Eines kann man den Banken nicht vorwerfen: Dass sie sich nicht bemühten, den Kunden digitale Anwendungen für das Bankgeschäft anzudienen. Kaum eine Woche vergeht, ohne dass Volksbanken, Sparkassen oder Privatbanken eine neue Kontoführungsapp für das Smartphone, Online-Plattformen für die Vermögensverwaltung oder Kooperationen mit einem Finanz-Start-up vorstellen. Im Geldgewerbe herrscht digitale Aufbruchsstimmung.
Dumm nur, dass die IT-Systeme der Banken dabei offensichtlich nicht mithalten. Zuletzt jedenfalls verschreckten gleich mehrere massive IT-Pannen die Kunden. Am Montag etwa landeten Kunden, die sich in das Online-Banking der Commerzbank-Tochter Comdirect einloggten, auf fremden Konten. Das führte zwar nicht dazu, dass Kunden Geld verloren, hebelte aber quasi das Bankgeheimnis aus. Im Juni wurden bei mehr als zwei Millionen Deutsche-Bank-Konten Buchungen einen Tag lang doppelt im Online-Banking angezeigt. Auch hierbei ging kein Geld verloren. Manch einer rutschte aber zu weit ins Minus, kam dadurch zeitweise nicht an sein Geld. Sparkassenkunden hingegen traf es im Herbst 2015, als in mehreren Bundesländern die Geldautomaten ausfielen.
Freilich: Solche Störungen gab es auch früher schon, und wegen der sozialen Medien machen sie zudem nun schneller die Runde. Doch viele Experten sehen dahinter ein Muster: In den vergangenen Jahren nämlich vernachlässigten viele Institute die Investitionen in die IT, was sich nun gleich mehrfach rächt. Deutsche-Bank-Chef John Cryan bezeichnete die IT des Hauses kurz nach Amtsantritt gar als lausig: 35 Prozent der im Konzern eingesetzten Hardware näherten sich dem Ende ihres Lebenszyklus oder hätten es schon überschritten. Ein Großteil der mehr als 4000 in der Bank verwendeten Anwendungen liege bei externen Anbietern.
Systeme der deutschen Banken sind im Durchschnitt mehr als acht Jahre alt
Von dieser harten Diagnose ist Cryan inzwischen zwar abgerückt. Der Eindruck aber bleibt; nicht nur mit Blick auf die Deutsche Bank. "Die IT vieler Banken ist stark veraltet", sagt Bankenexperte Rüdiger Filbry von der Boston Consulting Group (BCG). Wie die Beratungsgesellschaft ermittelt hat, sind die Kernbankensysteme, also die IT-Herzkammern der deutschen Banken, im Durchschnitt mehr als acht Jahre alt.
Das mag vergleichsweise jung klingen, doch seither hat die Bankenwelt eine Finanzkrise durchlebt, in deren Folge sie Abertausende neue regulatorische Anforderungen umsetzen musste. Jede neue Regel, eine Richtlinie für Immobilienkredite, das neue Basiskonto, erfordert einen Eingriff in eben diese IT-Herzkammer.
Hinzu kommt, dass die meisten traditionellen Banken - anders als die jungen schnellen Finanz-Start-ups - sehr viele Produkte anbieten, vom Sparbrief über Zertifikate bis hin zu diversen Online-Dienstleistungen. Der BCG zufolge laufen bei einer deutschen Bank im Schnitt daher mehr als 1200 IT-Anwendungen. Viele der Programme sind so alt, dass die Mitarbeiter, die sie warten könnten, in Rente sind.
Bei Start-up-Apps kommt das Update, bei Bank-Apps die Kündigung
Und weil viele Banken in puncto Schnelligkeit nun auch noch mit Finanz-Start-ups mithalten wollen, stoßen sie immer öfter an ihre Grenzen. Die digitale Konkurrenz ist es gewohnt, neue Anwendungen einfach mal auf den Markt zu schmeißen, ohne sie vorher bis zum Umfallen getestet zu haben. "Solche Pannen zeigen eindrucksvoll, dass sich so eine Kurzatmigkeit nicht immer auf etablierte Banken übertragen lässt", sagt Bankenexperte Karsten Junge von der Beratung Consileon.
Wenn bei einer x-beliebigen App etwas nicht funktioniere, ärgere sich der Kunde und warte auf das nächste Update. Bei einer Bank-App folgt dann schnell die Kündigung. "Wer versucht, seine alte IT auf Internet-Geschwindigkeit zu trimmen, muss gelegentlich feststellen, dass Technik und Mitarbeiter nicht so schnell sind, wie es der Vorstand gerne hätte", sagt Junge. Auch Finanz-Start-ups seien davor nicht gefeit: Doch die hätten weniger Kunden, sodass es dann kaum einer mitbekäme.
Die IT-Systeme seien heute zwar sehr viel effizienter als früher, allerdings um den Preis eines gewissen Kontrollverlustes, sagt ein Bankvorstand, der nicht genannt werden will. Auch Erpressungsversuche, bei denen Hacker drohten, das Online-Banking lahmzulegen, seien mittlerweile an der Tagesordnung. Kein Wunder, dass die Aufsicht bei jeder Gelegenheit warnt, die Kreditinstitute sollten ihre IT- und Cyberrisiken genauso sorgsam managen wie die Risiken des Bankgeschäftes.
Banken müssen Milliarden in ihre Systeme investieren
Fest steht, dass die Banken nun viele Milliarden in ihre EDV investieren müssen. Dabei werden sie aber wohl weiter an ihren Systemen herumbasteln. Denn diese abzuschalten, hieße auch, sie abzuschreiben.
Und was bleibt nach dem Fall Comdirect? Verbraucherschützer fordern jedenfalls, dass der Gesetzgeber die Verletzung des Datenschutzes sanktionieren soll. "Er hat Sorge dafür zu tragen, dass Verbraucher, deren Grundrechte verletzt worden sind, ihre Rechte durchsetzen können", sagt Verbraucherschützer Niels Nauhauser. Im Comdirect-Fall könnten Kunden den Schaden womöglich geltend machen.
Das wäre ein weiterer Schlag für die Banken. Bei der Konkurrenz blieb daher die Schadenfreude aus. "Das ist ein großer Vertrauensverlust in ein eigentlich sicheres System", hieß es bei einer anderen Direktbank. Festzuhalten sei daher, "dass ohne Pin und Tan keine Beträge transferiert werden konnten". Immerhin.
