Finance IT Blog https://www.finance-it-blog.de Mon, 05 Dec 2022 07:25:52 +0000 de-DE hourly 1 https://wordpress.org/?v=6.1.1 https://www.finance-it-blog.de/wp-content/uploads/2022/02/logo_favicon-150x150.png Finance IT Blog https://www.finance-it-blog.de 32 32 So helfen die BAIT Banken Cyberangriffen vorzubeugen https://www.finance-it-blog.de/bait-cyberangriffe/ https://www.finance-it-blog.de/bait-cyberangriffe/#respond Mon, 05 Dec 2022 06:59:33 +0000 https://www.finance-it-blog.de/?p=4664

Mit der im August 2021 veröffentlichten Novelle der “Bankaufsichtlichen Anforderungen an die IT“ (BAIT) führte die BaFin verschärfte Regelungen für die Informationssicherheit in Finanzinstituten ein. Hintergrund ist, dass die Gefahr von Cyberangriffen auf Banken wächst.

So hat nicht zuletzt die Corona-Pandemie die Digitalisierung beschleunigt: Kundinnen und Kunden nutzen digitale Angebote und Beschäftigte arbeiten aus dem Homeoffice. Hinzu kommt die vermehrte Kooperation mit Drittanbietern. Kurzum, die potenziellen Angriffspunkte nehmen zu. So klassifiziert die BaFin Cyberrisiken konsequenterweise als einen der zentralen Risikotreiber für den deutschen Finanzmarkt. Zum gleichen Ergebnis kommt auch der Allianz Global Corporate & Specialty Report.

Gefahr von Cyberangriffen steigt weiter

Eine weitere Verschärfung erfuhr die Lage im Zuge des Krieges in der Ukraine. Bereits Anfang Februar warnte die EZB im Kontext der zunehmenden geopolitischen Spannungen vor verstärkten Cyberangriffen auf Finanzinstitute. Zur gleichen Einschätzung kommt das Bundesamt für Sicherheit in der Informationstechnik (BSI), das in Anbetracht des russischen Angriffskrieges eine erhöhte Bedrohungslage für die Informationssicherheit konstatiert. Ende Mai vermeldete die BaFin, dass es wiederholt zu Angriffen auf IT-Infrastrukturen gekommen sei.

Hohes Risiko durch Phishing- und DDoS-Attacken

In einer Lünendonk-Studie geben 97 Prozent der befragten Banken, Versicherungen und Vermögensverwaltungen an, dass sie im Falle eines Cyberangriffs von schwerwiegenden Schäden ausgehen. Gleichzeitig rechnen sieben von zehn Befragten damit, in den kommenden zwei Jahren infolge von Phishing-Attacken zum Opfer eines solchen Angriffs zu werden. 55 Prozent beurteilen das Risiko von DDoS-Angriffen (Distributed Denial of Service) als hoch.

Diesen Einschätzungen decken sich mit einer aktuellen Bitkom-Studie, die zu dem Ergebnis kommt, dass ein Großteil der Cyberangriffe mit Social Engineering (Phishing Mails und CEO Fraud) beginnt. Darüber hinaus lauern Gefahren durch DDoS-Attacken und Ransomware. Im Falle von Banken kommen verschärfend oft noch technische Schwachstellen der veralteten Legacy Systeme hinzu.

Ein weiterer kritischer Punkt betrifft das Thema Lieferketten, wie u.a. das Handelsblatt schreibt. Demnach hat sich gerade in der Pandemie deren Verwundbarkeit gezeigt und es wird eine Zunahme von Betrugsfällen innerhalb der Lieferkette befürchtet. Im Fall von Banken fällt darunter auch die Zusammenarbeit mit Dritten, wie z.B. FinTechs. Die Herausforderung besteht also darin, zuverlässig zu prüfen, ob und wie sich diese gegen Cyberangriffe schützen.

