Herkulesaufgabe

Das alles unter einen Hut zu bringen ist für jede Bank eine Mischung aus Herkulesprojekt und Sisyphosarbeit und verschärft sich noch, wenn das Geldinstitut international tätig ist.

Bevor die IT kam, war Bankensicherheit leicht: Eine solide Tür, ein ordentlicher Tresor, Panzerglas vor der Kasse und eine zuverlässige Alarmanlage – das reichte schon, um sich gegen Ungemach zu wappnen. Der Einzug moderner Informationstechnologie mit komplexen Abhängigkeiten von und Schnittstellen zu Datenbanken, Netzwerken sowie internen und externen Diensten veränderte die Sicherheitslandschaft gründlich. Zutrittskontrollsysteme mit Protokollierung, Videoüberwachung und diverse andere Schutzeinrichtungen sind Standard und helfen doch nicht zuverlässig vor Schäden, zumal gegen solche durch Datendiebstahl.

In den Kindertagen der Bank-IT schufen abgeschottete Systeme mit optionalen, dedizierten Wählverbindungen ein hohes Sicherheitsniveau mit überschaubarem Aufwand. Heute schaffen Intra- und Internet, moderne Betriebssysteme sowie unterschiedliche und teils neue Programmiersprachen zahlreiche Optionen für Lücken, durch die sich Zugriffe auf die Systeme erlangen ließe, würde nicht systematisch gegen gesteuert.

So bieten getunnelte und verschlüsselte Verbindungen sicheren individuellen Zugriff, Firewalls und Intrusion Detection / Prevention Systeme schaffen Sicherheit vor zahlreichen Angriffsszenarien und werden konstant um die Signaturen neuer Schadcodes aktualisiert. Gehärtete Server gehören zum Standard, ebenfalls das regelmäßige Patchen der Betriebssysteme. Der Betrieb der Intra- und Internet-Anwendungen erfolgt häufig auf virtuellen Maschinen, also als Software in einer Sandbox genannten sicheren Umgebung, die bei Fehlverhalten durch einen einfachen Befehl gestoppt, neu gestartet oder auch frisch aufgesetzt werden kann.

Dass Sicherheit heute bei Banken und anderen Finanzdienstleistern so groß geschrieben wird, hat neben den eigenen Interessen der Unternehmen auch viel mit Vorgaben der Aufsichtsbehörden wie beispielsweise der Bafin, der Bundesanstalt für Finanzdienstleistungsaufsicht, zu tun: Sie stellt hohe Anforderungen an einen sorgfältigen IT-Betrieb und orientiert sich hierbei an internationalen Standards für das Information Security Management. Das Ziel ist klar: Durch Anpassung der Prozesse und Tools und durch Einführung von Überwachungsfunktionen soll eine zusammengeführte Sicht auf alle negativen Einflüsse auf die physikalischen und logischen Assets und Vermögenswerte des Unternehmens ermöglicht werden. Rückmeldungen aus dem Risikomanagement, Compliance Management und der IT-Security ermöglichen eine kurzfristige und angemessene Reaktion auf unterschiedliche Vorfälle.

Mit entsprechenden Lösungen lassen sich beispielsweise heute Applikationen und Datenbanken in einer Güte überwachen, die unberechtigte Zugriffe unmittelbar meldet und rückverfolgt, so dass ihre Urheber schnell lokalisiert und identifiziert werden können.

Der hohe Grad an Sicherheit kostet stetig viel Geld, und nicht jede Bank verfügt über das Budget, von Beginn an in der Spitzengruppe mitzuspielen. Für kleinere und mittlere Institute, die nicht über das notwendige Budget oder den erhöhten Sicherheitsbedarf verfügen, gibt es bei vielen Regularien zwar Öffnungsklauseln. Doch wenn die Bank international agiert, ist sie zum Handeln verpflichtet.

Bei der Implementierung neuer Vorgaben gilt fast immer: Je größer die Bank, desto eher werden neue IT-Themen umgesetzt. Großbanken rollen somit IT-Neuerungen typischerweise vor den Privat- und Mittelstandsbanken aus. Diese folgen mit einem leichten Zeitversatz und eventuell reduziertem Themenumfang. Diese Struktur ist allerdings noch einem anderen Umstand geschuldet: Großbanken arbeiten häufiger nicht bloß in internationalem, sondern in einem globalen Kontext, die Einflussfaktoren sind entsprechend um vieles umfangreicher.

Ein Beispiel hierfür ist der aktuell viel diskutiert Foreign Account Tax Compliance Act (Fatca), mit dem der US-amerikanische Staat Steuersünder aufspüren will. Er schreibt Finanzdienstleistern, die in den USA Geschäfte machen, vor, dass diese alle Kunden melden, die außerhalb der USA in den USA zu versteuernde Einnahmen erzielen. Diese Forderung bringt viele hiesige Banken in eine prekäre Lage: Wollen sie weiterhin in den USA Geschäfte machen, müssen sie Fatca erfüllen. Erfüllen sie Fatca, verstoßen sie gegen den deutschen und europäischen Datenschutz.

