IT-Outsourcing: „MaRisk stellt bewährte Rahmenverträge auf die Probe“

Kaum eine Bank stemmt IT- und Anwendungssysteme heute noch ganz allein. Aufsichtsrechtliche Anforderungen und ein wirtschaftlicher Betrieb stellen hohe Hürden dar. Bei IT-Auslagerungen droht jetzt jedoch Ungemach: Die aktuelle MaRisk-Novelle verlangt eine strengere Kontrolle von Dienstleistern. Bestehende Rahmenverträge greifen wohlmöglich zu kurz, sagt Günther Heiß, Bereichsleiter Anwendungsentwicklung für die Basissysteme bei der SDV-IT. Interview: Philipp…


Günther Heiß ist Bereichsleiter Anwendungsentwicklung für die Basissysteme der Sparda-Datenverarbeitung. Das 1983 gegründete Unternehmen betreut als genossenschaftlicher IT-Dienstleister mehr als 8.500 Arbeitsplätze. Zu den Kunden zählen derzeit die 12 Sparda-Banken in Deutschland sowie die netbank.

BANKINGNEWS: Herr Heiß, welche Gefahren schlummern in Auslagerungsverträgen?

Günther Heiß: Im Grunde will die BaFin sicherstellen, dass Banken Herr über die eigene Geschäftsstrategie bleiben und sich nicht in die Abhängigkeit eines Dienstleisters begeben. Praktisch müssen die Banken bei der konkreten Ausgestaltung von in Anspruch genommenen IT-Services aktiv mitreden können. Davon war beim Abschluss vieler langjähriger Rahmenverträge jedoch nie die Rede. Klassisches Outsourcing basiert auf der Idee, eine bestimmte Leistung extern zu erbringen und das fertige Lieferprodukt innerhalb des Hauses weiterzuverarbeiten. Künftig erfordert das eine noch engere Zusammenarbeit.

Liegt das Heft des Handelns allein bei den Banken?

Teile der Bank-IT bei einem zentralen IT-Dienstleiter zu bündeln, ist heute alternativlos. Die Aufsicht erwartet, dass Bankanwendungen und die dafür benötigten IT-Systeme in hochsicheren und redundant aufgebauten Rechenzentren betrieben werden. Die Entwicklung von Bankanwendungen muss zudem transparenten Prozessen unter Einhaltung von Funktionstrennung an kritischen Stellen folgen. Diese Prozesse wiederum unterliegen einem bankinternen Kontrollsystem, sodass wir es mit unmittelbaren Auswirkungen auf die Aufbau- und Ablauforganisation zu tun haben. Die Gesamtverantwortung verbleibt also bei der Bank.

Woran macht sich diese Verantwortung fest?

Bei Betriebsprüfungen fragt die Aufsicht bei der Bank direkt nach Risiken, die sich aus Auslagerungen ergeben. Wem der Einblick in die Strukturen der Dienstleister fehlt, kommt dabei schnell in Erklärungsnot. Das erweist sich vor allem in Kontroll- und Kernbankbereichen als besonders brisant. Denn Artikel 9 MaRisk fordert, fundierte Kenntnisse und Erfahrungen vorzuhalten, nicht zuletzt um die ausgelagerten Aktivitäten gegebenenfalls zurückzuholen. Das funktioniert natürlich nur mit einer aktiven Mitsprache, und diese muss vertraglich geregelt sein.

„Profunde Sachkenntnis der Systeme erforderlich“

Reichen Service Level Agreements dafür nicht aus?

Wenn Sie ein zentrales Auslagerungswesen haben, das den Überblick behält und mögliche Fallstricke erkennt, dann ja. Beispiel Verfügbarkeit: Erfolgt die Messung beim IT-Dienstleister im Haus oder am Ort des Geschehens in der Bank? Solche Details sind wichtig, da die Institute daraus folgende Risiken qualitativ bewerten müssen.

Warum ist das so schwierig?

Viele Sachverhalte erfordern profunde Kenntnisse der zum Einsatz kommenden Systeme. Aus einem vereinbarten Schutzniveau für bestimmte Daten müssen IT-Dienstleister beispielsweise ein Konzept entwickeln, das auf systemtechnischer und prozessualer Ebene die Erfüllung der gewünschten Schutzaspekte belegt. Ohne dieses Verständnis kann eine Bankorganisation die darin eventuell verborgenen Risiken etwa bei Integrität, Vertraulichkeit und Authentizität der Daten gar nicht bewerten. Genau das aber verlangt die MaRisk: Eine qualifizierte Auskunft über alle Risiken. Ein einfacher Verweis auf die Vereinbarungen mit Dienstleistern gilt aufsichtstechnisch als unzureichend.

Was bedeutet das konkret?

