass sie in den kommenden Jahren mehr als zehn Milliarden Euro ausgeben müssen, um die Anforderungen zu erfüllen. Doch immerhin haben die Banken die Budgets erhöht. Wenn gespart werden muss, setzen sie den Rotstift anderswo an. Aufseher registrieren allmähliche Fortschritte. Wenn sie Mängel entdecken, schauen sie intensiver hin, drängen auf Änderungen und verlangen im Zweifel mehr Vorsorge.
So wie bei der KfW. Die Förderbank hat sich wegen ihrer wackligen Computersysteme eine Rüge der BaFin eingefangen. Im vergangenen Sommer hatten Aufseher die IT überprüft; die Mängel waren so gravierend, dass die Bank nun zusätzlich Kapital vorhalten muss. Dabei war die KfW in der Finanzkrise mit einer Überweisung an das insolvente US-Institut Lehman Brothers zu zweifelhaftem Ruhm gelangt. Offenbar hat sie seitdem nicht alle Schwachstellen behoben. So überwies das Institut kürzlich versehentlich 7,6 Milliarden Euro an vier andere Banken. Ein Programmierer hatte an einer Schnittstelle zum Zahlungssystem gewerkelt und dabei Befehle in Wiederholungsschleife ausgelöst. Die unverhofft bedachten Banken überwiesen das Geld zurück.
Mehr als 20.000 Hackerangriffe pro Jahr
So glimpflich dürften IT-Fehler nicht immer ausgehen. Das interne Rumpeln im Serverraum mögen die Banken noch weitgehend im Griff haben. Doch von außen droht ihnen weit größere Gefahr. Hacker und Netzkriminelle haben technisch enorm zugelegt. Dass die Schutzwälle der Banken bisher weitgehend gehalten haben, ist für die Bankenaufseher nur ein schwacher Trost.
Denn die Einschläge kommen näher. Größere Banken registrieren weit mehr als 20.000 Hackerangriffe pro Jahr, schätzt Olaf Baunack vom IT-Dienstleister Atos. Ende vergangenen Jahres etwa erbeuteten Hacker Daten vermögender Kunden der Liechtensteiner Valartis-Bank. Anschließend forderten die Angreifer die Bankkunden per E-Mail auf, zehn Prozent ihres Guthaben in der virtuellen Währung Bitcoin an sie zu überweisen.
Experten erwarten, dass die Attacke nur ein erster Test war. „Kriminelle Hackerbanden schalten schnell um, wenn sich mit dem Erpressen von Kunden mehr Geld machen lässt“, sagt ein Sicherheitsspezialist.
Wie kreativ die Hacker sind, zeigt sich an einem Fall, den das Sicherheitsunternehmen Kaspersky kürzlich veröffentlichte. Über ein gut getarntes Schadprogramm konnten Cyberkriminelle den Befehl zur Ausgabe eines beliebigen Betrags an Geldautomaten eingeben. Anschließend mussten sie die Scheine nur noch einsammeln und verschwinden.
Neben Kriminellen könnten auch Staaten die Sicherheitslücken ausnutzen. Vor gut einem Jahr attackierten Hacker die Zentralbank in Bangladesh und das Zahlungssystem Swift, über das Banken internationale Transaktionen abwickeln. Nur Tippfehler verhinderten den Transfer von einer Milliarde US-Dollar auf ein Konto auf den Philippinen. Nach eingehender Analyse sind sich Experten inzwischen sicher, dass Nordkorea hinter dem Angriff steckt.
Im Auftrag der kommunistischen Diktatur sind Kriminelle vermutlich auch schon in Europa aktiv geworden. Vor einigen Wochen, so berichten Sicherheitsexperten, infizierten sie die von den Banken häufig besuchte Webseite der polnischen Bankenaufsicht. Auf diesem Weg wollten sie in die IT-Systeme der Institute eindringen.
Offenbar konnte der Angriff rechtzeitig gestoppt werden. Doch schon beim nächsten Mal kann es anders laufen – auch in Deutschland. Selbst wenn alle Institute die Bedrohung ernst nehmen, so kann doch „kein Unternehmen alle Lücken schließen. Banken können sich vorbereiten und die Schwelle möglichst hoch legen“, sagt ein Aufseher. Das sei ihnen bisher gelungen. Die Daten der Kunden seien „relativ sicher“.
Relativ kann bisweilen ganz schön bedrohlich klingen.