Deep Dive

Pleiten, Pech & Pannen: Die schwere Krise der Sparkassen-IT

26. Februar 2020

Von Heinz-Roger Dohms

Die DKB ist nicht die Burg Canossa. Franz-Theo Brockhoff ist nicht Kaiser Heinrich IV. Und Arnulf Keese ist nicht Papst Gregor VII. Mit historischen Vergleich muss man also vorsichtig sein. Allerdings: Brockhoff ist Chef der Finanz Informatik, also des mächtigen IT-Dienstleisters der Spakassen – das verleiht im innerhalb der S-Finanzgruppe einen immerhin kaiserähnlichen Status. Und Keese war, bevor er Digitalchef der DKB wurde, mal Deutschland-Chef von Paypal. Das ist nicht nur phonetisch nah bei Papst, sondern angeblich auch nah an der Unfehlbarkeit. Vielleicht passt der Canossa-Vergleich also doch ganz gut!

Denn: Anfang Januar hatte eine Cyberattacke die DKB in ein tagelanges Chaos gestürzt. Der Schuldige für das Fiasko war rasch ausgemacht – Brockhoffs Finanz Informatik, die den Angriff erst nicht abgewehrt und dann nicht in den Griff bekommen hatte. Erst als eine US-Spezialfirma zu Hilfe gerufen wurde, kamen die Systeme wieder ans Laufen. Eine Blamage sondergleichen. Für die DKB. Aber vor allem für die Finanz Informatik. Es spricht daher viel dafür, das stimmt, was in der Branche kolportiert wird. Dass nämlich Brockhoff im Nachgang des Fiaskos bei Keese um Verzeihung gebeten hat. Wie vor 1000 Jahren, als der deutsche Kaiser zur Burg Canossa aufbrach, um beim Papst um Vergebung nachzusuchen.

Ob wahr oder unwahr: Dass die Story überhaupt vorstellbar ist und von keiner Seite dementiert wird – das sagt viel aus über die schwer krisenhafte Lage der Finanz Informatik („FI“). Schließlich war die erfolgreiche Attacke auf die DKB nur ein Desaster unter mehreren in den zurückliegenden Wochen. Was die Sache nun aber noch pikanter macht: Die „Pleiten, Pech und Pannen“-Serie fällt in eine Phase, in der mit steigender Intensität und angeblich auch Verzweiflung nach einem Nachfolger für den zum Jahresende ausscheidenden Brockhoff gesucht wird.

Wo ist der Mann (oder besser noch: die Frau), die diesen Job in der jetzigen Gemengelage antreten will?

Dazu muss man wissen: Die Finanz Informatik ist nicht nur ein Dienstleister. Sie ist das Herz der Sparkassen-Gruppe. Mit 5700 Mitarbeitern, 1,9 Mrd. Euro Umsatzerlösen. Und 130 Milliarden „technischen Transaktionen“, die 2018 über die Rechner und Server der FI liefen. Aufgrund seiner medialen Präsenz gilt gemeinhin ja der DSGV-Präsident als wichtigste Figur im Sparkassen-Sektor. Es gibt aber auch Leute, die sagen, in Wirklichkeit sei das der Chef der Finanz Informatik.

Die starke Stellung rührt daher, dass die S-Finanzgruppe mit ihren fast 400 Sparkassen, sechs Landesbanken, acht Bausparkassen und 17 öffentlichen Versicherern zwar einerseits stark zerklüftet ist. Es aber andererseits nur noch einen IT-Dienstleister innerhalb der Gruppe gibt, seit die Finanz Informatik sämtliche Sparkassen-Rechenzentren unter ihrer Führung vereint hat. „Das hat zur Folge, dass die ‚FI‘ inzwischen der einzige ernstzunehmend informations-technologische Kompetenzträger innerhalb des Sparkassen-Sektors ist“, sagt ein Kenner der Materie. Der Rest der Gruppe habe sich dadurch „in der Geiselhaft eines Inhouse-Monopolisten begeben“, meint ein hochrangiger Sparkässler.

Lange Zeit wurde dieser Zustand von allen Seiten stillschweigend akzeptiert. Es gab da draußen zwar beweglichere und günstigere Player als diesen aus diversen Fusionen hervorgegangenen, an diversen Standorten beheimateten, tausende Mitarbeiter zählenden sparkassen-eigenen Tanker. Aber: Dafür lieferte die Finanz Informatik verlässliche deutsche Wertarbeit.

Das Onlinebanking der Sparkassen? Nicht sophisticated, aber solide. Die Sparkasse-App? Nicht sophisticated, aber solide: Als Finanz-Szene.de im vergangenen Jahr auf Basis der Störungsmeldungen bei „Allestörungen.de“ nachvollzog, wie anfällig die deutschen Banken für IT-Ausfälle sind – da schnitten die Sparkassen erwartungsgemäß gut ab. Und als die Haspa ihre IT im vergangenen Frühjahr vom SAP-Kernbanksystem zurück auf das OS-Plus-System der Finanz Informatik migrierte – da geschah das komplett geräuschlos.