BAIT: Diese Maßnahmen lassen sich ableiten

Die neue Version der BAIT aus August 2021 weist zwar keine grundlegenden Änderungen auf, ist allerdings an einigen Stellen detailreicher geworden, was durch die daraus resultierenden Auslegungen bei Prüfungen faktisch eine Verschärfung nach sich zieht. Außerdem enthält sie drei zusätzliche Kapitel zu den Themen “Operative Informationssicherheit”, “IT-Notfallmanagement” sowie zum “Management der Beziehungen mit Zahlungsdienstnutzern”. Im Folgenden soll es nun darum gehen, welche Maßnahmen zum Schutz vor Cyberangriffen sich aus der aktuellen Novelle der BAIT ableiten lassen.

1. IT-Strategie

Definition einer IT-Strategie, die sowohl Ziele als auch Maßnahmen enthält (IT-Architektur, Abläufe, Zuständigkeiten, Notfallmanagement etc.).

2. IT-Governance

Umsetzung und Einhaltung der IT-Strategie. Weitere Anforderungen der BAIT sind die qualitativ und quantitativ angemessene Ausstattung der IT-Organisation mit Personal.

3. Informationsrisikomanagement

Einrichtung angemessener Überwachungs- und Steuerungsprozesse zur Gewährleistung von Integrität, Verfügbarkeit, Vertraulichkeit und Authentizität. Das umfasst die laufende Beobachtung, Prüfung und Bewertung von Schwachstellen.

4. Informationssicherheitsmanagement

Protokollierung von Ereignissen, Überwachung in Echtzeit, Erkennung und Analyse von sicherheitsrelevanten Ereignissen. Dazu gehört in der neuen Version der BAIT auch die Etablierung eines Sensibilisierungs- und Schulungsprogramms für die Beschäftigten.

Eine erste Einführung in das Thema Informationssicherheitsmanagement bietet das Bundesamt für Sicherheit in der Informationstechnik in seinem Leitfaden zur Basis Absicherung nach IT-Grundschutz.

5. Operative Informationssicherheit

Regelmäßige Wirksamkeitskontrollen für bereits umgesetzte Maßnahmen durch Tests und Übungen: Abweichungsanalysen, Schwachstellenscans, Penetrationstests und Simulationen von Angriffen.

6. Identitäts- und Rechtemanagement

Etablierung von Verfahren und Prozessen zur Genehmigung, Protokollierung und Kontrolle von Einrichtung, Änderung, Deaktivierung oder Löschung von IT-Berechtigungen. Zu berücksichtigen sind hier u.a. die Themen Privileged Access Management sowie Schlüsselverwaltung:

Privileged Access Management

Aktuell betreiben rund 50 Banken Softwarelösungen in einem der drei PASS-eigenen in Deutschland ansässigen Rechenzentren, d.h., auch für uns gelten alle Anforderungen, die aus der Regulatorik resultieren. Wie mein Kollege Thomas Dudaczy, Verantwortlicher für den Betrieb der PASS Rechenzentren, mir berichtet hat, rückten mit der 2021 veröffentlichten BAIT-Novelle aufgrund des neuen Kapitels „Operative Informationssicherheit“ die Ausgestaltung von Wirksamkeitskontrollen für bereits umgesetzte Informationssicherheitsmaßnahmen zunehmend in den Fokus. Diese Wirksamkeitskontrollen wie etwa Abweichungsanalysen (Gapanalysen), Schwachstellenscans, Penetrationstests und Simulationen von Angriffen sind ein wesentlicher Bestandteil eines nachhaltigen Informationssicherheitsmanagementsystems. Damit verbunden spielt auch der Umgang mit privilegierten Usern eine große Rolle. Hierbei geht es um Accounts mit erhöhter Sicherheitsfreigabe, die zur Verwaltung und Kontrolle von Systemen und Netzwerken dienen und die dementsprechend Zugriff auf kritische Informationen erlauben. Die Ergänzungen der neuen Novelle zielen darauf ab, vor vorsätzlichem, aber auch unbewusstem Missbrauch privilegierter Zugänge zu schützen. Dies ist mit einem Privileged Access Management (PAM) abbildbar, das die Zugänge der privilegierten User/innen verwaltet und deren Zugriffe protokolliert.

