Wenn Fachbereiche, wie Marketing, Risikomanagement oder Fraud-Management in Finanzinstituten neue Anwendungen einführen möchten, können sie unabsichtlich in Konflikt mit der eigenen IT-Abteilung oder auch mit dem deutschen Recht geraten. Christoph Meyer, Redakteur der BANKINGNEWS sprach hierüber mit Dr. Walter Kirchmann, Vorsitzender der Geschäftsleitung von Finanz Informatik Technologie Service (FI-TS).
Dr. Kirchmann, wir reden heute über die Einführung neuer Softwarelösungen in Banken. Von wem geht, Ihrer Erfahrung nach, der Impuls zur Anschaffung aus?
Der erste Impuls geht vor allem bei Speziallösungen sehr oft von den Fachbereichen in den Banken aus. Unternehmensweit eingesetzte oder strategische Anwendungen wie Kernbanksysteme, Handelssysteme oder Online-Banking werden meist gemeinsam mit der eigenen IT-Abteilung geplant und ausgerollt.
Die IT in Banken wird dabei oftmals als „Bremser“ gesehen. Ist dem so?
Nein, das kann man so pauschal nicht sagen. Grundsätzlich ist die IT eher eine Abteilung, die Neuerungen ermöglicht und die Fachabteilung dazu befähigt neue Prozesse auf- und einzusetzen. Allerdings kommt es manchmal natürlich vor, dass die Fachbereiche und die IT-Abteilung unterschiedliche Vorstellungen haben. Der Fachabteilung stehen die benötigten Systeme nicht schnell genug zur Verfügung, die Budgets sind zu knapp bemessen oder die Auffassung bezüglich der Gestaltung von Prozessen ist abweichend. Oft benötigen Fachabteilungen beispielsweise zur Erprobung neuer Anwendungen IT-Ressourcen nur für einen kurzen und sehr begrenzten Zeitraum. Dafür sollen die benötigten IT-Systeme dann aber möglichst schnell bereitstehen.
Was sind Problemfelder, wenn Fachabteilungen neue Lösungen testen möchten?
Problemfelder können auf beiden Seiten auftreten. Auf der einen Seite gibt es tolle Anwendungen beispielsweise für Kredit- oder Risikoanalyse, die einen echten Mehrwert für die Finanzinstitute bieten. Doch auf der Suche nach neuen Anwendungen, die nur von bestimmten Fachabteilungen benötigt werden, stimmen sich die Abteilungen dann zum Teil nur unzureichend mit der internen IT ab und beauftragen ohne deren Wissen externe Dienstleister. Das führt dann zu einer sogenannten Schatten-IT, die von der IT-Abteilung nicht ausreichend verwaltet und gepflegt werden kann. Das wiederum kann letztlich auch zu unnötigen Sicherheitsschwachstellen führen.
Auf der anderen Seite stellt die interne IT den Fachabteilungen manchmal standardmäßig aufwendige Testinstallationen für einen langen Zeitraum zur Verfügung, die in diesem Umfang gar nicht benötigt werden. Hier wären kurze Tests in einer Cloud-Umgebung völlig ausreichend, die dann auch nur nach dem tatsächlichen Bedarf abgerechnet werden.
Ein weiteres Problem ergibt sich, wenn für Tests echte Kundendaten in einer nicht ausreichend geschützten Umgebung (Sand-Boxing) eingesetzt werden. Denn auch in solchen Testszenarien müssen alle Compliance-Vorgaben eingehalten werden. Hier ist eine gute Abstimmung vorab also wesentlich.
Welche weiteren Fallstricke gibt es bei der Einführung neuer Services?
Probleme können auftreten, wenn Finanzinstitute Services nutzen, die in den Rechenzentren der Dienstanbieter laufen. Denn das Kreditwesengesetz Paragraf 25a Satz 2 legt fest, dass eine Auslagerung nicht zu einer Delegation der Verantwortung führen darf. Dienstleister müssen daher den Banken immer ermöglichen, ihre Auskunfts- und Prüfungsrechte sowie Kontrollmöglichkeiten gegenüber der Bankenaufsicht so zu gewährleisten, als ob sie über das eigene Rechenzentrum verfügen. Das zieht in der Praxis zum Beispiel im Bereich Datenschutz einiges nach sich, was den Umgang mit den Daten und ihre Archivierung betrifft. Ausländische oder neue Anbieter können hier oft nicht die nötigen Infrastrukturen und Prozesse gewährleisten.
Falls die Serviceanbieter zudem selbst auf Dienstleister zurückgreifen, gelten die gleichen Anforderungen auch für diese. Ist der Drittanbieter ein Unternehmen aus dem Ausland wie den USA, könnte US-Recht deutsches Recht brechen, wenn im Rahmen des Patriot Act auf Daten deutscher Personen zugegriffen werden kann.
Worauf sollten Fachabteilungen dann achten? Beziehungsweise was empfehlen Sie Anbietern von neuen Bankfachanwendungen, die den Einstieg in den deutschen Markt suchen?
Gerade in der Finanzbranche sollten Fachabteilungen darauf achten, dass der Anbieter auf deutsche Partner setzt oder für Infrastruktur-Dienste branchenerfahrene deutsche Partner auswählen. Zertifizierungen wie ISO 27001 und Trusted Site Infrastructure (TSI) sind zudem ein klarer Hinweise für Qualität. Darüber hinaus sollten sie sich über konkrete Referenzprojekte erkundigen, um den nachweislichen Erfolg des Anbieters überprüfen zu können.
Vielen Dank für das interessante Gespräch.
Foto: Dr. Walter Kirchmann von Finanz Informatik Technologie Service (FI-TS)