Dies freilich: War vor der jüngsten Ausfall-Serie, die im Dezember begannen – und die man nochmal ganz kurz nachzeichnen muss, um zu ermessen, wie tief sie das Selbstverständnis der Finanz Informatik erschüttert haben müssen:

  • 8. Dezember: Bei der Helaba kommt es zu einer schweren Server-Panne, von der – weil die Landesbank als Zentralinstitut etwa für die Sparkassen in Hessen und NRW agiert – auch Millionen normaler Retail-Kunden betroffen sind. Gutschriften wie Löhne, Gehälter oder Kindergeld werden nicht verbucht. Die Ankündigung der Helaba, dass Probleme rasch gelöst würden, erweist sich als Farce Auch Tage später hakt es noch an allen Ecken des Systems.
  • 6. Januar: Heftige IT-Störung bei der dwp Bank, also dem Wertpapierabwickler von Sparkassen, Volksbanken und vielen anderen Geldinstituten. Wer in Deutschland Retail-Brokerage betreibt, hat gute Chancen, an diesem Tag zu den Leidtragenden zu zählen.
  • 7. Januar: Bei der DKB geht rein gar nichts mehr, das Online-Banking streikt, die Website ist nicht zu erreichen. Gegen Mittag geht‘s los, am Abend ist der Totalausfall noch immer nicht behoben.
  • 8. Januar: Finanz-Szene.de vermeldet, dass hinter dem Blackout bei der DKB ein sogenannter DDoS-Angriff steht. IT-Experten sind verwundert. Denn eigentlich sollte eine Bank – zumal die zweitgrößte Online-Bank der Republik – für so eine Form von Attacke gerüstet sein.
  • 9./10. Januar: Die Probleme bei der DKB wollen und wollen nicht aufhören. Mal ist die Bank „on“. Dann wieder „off“. Offensichtlich ist der Cyber-Angriff noch nicht vorbei. Und offensichtlich bekommen die Verantwortlichen ihn nicht vollständig in den Griff.
  • 11. Januar: Endlich läuft bei der DKB wieder alles so, wie es bei einer Online-Bank laufen sollten. Doch plötzlich machen Gerüchte die Runde, die so lange unwidersprochen bleiben, bis sie sich schließlich zur Gewissheit verdichten: Um die DDoS-Attacke final abzuwehren, hat die DKB auf die Hilfe eines US-Security-Spezialisten namens Cloudflare zurückgreifen müssen. War der eigene IT-Dienstleister (also die „FI“-Tochter „FI-TS“) dazu nicht in der Lage?
  • Und dann, am x. Februar, auch noch die Meldung des „Handelsblatts“, dass Yomo, also der N26-Klon der Sparkassen, in seiner eigentlich angedachten Form (nämlich als komplett eigenständiges mobiles Kontoangebot) vor dem Aus steht.

Manch einem im Sparkassen-Lager kamen da sofort wieder die knackigen Aussagen in den Sinn, die Franz-Theo Brockhoff Ende 2018 in der „Börsen-Zeitung“ getätigt hatte. „Yomo wird in 2019 in den breiten Einsatz gehen“, hatte der „FI“-Chef getönt – und nebenbei noch durchblicken lassen, dass die Finanz Informatik der eigenen Software-Tochter Starfinanz das Yomo-Projekt faktisch entrissen habe. So sei die App „von den Sicherheitsexperten und Juristen der FI, was etwa Software-Engineering oder auch die allgemeinen Geschäftsbedingungen angehe, nochmals nach Strich und Faden auseinander genommen worden“, war zu lesen. Und weiter: „Auf diese Weise habe (die) FI vor dem breit angelegten Neustart jegliches Risiko ausschalten wollen.“ Und weiter: „Dies ist auch ein Stück Reengineering gewesen.“ Und weiter: Es gehe um eine „komplett überarbeitete Version“, an der sich – so Brockhoff damals – angeblich 130 von 385 Sparkassen beteiligen wollen und die schon im Februar 2019 (also wenige Wochen nach dem Interview) an den Start gehen sollte.

Stattdessen ein gutes Jahr später nun das Aus.

Kein Wunder, dass es innerhalb der Sparkassen-Gruppe immer heftiger rumort. Interne Kritiker diktieren recherchierenden Journalisten plötzlich ketzerische Fragen wie diese in den Block: „Wie kommt ein hierarchischer Monolith im digitalen Zeitalter klar?“ Oder wie diese: „Wie sollen aus dem Sparkassen-Sektor Wettbewerb und Transformation hervorgehen, wenn Innovationen durch Politik ersetzt werden?“

Der Hintergrund hierzu: Die Finanz Informatik macht zweimal jährlich einen sogenannten „Release“, was bedeutet, dass das „OS-Plus“-System (also das Kernbanksystem der Sparkassen) um neue Funktionalitäten erweitert wird. Welche Funktionalitäten das sind, darüber wird in Gremien befunden, die grob gesagt zwischen den Sparkassen und der Finanz Informatik angesiedelt sind und von denen eines allen Ernstes des Namen „Anwendungsplanungs-Ausschuss“ trägt. Die Kritiker fragen nun, ob es wirklich so ist, dass die Sparkassen über diese Gremien auf die „FI“ einwirken und diese im besten Fall zur Entwicklung innovativer Lösungen antreiben. Oder ob nicht umgekehrt die Finanz Informatik über die Gremien die Sparkassen ruhigstellt.