Schlüsselverwaltung

Ein großer Bestand an physischen und elektronischen Schlüsseln lässt sich auf Dauer nicht effizient mit Karteikarten, Schlüsselbüchern oder Excel-Tabellen verwalten. Der agentes Key Store Manager ist eine webbasierte Schlüsselverwaltung zur Dokumentation und Steuerung von Zutrittsberechtigungen. Anwender der Lösung profitieren u.a. von einer vollständigen Bestandsverwaltung für ausgegebene sowie verwahrte Schlüssel, rechte- und rollenbasierten Plausibilitätsprüfungen und von einer integrierten Mailkomponente. Für Revisionen und Prüfungen sowie das Risikomanagement stehen neben einer historisierenden Dokumentation umfangreiche Analysen und Reportings bereit.
Tipp!

7. IT-Projekte und Anwendungsentwicklung

Tests vor Produktivsetzung von neuer und geänderter Software. Hierbei müssen neben der Funktionalität auch die Parameter Sicherheit und Systemleistung berücksichtigt werden. Außerdem sind laut der BAIT Lasttests durchzuführen. Bei vielen Banken ist in diesem Kontext die Verwaltung von IDV-Anwendungen ein Thema:

Verwaltung von IDV-Anwendungen

Nach wie vor werden in vielen Banken Tabellenkalkulationsprogramme eingesetzt. Diese bergen jedoch enorm hohe Risiken in sich. Im Zuge manueller Eingaben kommt es häufig zu Fehleintragungen, zudem wird oft nicht dokumentiert, woher die Autoren von Dateien ihre Informationen beziehen – immer mehr Dateien werden daher in den Instituten als risikorelevant eingestuft. Eine revisions- und prüfungssichere Bewertung und Dokumentation von Tabellenkalkulationsdateien ermöglicht z.B. der agentes Office Process Manager.
Tipp!

8. IT-Betrieb

Erfassung und Verwaltung aller IT-Systeme inkl. deren Komponenten und Beziehungen untereinander. Sicherung von Daten, die Planung des Leistungsbedarfs von Systemen sowie die Dokumentation von Änderungen und Störungen. Ein Baustein ist hierbei die IT-Inventarisierung, die softwaregestützt schnell, einfach und übersichtlich organisiert werden kann:

IT-Inventarisierung

Häufig werden Hard- und Software sowie Verträge in Excel-Listen verwaltet. Diese werden mit steigendem Umfang jedoch sehr komplex und unübersichtlich. Zudem sind Verknüpfungen zwischen den Assets und den Benutzern in Excel nur begrenzt darstellbar. Es besteht daher erheblicher Bedarf für eine umfassende IT-Inventarsoftware zur zentralen Organisation, Verwaltung und Überwachung der IT. Das PASS System Inventory sorgt für eine einfache und übersichtliche Bestandsverwaltung.
Tipp!

9. Auslagerungen und sonstiger Fremdbezug von IT-Dienstleistungen

Etablierung einer aktiven Providersteuerung nicht nur für Auslagerungen, sondern auch für den Bezug von sonstigen IT-Fremdleistungen. Dieses Thema wird immer wichtiger, da Finanzinstitute nicht auf allen Gebieten technisches Expertenwissen und Kompetenz besitzen und weiterentwickeln. Die Konsequenz ist eine zunehmende Zahl ausgelagerter Dienstleistungen und Zulieferungen. Dadurch wird jedoch der Erfolg eines Instituts abhängig vom Funktionieren einer Kette interner und externer Prozesse und der Beherrschung aller damit verbundenen Risiken:

Die IT – und damit auch das Auslagerungsmanagement – sind mehr denn je kritische Erfolgsfaktoren für die Finanzbranche. Mehr dazu erfahren Sie im Beitrag Auslagerungsmanagement leicht gemacht: Banken & Regulatorik.

10. IT-Notfallmanagement

Einrichtung von Wiederanlauf-, Notbetriebs- und Wiederherstellungsplänen für zeitkritische Prozesse & Aktivitäten. Dazu gehört laut BAIT auch eine jährliche Prüfung der IT-Notfallpläne auf der Grundlage eines IT-Testkonzepts.

Mit dem BSI-Standard 100-4 des Bundesamtes für Sicherheit in der Informationstechnik wird ein systematischer Weg aufgezeigt, ein Notfallmanagement aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Hier geht es zum Leitfaden.