Die EU und die USA entwickeln derzeit eine Verwaltungsstruktur, bei der nicht die Banken, sondern die jeweiligen Steuerbehörden die relevanten Daten austauschen. In der Zwischenzeit implementieren die Banken Lösungen, die fragliche Kunden identifizieren und Transaktionen überwachen. Der Aufwand, der hierbei in IT-Themen investiert wird, ist umfangreich.

Der Hype um Fatca lässt dabei in den Hintergrund treten, dass global agierende Banken längst schon verschiedenste Compliance-Anforderungen unterschiedlichster Aufsichtsbehörden zu erfüllen haben. Dazu gehören Vorgaben der European Banking Authority (EBA) oder der Securities and Exchange Comission (SEC). Zu nennen ist ferner der Sarbanes-Oxley-Act (SOX), der ebenfalls aus den USA kommend strenge Vorschriften für die Bilanzierung von Unternehmen macht, die den öffentlichen Kapitalmarkt der USA in Anspruch nehmen.

Von ganz hartem Holz sind die Vorgaben des Bankplatzes Singapur. Die Monetary Authority of Singapore (MAS) als Aufsichtsbehörde des Finanzwesens im Inselstaat verfolgt mit sehr scharfen Vorgaben das Ziel, Singapur als sicheren Handelsplatz zu halten. Entsprechend werden von Finanzdienstleistern umfangreiche Erweiterungen von Prozessen und Methoden gefordert, die in ein umfassendes Internes Kontrollsystem führen sollen. Diese Vorgaben zu planen und zu erfüllen ist ausgesprochen zeit- und kostenintensiv. Die Investition ist für Banken, die in Singapur Geschäfte machen wollen, trotzdem sinnvoll, denn ein Verstoß gegen die Vorgaben wäre noch kostspieliger.

Aber auch die Tätigkeit der Bafin ist mit einer gehörigen Portion Angstpathos dekoriert: Wenn ihre Vorgaben nicht eingehalten werden, kann die deutsche Finanzaufsichtsbehörde ebenfalls drastische Strafen verhängen. Und diese sind über die Jahre zahlreicher geworden und wurden kontinuierlich verschärft. Auch passt die Bafin ihr Regelwerk Mindestanforderungen an das Risikomanagement (Marisk) ständig an die aktuellen Gegebenheiten im Finanzsektor an und weitet seinen Geltungsbereich aus, so dass seit einigen Jahren auch Factoring- und Finanzleasing-Unternehmen zu den Finanzdienstleistern zählen und den Regularien der Bafin, insbesondere der Marisk und dem Paragraphen 25 a des Kreditwesengesetzes (KWG) auszurichten haben.

Die umfangreichen internen und externen Auflagen an den (IT-) Betrieb von Kreditinstituten resultiert parallel in organisatorischen Anpassungen: So gibt es heute in der Bank einen eigenständigen Compliance-Beauftragten, der für die Einhaltung der unterschiedlichen Anforderungen verantwortlich ist. In Bezug auf Audit-Moniten werden zunehmend die Manager in die Pflicht genommen, so dass heute zumindest ein Teil ihrer Bezüge, die Partizipierung an Sonderausschüttungen und an Tantiemen an die Erfüllung externer Vorgaben gekoppelt wird. Die Folge: Werden Audit-Moniten nicht geschlossen, fließt auch kein Geld.

Würde man diese direkte Haftung auch auf andere Bereiche im Bankenwesen ausweiten, fiele der nächste Bankencrash wohl überschaubarer aus. Dazu bräuchte man beispielsweise nur das Handelsgebaren auf dem Parkett und andernorts ähnlich streng reglementiert wie die Banken-IT, den Händlern ein Mehr an Verantwortung geben, so dass sie nicht nur an ihren Gewinnen, sondern auch an den von ihnen verursachten Verlusten mit Ihrem Privatvermögen partizipieren.

Als Alternative gegen Bankencrashs könnte man sich aber auch an einem Beispiel aus der Nachbarschaft orientieren: An der Türkei. Die Regularien der türkischen Bankenwelt sind ähnlich ausgestaltet wie die EU-Regularien und der aktuell sehr prosperierende Markt hat die Finanzkrise erfolgreich umschifft. Das hat zwei Gründe: Zum einen hat er nicht am angelsächsischen Markt intensiv partizipiert. Und sein Finanzgebaren ist in Teilen am Islamic Banking ausgerichtet – also darauf, Gewinne auch mit tatsächlichen Sachwerten aufzuwiegen. Die können Blasen nämlich nicht bieten.