SECURITY19. Dezember 2019

„Schwerwiegende Mängel“ bei Fiducia GAD: Warum die BaFin den Volksbanken einheizt

Colour59/Bigstock

Schwere Zeiten für die Fiducia GAD, den IT-Dienstleister der Genobanken. Das Unternehmen hatte im vergangenen Jahr eine Sonderprüfung, die offenbar alles andere als befriedigend ausfiel – und infolgedessen die BaFin die Daumenschrauben anzieht. Auffällig ist unter den 15 Kritikpunkten die große Zahl gravierender Verstöße. Für die Volks- und Raiffeisenbanken könnte das zu Problemen führen, wenn sie sich weiterhin auf die Dienste der Fiducia GAD verlassen – Grund genug für den IT-Dienstleister, die Situation mehr als ernst zu nehmen.

Die BaFin hat im Rahmen einer Prüfung der Volksbank Jever im vergangenen Jahr auch die Fiducia GAD als IT-Dienstleister der Genobanken unter die Lupe genommen. Heraus kam laut einem Bericht des Handelsblatts ein „geharnischter Report“ mit einer schwerwiegenden Mängelliste, die das Verhältnis der Volksbanken zur Bankenaufsicht etwas angespannt erscheinen lässt. Die Fiducia bestätigt eine Sonderprüfung im Zeitraum Mai bis August 2018, macht aber ansonsten keine Angaben zum konkreten Ergebnis. Ähnlich die BaFin, die sich ebenfalls nicht zum schwebenden Verfahren äußern will.

Zahlreiche gravierende Mängel laut BaFin

Doch worum geht es genau? In der Genobankengruppe wird bereits seit Längerem über das Ergebnis der Sonderprüfung diskutiert, auch der Platow-Brief hatte bereits mehrfach darüber berichtet. Grundsätzlich hat die BaFin 15 Kritikpunkte geäußert. Darunter befinden sich drei besonders schwerwiegende Feststellungen der Gruppe „F4“, sechs weitere fallen unter die Kategorie „F3“, worunter gewichtige Mängel gefasst werden. Dabei ist es, wie mit dem Sachverhalt vertraute Experten berichten, nicht ungewöhnlich, dass einzelne der Befunde unter die genannten Kategorien fallen, eine Häufung von F3- und F4-Feststellungen sei aber dennoch überraschend.

Rügen und schlechte Bewertungen gab es unter anderem für Entwicklung des Bankensteuerungssystems VR-Control, das präventive Security & Event Management (also die Vorkehrungen für eventuelle IT-Pannen) sowie das Berechtigungsmanagement, das die Datenzugriffe einzelner Personen regelt. Insbesondere letzterer Punkt bereitet dem Unternehmen wohl einiges an Kopfzerbrechen und bedeutet mittelfristigen Aufwand. Zu den weniger gravierenden Mängeln der F3-Gruppe zählen das Auslagerungsmanagement, das Notfallmanagement oder das Informationssicherheitsmanagement, ferner auch das Thema Netzwerksicherheit.

Fiducia ein erhöhtes Risiko für die Volksbanken?

Was bedeutet das jetzt für die gut 850 Volks- und Raiffeisenbanken sowie die DZ Bank, die auf die Fiducia GAD setzen? Zunächst einmal nichts – doch kann die BaFin bei Instituten, die auf einen so eingestuften Dienstleister Verantwortung übertragen, durchaus das Risikoprofil herabstufen oder Zuschläge beim hinterlegten Risikokapital verlangen – ein Schritt, der offenbar nicht so abwegig ist, wie er zunächst im Kontext der Genobanken klingt.

Was für einzelne Häuser gilt, betrifft auch die gesamte genossenschaftliche Organisation. Ausgerechnet in einer Zeit, da große Digitalisierungsprojekte auf der Agenda stehen (…), wird Fiducia GAD zur Großbaustelle, auf der es bereits im Tagesgeschäft hapert. Die Fusion der Karlsruher Fiducia mit der kleineren GAD aus Münster gestaltet sich schwieriger als gedacht. Hinter den Kulissen kommt es dem Vernehmen nach zu Grabenkämpfen zwischen Münster und Karlsruhe.“

Platow-Brief vom 19.11.2019

Dass die Situation offenbar bereits seit über einem Jahr andauert, ist ebenfalls wenig beruhigend. Zwar hat es das Unternehmen bereits zum jetzigen Zeitpunkt geschafft, die bis Jahresende geforderten 50 Prozent Risiko zu minimieren, aus dem Schneider ist die Fiducia GAD aber noch nicht. Im kommenden Jahr sollen vier weitere Mängel ausgeräumt werden, heißt es. Das Ende der gesamten Mängelliste inklusive risikoreduzierender Vorkehrungen für die Zukunft soll dann bis Ende 2021 erreicht werden.

Eine weitere Forderung der BaFin dürfte die Genobankengruppe leichter erfüllen können: Sie fordern, dass es zu Verbesserungen bei der Governance innerhalb der Fiducia kommt, also dass die der BVR der Fiducia GAD genauer auf die Finger schaut und hier auch einen Aufsichtsratsposten übernimmt. Verbandsvorstand Andreas Martin soll in 2020 in den Aufsichtsrat einziehen. Mit Martin ist dann ein Protagonist an Bord, der die Mängelliste genau kennt und im Rahmen eines Lenkungsausschusses eng an deren Abarbeitung beteiligt war.

BaFin wird auch 2020 genauer hinschauen

Klar ist, dass die Fiducia GAD auch in den nächsten Monaten noch reichlich Baustellen gegenüber der BaFin hat und dass die BaFin hier aus gutem Grund streng hinschauen wird. Ob allerdings, wie das Handelsblatt vermutet, das Ausscheiden des früheren Vorstandsvorsitzenden Klaus-Peter Bruns und von Vizechef Carsten Pfläging irgendetwas mit der Affäre zu tun hat, ist unklar. Gerüchteweise heißt es, die BaFin habe auf eine Vorstandsbereinigung hingewirkt – was die Fiducia auf Medienanfrage allerdings verneint.tw

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert