von H.-R. Dohms, C. Kirchner und B. Neubacher, 30. Januar 2024
In unserem „Banken-IT“-Ticker widmen wir uns nicht nur den IT-Themen der Institute selber – sondern schauen auch, was in ihrem Umfeld (also etwa bei Atruvia, Finanz Informatik und sonstigen Dienstleistern) passiert.
Hier der Ticker von November 2023 bis Januar 2024:
–––––
Als sich brasilianische Kriminelle im November daranmachen, mit gefälschten Girocards die Konten unschuldiger Commerzbank-Kunden leerzuräumen – da eilt ausgerechnet N26 den Frankfurtern zur Hilfe. Die Neobank, muss man wissen, hat sich zu diesem Zeitpunkt gerade vom brasilianischen Markt zurückgezogen. Trotzdem verfügen die N26-Leute natürlich noch über Kontakte in das südamerikanische Land. Und so erreicht die Berliner also Mitte November der Hinweis eines brasilianischen Zahlungsdienstleisters, dass da gerade ganz komische Dinge passieren im Zusammenhang mit einer anderen deutschen Bank – der Commerzbank. Die N26-Leute tun, was zu tun ist. Und warnen (ein auf Arbeitsebene üblicher Vorgang) die Kolleginnen und Kollegen in Frankfurt. Der Rest der Geschichte? Ist in groben Umrissen bekannt: Trotz des Hinweises aus Berlin kann der „Kontenraub“ bei der Coba erst gestoppt werden, als der Schaden bereits riesig ist. Mehr als 30 Mio. Euro, so besagen es Informationen von Finanz-Szene, werden am Ende fehlen. Und was ebenfalls schnell klar wird: Die Schuld für das Desaster liegt offenbar nicht bei der Commerzbank selbst – sondern bei einem ihrer Dienstleister, dem Kölner Bank-Verlag, der für hiesige Privatbanken die Girocard-Transaktionen abwickelt. Ein missglücktes Software-Update, so heißt es, habe jene Sicherheitslücke entstehen lassen, die sich die Cyber-Kriminellen letztlich zunutze machten. In der Branche ist man entsetzt, bei der Commerzbank stinksauer. Und hört man sich um in Finanzkreisen, dann wird klar, dass es ein „Weiter so“ kaum geben wird. Der Bank-Verlag gehört schließlich dem BdB. Und damit den privaten Banken selbst. Folge: Hinter den Kulissen geht es dieser Tage nicht mehr nur um die Frage, wie das Malheur passieren konnte und wer am Ende für die mehr als 30 Mio. Euro aufkommen wird. Sondern: Es geht schlichtweg um die Frage, ob der Bank-Verlag den Vorgang überleben wird. Unsere große Recherche: FS Premium
––––––––––––––––––––
In der „Bankinformation“, also in der Fachpostille des genossenschaftlichen Bankensektors, gab es Mitte der 1970er-Jahre (so lernten wir dieser Tage) eine Rubrik, in der ein Primärbanker regelmäßig den Verbund aufs Korn nahm – und zwar, man höre und staune, in Reimform. Dass dabei gelegentlich fast Erhardt’sche Höhen erreicht wurden, belegt das folgende, der Ausgabe „10/1975“ entstammende Snippet:
–––
Ein Bankdirektor namens H. verbucht bei der „Fiducia“ seit Jahren seine Umsatzposten. Nicht unerheblich seine Kosten.
Er fragt besorgt Kollegen P. – denn der bucht bei der GAD –, was in Westfalen man bezahlt. „Viel weniger“, hat P. geprahlt.
Nun ist an dieser Stelle vorwegzuschicken, dass wir hier, was die Kunst der gebundenen Sprache angeht, uns mitnichten in den Sphären eines Heinz Erhardt („Noch’n Gedicht“) bewegen – sondern eher die Niederungen eines Karl-Heinz Rummenigge („Ich danke Dir, ich danke Dir sehr“) besiedeln. Zudem gilt es zu beachten: Die Fiducia und die GAD mit ihren höchst einladenden Endlauten sind bekanntlich verschwunden zugunsten der Atruvia mit ihrer kiliusbäumlergleichen Doppelspitze aus Martin Beyer und Ulrich Coenen. Trotz dieser Einschränkungen kam diese Woche indes unvermittelt die Muse über uns, und so sahen wir den Füllfederhalter zu Papier bringen:
Ist „Innovation Day“ beim Coenen, beginnt der Volksbank-Chef zu stöhnen. Ruft dann noch Beyer laut: „KI!“, wird nochmals teurer die IT (konkret: Agree). Da hilft kein Grummeln, keine Klage: Rauf geht’s mit der IT-Umlage!