Verträge beschreiben den Regelzustand. Das Risiko steckt jedoch im Ausnahmezustand. Was passiert also, wenn vertragliche Vereinbarungen ins Leere laufen? Die Institute müssen nachweisen, dass sie über einen Notfallplan verfügen, falls Dienstleister ausfallen oder in Leistungsnotstand geraten. So will die Aufsicht vermeiden, dass einzelne Institute die Verantwortung für Prozesse oder IT einfach auslagern und sich allein auf das Leistungsversprechen des Dienstleisters verlassen. Deshalb finden die Prüfungen ausdrücklich ohne Berücksichtigung zivilrechtlicher Absprachen statt.

Was raten Sie Banken in der aktuellen Situation?

Die Risikobewertung hochspezialisierter IT-Systeme setzt absolutes Expertenwissen voraus. Eine enge Zusammenarbeit zwischen Bank und IT-Dienstleister ist deshalb unerlässlich. Das gilt umso mehr, als die technischen Möglichkeiten der IT unaufhaltsam steigen und auch die Komplexität der damit einhergehenden Risiken. Es geht schließlich nicht darum, die Banken zu ärgern, sondern ein stärkeres Bewusstsein für Risiken zu wecken.

Sie meinen den Begriff der Risikokultur?

Genau. Die Bank muss zeigen, dass sie im Sinne einer optimalen Risikosteuerung wirklich alles im Griff hat.

„Banken und Rechenzentren als Partner“

Sehen Sie dabei auch die Rechenzentren in der Pflicht?

Im Idealfall verstehen sie sich als Partner. Die Zusammenarbeit geht weit über den technisch-organisatorischen Aspekt wie den Aufbau der Rechenzentren hinaus. Wer IT-Systeme für Banken anbietet, erhält Einsicht in die Kundenprozesse und trägt dafür Sorge, dass das Angebot mit internen Kontrollsystemen sowie der Ablauf- und Aufbauorganisation des Kunden harmoniert. Denken Sie beispielsweise an Konto- oder Zahlungsverkehrsdienste, die eine Bank mit externen Partnern umsetzt. Das ist etwas mehr als eine Cloud-Lösung für MS Office.

Haben Sie ein Beispiel?

Fintechs platzieren derzeit mehrere durchaus auch für Banken attraktive Lösungen am Markt. Die Scan-Lösung für Smartphones, um Rechnungen per Foto zu begleichen, ließe sich etwa in eine moderne Banking-App einbinden. Dafür muss eine MaRisk-konforme Anbindung an IT und Prozesse gewährleistet sein. Die reine Entwicklungsarbeit bis zur Prototyp-Reife kommt dagegen weitgehend ohne regulatorischen Ballast aus. Für Organisatoren, die etwas bewegen wollen, ist das ideal, um Kernkompetenzen im Prozessmanagement voll auszuspielen und kundenorientierte Lösungen gemeinsam mit dem Fintech zum Leben zu erwecken. Aus Sicht eines Rechenzentrums bietet sich zudem eine tolle Chance. Denn wir können solche Lösungen MaRisk-konform entwickeln und bei Bedarf für alle Kunden ausrollen. Das minimiert Entwicklungsaufwände für das einzelne Institut.

Wie funktionieren dabei die Schnittstellen in die Bank?

Nach unserer Wahrnehmung fällt Organisationsabteilungen generell eine Schlüsselrolle bei Auslagerungen zu. Die Verantwortung für die Prozesse bleibt trotz externer Umsetzung ja weiterhin intern bestehen. Bankorganisatoren verändern sich damit von einer ausführenden zu einer steuernden Einheit. Diese Entwicklung haben viele Banken bereits vorgezeichnet, da die Bank-Organisation zunehmend auch zwischen Fach- und IT-Abteilungen im Haus vermittelt. Das setzt sich nun bei externen Dienstleistern fort.

„Bankorganisatoren als steuernde Einheit“

Wie macht sich Ihre genossenschaftliche Sonderrolle bemerkbar?

Im Kontext der MaRisk profitieren vor allem Kundenbanken, da sie gleichzeitig die Eigentümer der SDV-IT sind. Die Dienstleistersteuerung erfolgt dabei unmittelbar über den Aufsichtsrat. Damit ist neben der operativen Steuerung auf Organisationsebene auch die strategische Steuerung sichergestellt.

Bleiben die Banken dabei denn noch flexibel genug?

Entscheidend sind verschiedene Zugangswege. Durch unsere Gremienstruktur lassen sich sowohl auf Führungs- wie auch Fachebene unterschiedliche Erwartungen an die IT aufeinander abstimmen, um unterschiedliche Anforderungen zu erfüllen und die gewünschten Features wirtschaftlich zu realisieren und auch langfristig zu betreiben. Zusätzlich binden wir die Fachebene auf zwei Ebenen ein. Expertenteams bereiten Sachverhalte aus der Bankpraxis passgenau auf und Kompetenzteams bewerten die Vorschläge im Gesamtkontext der Anforderungen.

Bieten Sie IT-Lösungen auch eigenständig am Markt an?

Wir bieten unsere Dienstleistungen gerne auch einem Institut außerhalb der Sparda-Gruppe an, wenn das Geschäftsmodell zu uns passt.