Tatsache jedenfalls ist, dass fast überall dort, wo man im Sparkassen-Sektor innovatives Know-how vermuten darf, der Weg zur Finanz Informatik nicht weit ist. Die Starfinanz? Ist eine 100%ige Tochter. Die „FI-TS“ und die „FI-SP“? Sind 100%ige Töchter, Das Sparkassen-Finanzportal? Wird von einem langjährigen „FI“ler geführt. Alternierende Kräfte darf man ehesten noch im Osten der Republik vermuten. Dort unterhält die Sparkasse Chemnitz eine Software-Bude namens „Axilaris“, während der Ostdeutsche Sparkassenverband mit 50% am erfolgreichen Baugeldvermittler Finmas beteiligt ist. Diesen Anteil allerdings könnte nach Finanz-Szene.de-Informationen wer übernehmen? Die Finanz Informatik. Bleibt ansonsten eigentlich nur noch der Deutsche Sparkassenverlag. Der allerdings zieht sich zunehmend aufs Payment-Thema zurück und bildet nicht wirklich ein Gegengewicht zur Finanz Informatik.

Und nun? Jemand Externes! Und am liebsten eine Frau! Das war unter manchen Sparkassen-Oberen die Wunschvorstellung für die anstehende Brockhoff-Nachfolge. Und die jüngsten Ereignisse haben die Sehnsucht nach solch einer Lösung nicht unbedingt kleiner werden lassen.

Vom Zielbild „Frau“ allerdings, so ist zu hören, haben sich die Verantwortlichen inzwischen verabschiedet. Bleibt der externe Mann. Doch auch der ist schwer zu finden. Ein Ausländer? Schwer vorstellbar. Einer von den Fintech-Jungs? Nicht wirklich, es geht hier um die Führung einer 5700-köpfigen Organisation. Vom Profil her hätte vielleicht Bernd Leukert gepasst, der langjährige SAP-Manager, der letztes Jahr bei der Deutschen Bank angeheuert hat. Aber der ist ja vom Markt. Und sonst? Ein (wildes?) Gerücht besagt, beim früheren Telekom-Chef René Obermann sei vorgefühlt worden, der aber habe sich für den Posten nicht erwärmen können. Die „FI“ teilt hierzu mit, sie kommentiere Gerüchte nicht.

Also doch wieder jemand aus der eigenen Gruppe? Der Name Joachim Schmalzl fällt, das ist der für digitale Themen zuständige DSGV-Vorstand. Aber würde der sich den Knochenjob antun? Dann wird Stefan Roesler genannt, das ist jener langjährige „FI“-Manager, der jetzt das Sparkassen-Finanzportal führt. Doch der ist noch relativ jung, was – jedenfalls nach Sparkassen-Logik – gegen ihn spricht. Spült das Ausscheiden Brockhoffs also letztlich einen seiner Vorstandskollegen an die Spitze? Als Kandidaten gelten Andreas Schelling und Detlev Klage. Wobei das intensive Bemühen um eine externe Lösung deren internes Standing nicht gerade gestärkt haben dürfte.

Bei der Finanz Informatik selbst will man von einer Krise freilich nichts wissen. Die IT-Probleme bei der Helaba? Bei der DKB? Bei der dwp? „Es handelt sich um ganz unterschiedliche Sachverhalte, die in keinem Zusammenhang zueinander stehen“, wird auf Anfrage mitgeteilt. Der Fall Yomo? Sei Sache des DSGV. Das Verhältnis zur Kundschaft und die Stellung im Markt? „Die FI und ihre Töchter sehen sich als gut aufgestellt, die Sparkassen-Finanzgruppe als leistungsfähiger IT-Dienstleister bei der weiteren Digitalisierung und den damit verbundenen Herausforderungen zu begleiten. Dafür spricht unter anderem das in den letzten Jahren von den Kunden deutlich ausgeweitete Budget, über das die Sparkassen ab 2020 in den kommenden fünf Jahren rund 250 Mio. Euro pro Jahr in die Weiterentwicklung von OSPlus investieren.“

Es gibt genügend Menschen im Sparkassen-Sektor, die das anders sehen. Und die es für alles andere als ausgemacht halten, dass die Finanz Informatik aus der jetzigen Lage gestärkt hervorgehen wird. Zumal nach Finanz-Szene.de-Informationen auch Bernd Wittkamp, der langjährige Chef der Tochter Starfinanz, intern angekündigt hat, seinen Ende des Jahres auslaufenden Vertrag nicht verlängern zu wollen. Für manche eine dicke Überraschung. Und das nächste Problem: Gesucht wird nicht mehr nur ein neuer Spitzenmanager für die Finanz Informatik. Sondern deren zwei.

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!