Und, äh, um wie viel steigt sie jetzt genau, die überwiegend von der Primärebene zu entrichtende IT-Umlage für die Atruvia, also für den zentralen IT-Dienstleister des Genosektors? Das, liebe Volksbankerinnen und Volksbanker, erfahren Sie heute Morgen hier: FS Premium
Auch BMW Bank wechselt Core-Banking-Anbieter – geht aber nicht zu Atruvia
Konto-Eröffnung via eID: Warum der „PIN-Rücksetzdienst“ vielleicht doch bleibt
Die Bafin gegen die Investitionsbank Berlin. Die Bafin gegen die Landwirtschaftliche Rentenbank. Und erst diese Woche wieder – die Bafin gegen die L-Bank. Keine Frage: Die Finanzaufsicht hat die Förderbanken momentan ganz besonders auf dem Kieker. Wozu passt, dass nach exklusiven Finanz-Szene-Informationen die nächste Sonderprüfung kurz bevorsteht. Lesen Sie hier, um welches große Institut es diesmal geht und was die Bafin in Bezug auf die Förderbanken eigentlich so fuchsig macht: FS Premium
Zwei der größten Player im hiesigen Retailbanking – nämlich die Sparkassen und die ING Diba – machen mobil gegen die Abschaffung des „PIN-Rücksetzdienstes“ für den Online-Ausweis, berichtet die „BÖZ“ (Paywall). Hintergrund: Insbesondere die Sparkassen gingen bislang davon aus, dass sich die Kontoeröffnung via eID-Verfahren früher oder später als Alternative zum heute gängigen Video-Ident-Verfahren etablieren wird. Der „PIN-Rücksetzdienst“ (mit dem die Bürger die PIN für ihre eID-Funktion digital aktivieren konnten) galt dabei als entscheidender Hebel, um dem bislang kaum genutzten Online-Ausweis zum Durchbruch zu verhelfen. Zum Jahreswechsel hat das Innenministerium den Dienst allerdings überraschend abgeschaltet – offenbar aus Kostengründen. Laut „Börsen-Zeitung“ fordern der DSGV und die ING Diba die Bundesregierung nun in einem gemeinsamen Schreiben auf, den „PIN-Rücksetzdienst“ zumindest so lange weiterzuführen, bis eine neue Lösung gefunden sei.
Bezogen auf den deutschen Bankenmarkt ist ja immer von zwei zentralen IT-Dienstleistern die Rede. Nämlich von der Finanz Informatik für die Sparkassen. Und von der Atruvia für die Genossen. Wenn man so will, gibt es allerdings noch einen dritten. Nämlich Mambu für die Fintech-Banken. Schließlich setzen praktisch alle hiesigen Challenger (N26, Solarisbank, Raisin Bank, C24 Bank) bei ihrer Kern-IT auf den Berliner Cloud-Banking-Spezialisten – wenn auch in stark unterschiedlichem Umfang und selbstverständlich lange nicht so allumfassend, wie das in den beiden Verbünden der Fall ist. Jedenfalls: Auch wenn Deutschland für Mambu nie ein Kernmarkt war, so trugen die hierzulande ergatterten Neobank-Mandate trotzdem dazu bei, die Saga vom heimlichen deutschen Fintech-Champion zu nähren. Und so verwunderte auch nicht, dass sich Mambu im Dezember 2021 nicht nur ein Funding über 235 Mio. Euro sicherte – sondern das auch noch zu einer gigantischen Bewertung von rund 5 Mrd. Euro. Das „Handelsblatt“ schrieb damals unter Berufung auf interne Unterlagen, die Taxierung beruhe „auf einem prognostizierten Umsatz von 165 Mio. US-Dollar basierend auf Aufträgen für das Jahr 2022“. Was einerseits nicht unplausibel klang. Andererseits aber doch ambitioniert. Schließlich war Mambu im Jahr 2020 (siehe hier) gerade mal auf Erträge von rund 31 Mio. Euro gekommen. Und so stehen nun also seit mittlerweile 24 Monaten all diese sehr, sehr großen Zahlen im Raum. Doch niemand weiß, wie die Lage wirklich ist. Hier der Versuch, die Wissenslücke zumindest halbwegs zu füllen – bitte sehr: FS Premium
