© Reinhard Vogel

Prüfbericht
11/27/2013

Bank-Austria-IT: Herbe Kritik der Nationalbank

"Potenzielle und zukünftige Risiken" im ausgelagerten IT-System seien vernachlässigt worden.

Kritisch fällt der Bericht der Oesterreichischen Nationalbank (OeNB) über die IT-Systeme der Bank Austria aus. "Potenzielle und zukünftige Risiken" der UniCredit-Tochter seien vernachlässigt worden, zitiert der Standard aus dem Bericht nach der Vor-Ort-Prüfung.

Das IT-System der Bank Austria wurde im Oktober 2012 auf das UniCredit-weite System Eurosig umgestellt und das Rechenzentrum und die Daten zu einem Großteil in den UniCredit-eigenen IT-Dienstleister UBIS ausgelagert. Schon damals kam es zu Problemen. Aufgrund dieser Ausgliederungen haben sich die Prüfer gemeinsam mit der Banca d’Italia auch in Mailand und Verona umgeschaut.

Das generelle Urteil der Prüfer: Auf UniCredit-Gruppenebene seien "nicht alle Vorkehrungen“ getroffen worden, um die Systeme und die Outsourcing-Risiken zu beurteilen und zu kontrollieren. Die Italiener hätten zwar Maßnahmen ergriffen, um die IT-Verwaltung zu verbessern, aber die Umsetzung werde noch "etliche Zeit brauchen". Die Bank Austria sei zwar über diverse Maßnahmen informiert, bis dato aber "nicht ausführlich in den Prozess eingebunden".

Öffentlich wirksam wurden die IT-Probleme zuletzt im Frühling, als die Bank Ziel eines Hackerangriffs wurde. Laut den Prüfern haben die Hacker die Bank-Austria-Systeme, die von der UBIS geführt werden, am 3. Mai angegriffen. Der zuständige Sicherheitschef und die Aufsichtsbehörden seien aber erst vier Tage später informiert worden. Zudem sei die Sicherheitslücke bereits seit 2012 bekannt gewesen, aber nicht geschlossen worden.

Keine Exit-Strategien

Kritisiert wird von den Prüfern auch, dass es bis heute keine "Exit-Strategien" gebe - wie von der Aufsicht verlangt. Die Outsourcing-Verträge sehen demnach keine Vorkehrungen für den Fall vor, dass ein Vertrag unerwartet beendet wird oder der Vertragspartner Fehler begeht. Die Verträge selbst werden als "hochgradig komplex" bezeichnet. Manche Verträge waren zum Zeitpunkt der Unterschrift nicht datiert, in manchen Fällen sei nicht klar, wer unterschrieben habe.

Auch nicht klar ist laut den Prüfern, was in der Bank Austria im IT-Ernstfall - bei einem Ausfall der Rechenzentren - passiert. Wegen der Umstellung auf Eurosig sei es 2012 zu keinem Notfalltest gekommen.

"Es liegt keine Gesetzesverletzung vor" Bank-Austria-Stellungnahme

"Das gesetzeskonforme Handeln der Bank Austria wird im Vorortprüfbericht der OeNB vom 18.10.2013 in allen Punkten bestätigt. Es liegt keine Gesetzesverletzung vor", betont die Bank Austria in einer schriftlichen Stellungnahme. Eine detaillierte Stellungnahme zu diesem Bericht wird die Bank im Dezember der Prüfbehörde OeNB übergeben.

eine Newsletter Anmeldung Platzhalter.

Wir würden hier gerne eine Newsletter Anmeldung zeigen. Leider haben Sie uns hierfür keine Zustimmung gegeben. Wenn Sie diesen anzeigen wollen, stimmen sie bitte Piano Software Inc. zu.

Jederzeit und überall top-informiert

Uneingeschränkten Zugang zu allen digitalen Inhalten von KURIER sichern: Plus Inhalte, ePaper, Online-Magazine und mehr. Jetzt KURIER Digital-Abo testen.