Wien - Die Vor-Ort-Prüfer der Oesterreichischen Nationalbank (OeNB) haben die IT-Systeme der Bank Austria (BA) unter die Lupe genommen. Seit 18. Oktober ist ihr Bericht fertig - und er ist sehr kritisch ausgefallen. "Potenzielle und zukünftige Risiken" der UniCredit-Tochter rund um die IT seien vernachlässigt worden. Auf Gruppenebene seien "nicht alle Vorkehrungen" getroffen worden, um die Systeme und die Outsourcing-Risiken zu beurteilen und zu kontrollieren. Die Italiener hätten zwar Maßnahmen ergriffen, um die IT-Verwaltung zu verbessern, aber die Umsetzung werde noch "etliche Zeit brauchen". Tochter BA sei zwar über diverse Maßnahmen informiert, bis dato aber "nicht ausführlich in den Prozess eingebunden".

Um ihre Diagnose zu verstehen, tut ein kurzer Blick in die Vergangenheit not. Das IT-System der BA wurde im Oktober 2012 auf das UniCredit-weite System Eurosig umgestellt; schon damals kam es zu Problemen. Rechenzentren und Daten wurden zu einem großen Teil von der Bank in die UniCredit-eigene UBIS verlagert. Dort sind nun IT-Dienstleistungen, Backoffice sowie die Abwicklung und Dienstleistung für den Bankbetrieb gebündelt. Aufgrund dieser Ausgliederungen (Outsourcing) haben sich die Prüfer zwischen 8. April und 26. Juli nicht nur in Österreich umgeschaut, sondern gemeinsam mit der Banca d'Italia auch in Mailand und Verona. Schwerpunkt ihrer Prüfung: Organisationsstruktur, Risiken, Verträge und die Auswirkung des Outsourcing auf das operationelle Risiko der Bank.

Zwei Tage Schweigen

Öffentlich wirksam wurden die IT-Probleme zuletzt im Frühling. "Von 4. bis 6. Mai war die Bank Ziel eines Hackerangriffs", gab die BA am 8. Mai bekannt, betroffen waren rund 100.000 Online-Kunden. Hacker hatten sich laut Bank "unberechtigten Zugriff auf einen der Portal-Server verschafft". Im Bericht der neun Vor-Ort-Prüfer liest sich die Sache so: Am Freitag, dem 3. Mai, hätten die Hacker die BA-Systeme, die von der UBIS geführt werden, angegriffen. "Der zuständige Sicherheitschef wurde erst am Montag von UBIS informiert. (...) Es brauchte alles zusammen vier Tage, bevor die Öffentlichkeit und die Aufsichtsbehörden informiert wurden."

Und: Die "Sicherheitslücke", über die sich die Hacker Zutritt in die "Standard-Software, die UBIS für die BA betreibt, Zugang verschafft haben, war seit 2012 bekannt". Pflaster (die Prüfer schreiben in ihrem auf Englisch verfassten Bericht von "patches") gegen diese Lücke habe die Software-Gesellschaft zwar gehabt, sie seien aber nicht installiert gewesen. Die Bank Austria habe zu diesem Zeitpunkt aber "keine Status-Information zur Verfügbarkeit" solcher Gegenmittel gehabt. Generell, so heißt es im Prüfbericht, seien die "bedeutsamen Defizite im Bezug auf das IT-Risiko-Management und die IT-Governance der UniCredit-Gruppe" schon in der Vergangenheit identifiziert und 2012 von italienischer und deutscher Aufsicht thematisiert worden. Bis zur BA soll dieses Wissen aber nicht zur Gänze durchgedrungen sein.

Die Umstellung auf Eurosig und die IT-Auslagerungen hatten laut den Prüfern "großen Einfluss aufs operationelle Risikoprofil der BA". Sie habe aber zu spät, nämlich erst anlässlich der Umstellungsprobleme, darauf reagiert: "Trotz der bedeutsamen Änderungen begann die Bank erst Ende 2012 (...) einen näheren Blick auf das veränderte operationelle Risiko zu werfen." Was die Sache nicht einfacher macht: Die IT-Entwicklungsprozesse der UBIS sind laut OeNB "inadäquat", waren bis Anfang 2013 "unausgereift".

Kein Notfalltest

Sehr kritisch würdigen die Prüfer auch die Vertragsgestaltung zwischen UBIS und der Bank Austria. Die Outsourcing-Verträge sehen demnach keine Vorkehrungen für den Fall vor, dass ein Vertrag unerwartet beendet (" Exit-Strategie") wird oder der Vertragspartner Fehler begeht. Eine detaillierte Exit-Strategie mit Szenarien, wie man die IT im Notfall wieder ins Haus holen oder an Ausweichfirmen verlagern könne, wird laut Prüfbericht aber von der Aufsicht verlangt. "Bis heute wurden keine Exit-Strategien ausgearbeitet", konstatieren die Prüfer.

Mit den Verträgen der Bank Austria und ihrer Datenpartner dürfte die Aufsicht überhaupt wenig Freude haben. Die Kontrakte mit der UBIS (und mit IBM; auch mit ihr gibt es ein Joint Venture) seien hochgradig "komplex" und beinhalteten mitunter "doppeldeutige und ungenügende Definitionen". Dass manche Verträge zum Zeitpunkt der Unterschrift nicht datiert waren und in manchen Fällen nicht klar sei, wer unterschrieben hat, dürfte die Sache nicht leichter machen.

Was in der Bank Austria im IT-Ernstfall (bei einem Ausfall der Rechenzentren) passiert, ist nicht klar. Wegen der Umstellung auf Eurosig ist Wien 2012 noch keinem "business continuity test" unterzogen worden, schrieben die Vorortprüfer. Die Bank Austria nimmt zu dem Prüfbericht auf Anfrage des STANDARD nur knapp Stellung. "Das gesetzeskonforme Handeln der Bank Austria wird im Vorortprüfbericht der OeNB vom 18. 10. 2013 in allen Punkten bestätigt. Es liegt keine Gesetzesverletzung vor." Eine detaillierte Stellungnahme werde die Bank der Prüfbehörde OeNB im Dezember übergeben. (Renate Graber, DER STANDARD, 27.11.2013)