Der Kontenraub bei der Commerzbank (siehe unseren Scoop hier) zieht erste Konsequenzen für den Bank-Verlag nach sich – also für jenen Dienstleister, der die Commerzbank und andere Banken hierzulande bei der Abwicklung ihrer Girocard-Transaktionen unterstützt. Bei einer Veranstaltung des „Handelsblatts“ stellte Commerzbank-COO Jörg Oliveri del Castillo-Schulz die BdB-Tochter am Mittwoch erstaunlich deutlich an den Pranger. Laut dem „HB“-Artikel (Paywall) sagte der Manager: „Der Dienstleister hat bestimmte Dinge so gemacht, die dazu geführt haben, dass wir genau diesen Vorfall hatten.“ Und er wurde sogar noch konkreter: Verantwortlich für den Fehler sei ein Software-Update gewesen – ein Hinweis, der möglicherweise auf eine gewisse Fahrlässigkeit bei dem IT-Dienstleister schließen lassen könnte.
Weiter sagte Oliveri, dass die Commerzbank den Betrugsfall nun „im Detail“ aufarbeiten werde – eine Formulierung, die für den Bank-Verlag weiteres Ungemach verheißen könnte: Zum einen, weil es um die Frage geht, wer für den entstandenen Schanden in mutmaßlich zweistelliger Millionenhöhe aufkommen wird. Und zum anderen natürlich auch, weil sich die Frage stellen wird, ob die zweitgrößte deutsche Privatbank in Zukunft überhaupt noch die Services des Bank-Verlags in Anspruch nehmen will. Schließlich sagte Oliveri del Castillo-Schulz auch, der Vorfall habe „sicherlich auch Auswirkungen, wie wir in Zukunft mit unseren Partnern und Dienstleistern zusammenarbeiten“. Der Bank-Verlag jedenfalls hat laut einem Sprecher bereits eine WP-Gesellschaft „mit der umfassenden forensischen Analyse des Vorfalls“ beauftragt.
Die deutschen Sparkassen dürften in diesem Jahr so viele Mobil-Kunden hinzugewinnen wie nie zuvor. Nach Angaben von Andreas Schelling, dem Chef des verbundeigenen IT-Dienstleisters Finanz Informatik, kam die Sparkassen-App per Ende November auf 16,1 Mio. aktive Nutzer („aktiv“ definiert als „mindestens einmal monatlich in der App“) – verglichen mit 13,9 Mio. Nutzern per Ende letzten Jahres. Damit haben die Sparkassen nach dem etwas schwächeren Vorjahr („nur“ 1,6 Millionen neue App-Nutzer) in diesem Jahr wieder deutlich zugelegt und liegen auf Kurs, das vor einiger Zeit formulierte Langfrist-Ziel zu erreichen. Dieses lautet: 23 Mio. App-Nutzer bis Ende 2027.
Die Übernahmen im IT-Umfeld von Banken und Sparkassen häufen sich bekanntermaßen. Siehe etwa die Übernahme der SKS Group durch Accenture. Der IFB Gruppe durch Ernst & Young. Oder der Okadis Consulting durch SAP Fioneer (verwiesen sei auf das Stück –> Achtung, liebe Banker! Die Konsolidierung unter Ihren IT-Beratern nimmt Fahrt auf). In aller Regel geht es bei diesen Deals um mittelständische Unternehmen mit einer dreistelligen Zahl an Mitarbeitern und einem Umsatz irgendwo im zweistelligen Millionenbereich. Und das alles bei Kaufpreisen … – äh, ja, was ist eigentlich mit den Preisen? Darüber schweigen sich die Beteiligten normalerweise eisern aus.
