Die Oesterreichische Nationalbank (OeNB) hat nach Abschluss ihrer Vor-Ort-Prüfung einen kritischen Bericht über die IT-Systeme der Bank Austria vorgelegt. "Potenzielle und zukünftige Risiken" der UniCredit-Tochter rund um die IT seien vernachlässigt worden, wie "Der Standard" berichtete. Die Bank betont gegenüber der APA, sie habe keine Gesetze verletzt.

IT-Systeme umgestellt

Das IT-System der Bank Austria wurde im Oktober 2012 auf das UniCredit-weite System Eurosig umgestellt und das Rechenzentrum und die Daten zu einem Großteil in den UniCredit-eigenen IT-Dienstleister UBIS ausgelagert. Schon damals kam es zu Problemen. Aufgrund dieser Ausgliederungen haben sich die Prüfer gemeinsam mit der Banca d'Italia auch in Mailand und Verona umgeschaut.

Das generelle Urteil der Prüfer: Auf UniCredit-Gruppenebene seien "nicht alle Vorkehrungen" getroffen worden, um die Systeme und die Outsourcing-Risiken zu beurteilen und zu kontrollieren. Die Italiener hätten zwar Maßnahmen ergriffen, um die IT-Verwaltung zu verbessern, aber die Umsetzung werde noch "etliche Zeit brauchen". Die Bank Austria sei zwar über diverse Maßnahmen informiert, bis dato aber "nicht ausführlich in den Prozess eingebunden".

Hackerangriff

Öffentlich wirksam wurden die IT-Probleme zuletzt im Frühling, als die Bank Ziel eines Hackerangriffs wurde. Laut den Prüfern haben die Hacker die Bank-Austria-Systeme, die von der UBIS geführt werden, am 3. Mai angegriffen. Der zuständige Sicherheitschef und die Aufsichtsbehörden seien aber erst vier Tage später informiert worden. Zudem sei die Sicherheitslücke bereits seit 2012 bekannt gewesen, aber nicht geschlossen worden.

Die Umstellung auf Eurosig und die IT-Auslagerungen hatten laut den Prüfern großen Einfluss auf das operationelle Risikoprofil der Bank Austria. Diese habe aber zu spät reagiert, nämlich erst anlässlich der Umstellungsprobleme. Die IT-Entwicklungsprozesse der UBIS werden als "inadäquat" und "unausgereift" bezeichnet.

Kritisiert wird von den Prüfern auch, dass es bis heute keine "Exit-Strategien" gebe - wie von der Aufsicht verlangt. Die Outsourcing-Verträge sehen demnach keine Vorkehrungen für den Fall vor, dass ein Vertrag unerwartet beendet wird oder der Vertragspartner Fehler begeht. Die Verträge selbst werden als "hochgradig komplex" bezeichnet. Manche Verträge waren zum Zeitpunkt der Unterschrift nicht datiert, in manchen Fällen sei nicht klar, wer unterschrieben habe.

Kein Notfalltest

Auch nicht klar ist laut den Prüfern, was in der Bank Austria im IT-Ernstfall - bei einem Ausfall der Rechenzentren - passiert. Wegen der Umstellung auf Eurosig sei es 2012 zu keinem Notfalltest gekommen.

"Das gesetzeskonforme Handeln der Bank Austria wird im Vorortprüfbericht der OeNB vom 18.10.2013 in allen Punkten bestätigt. Es liegt keine Gesetzesverletzung vor", betonte die Bank Austria in einer schriftlichen Stellungnahme gegenüber der APA. Eine detaillierte Stellungnahme zu diesem Bericht wird die Bank im Dezember der Prüfbehörde OeNB übergeben. (APA, 27.11.2013)