So war das auch, als die Landesbank Baden-Württemberg im Frühjahr ihren hauseigenen Software-Dienstleister Targens an die ebenfalls im Schwäbischen beheimatete GFT Technologies weiterreichte. Veröffentlicht wurden lediglich eine Umsatzgröße (nämlich 44 Mio. Euro im Jahr 2021) sowie der Hinweis, dass Targens „mit rund 300 Expert*innen“ an insgesamt vier Standorten unterwegs sei. Der Kaufpreis? Blieb zunächst unter Verschluss, lässt sich aber dem H1-Bericht der börsennotierten GFT Technologies entnehmen. Demnach wurden exakt 54,28 Mio. Euro entrichtet, wobei rund zwei Drittel auf den Firmenwert und ein Drittel auf Kundenbeziehungen, Software und Markenrechte entfielen.
Interessanterweise bleiben sowohl die Beschäftigtenzahl als auch der Umsatz im offiziellen H1-Bericht hinter den Zahlen aus der Pressemitteilung zurück. So ist bezogen auf den Zeitraum von April bis Juni 2023 von durchschnittlich nur noch 262 Mitarbeiterinnen und Mitarbeitern die Rede; der Umsatz wird für die Dreimonats-Periode derweil mit 10,2 Mio. Euro angegeben (was – jedenfalls in der Theorie – einen annualisierten Wert von knapp 41 Mio. Euro ergäbe). Sehr grob kalkuliert hat die LBBW also für jede Million Umsatz rund 1,30 Mio. Euro Kaufpreis kassiert. Bzw. für jeden Mitarbeiter rund 200.000 Euro.
Nach dem Boom: Wie Leasing-Anbieter ihr Angebot erweitern und automatisieren
Gut vier Jahre ist das mittlerweile her. Rund 2.000 Kunden der Oldenburgischen Landesbank war damals das Konto ausgeraubt worden. Natürlich nicht auf klassischem Wege. Sondern mittels Kartenbetrugs. „Es handelt sich um einen Betrugsvorfall aus der organisierten Cyber-Kriminalität mit gefälschten Karten und Terminals, der aus Brasilien heraus begangen wurde“, hieß es damals vonseiten der OLB. Und diesmal nun? Hat sich Anfang der Woche ein Fall zugetragen, der frappierend an jenen aus dem Spätsommer 2019 erinnert. Denn 1.) Wieder wurde hiesigen Bankkunden das Konto ausgeraubt. 2.) Wieder vermuten Insider die Täter in Brasilien. 3.) Wieder kamen mutmaßlich gefälschte Karten zum Einsatz. Und 4.) Wieder steht der Vorfall im Zusammenhang mit einem Sicherheitsleck beim Bank-Verlag – also jener BdB-Tochter, die die privaten Banken hierzulande beim Processing ihrer Girocard-Transaktionen unterstützt. Die Sache ist nun aber, dass es durchaus auch ein paar Unterschiede zwischen dem aktuellen Kontenraub und dem vor vier Jahren gibt. Nämlich 1.) Diesmal ist nicht die Oldenburgische Landesbank betroffen. Sondern die Commerzbank (siehe gestern Vormittag unseren Scoop –> Girocard-Betrug: Coba-Konten im großen Stil ausgeraubt). Und vor allem 2.) Wie aus Finanzkreisen verlautet, soll der Schaden diesmal viel, viel höher sein als 2019. Wie hoch genau? Wer kommt jetzt für den Schaden auf? Und wie konnte das alles schon wieder passieren? Unsere exklusive Recherche: FS Premium
Auch die Essener National-Bank wechselt zur Atruvia
Sämtliche „Banken-IT“-News aus September und Oktober 2023
Die Artikel von Finanz-Szene sind urheberrechtlich geschützt und nur für den jeweiligen Premium-Abonnenten persönlich bestimmt. Die Weitergabe – auch an Kollegen – ist nicht gestattet. Wie Sie Inhalte rechtssicher teilen können (z.B. via Pressespiegel), erfahren Sie hier.
Danke für Ihr Verständnis. Durch Ihr Abonnement sichern Sie ein Stück Journalismus!