11. Management der Beziehungen mit Zahlungsdienstnutzern

Information über Risiken und Bereitstellung von Möglichkeiten zur Anpassung. Benachrichtigungen für getätigte und fehlgeschlagene Transaktionen. Einrichtung angemessener Kommunikationskanäle.

12. Kritische Infrastrukturen

Dieses Kapitel der BAIT richtet sich nur an Institute, die als kritische Infrastrukturen eingestuft werden und wird hier nicht näher beleuchtet.

BAIT – graue Theorie oder effektiver Leitfaden?

Betrachtet man die obenstehende Zusammenfassung, wird schnell deutlich, dass die BAIT keine praktischen Handlungsempfehlungen bereithalten. Vielmehr legen sie einen Rahmen für die technisch-organisatorische Ausstattung der Institute fest: Sie helfen dabei Bedarfe zu erkennen, Schutzmaßnahmen zu definieren und das Thema kontinuierlich zu bearbeiten. Damit tragen sie dazu bei, die potenziellen Angriffsflächen für Cyberangriffe zu verringern. Konsequenterweise fokussieren die BAIT in ihrer neuen Version auch verstärkt die Themen Früherkennung und Notfallmanagement. Unter dem Strich sind sie ein effektiver Leitfaden für die Ausgestaltung der IT-Sicherheit in Kreditinstituten.

IT-Governance, IT-Risikomanagement und IT-Compliance

Mit seiner GRC Suite hat PASS eine gute Grundlage für das integrierte Management von Steuerungsvorgaben, Risiken, internen wie externen Prüfungen sowie die Überwachung von KPIs geschaffen. Dabei können die Module der GRC Suite an jede Institutsgröße angepasst werden und sind erweiterbar, beispielsweise um ein Auslagerungs- und ein Vertragsregister.
Tipp!

Konkrete Handlungsempfehlungen für den Schutz vor Cyberangriffen hält unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereit. Hier sei z.B. auf  das IT-Grundschutz-Kompendium verwiesen.


Bildquelle: Shutterstock

]]>
https://www.finance-it-blog.de/bait-cyberangriffe/feed/ 0
Echtzeitüberweisung: EU-Regulatorik als Game Changer? https://www.finance-it-blog.de/echtzeitueberweisung/ https://www.finance-it-blog.de/echtzeitueberweisung/#respond Tue, 22 Nov 2022 08:42:04 +0000 https://www.finance-it-blog.de/?p=5101

Die EU-Kommission hat Ende Oktober einen Gesetzesvorschlag angenommen, wonach alle Bürger/innen und Unternehmen, die ein Konto in einem EU- oder EWR-Land unterhalten, Zugang zu Echtzeitüberweisungen in Euro erhalten sollen. Nun könnte man glauben, dass Instant Payments ein alter Hut seien – und zwar ein fünf Jahre alter. Denn bereits im November 2017 bot mit der HypoVereinsbank die erste deutsche Bank diesen Service an.

Laut dem European Payments Council stellen in Deutschland aktuell rund 1.200 Institute Echtzeitüberweisungen zur Verfügung und trotzdem hat sich in fünf Jahren Instant Payments kaum etwas bewegt. Der Standard sind nach wie vor SEPA-Überweisungen – in der EU wurden Anfang 2022 nur bei elf Prozent aller Euro-Überweisungen Sofortzahlungen genutzt. Der Grund sind ungelöste Herausforderungen rund um Echtzeitüberweisungen, die ich bereits im August 2018 in meinem Artikel „Instant Payments: Gut gedacht, schlecht gemacht?“ adressiert habe. Dazu gehören beispielsweise Lücken in der Akzeptanz und der technischen Infrastruktur, fehlende Use Cases sowie eine unattraktive Kostenstruktur – der Aufpreis für Echtzeitüberweisungen liegt zwischen einigen Cent und mehreren Euros.

Push aus Brüssel für Echtzeitüberweisungen

Der neue Gesetzesvorschlag greift einige der oben genannten Punkte auf und definiert vier Anforderungen an Instant Payments:

1. Allgemeine Verfügbarkeit

Jeder EU-Zahlungsdienstleister, der Überweisungen in Euro anbietet, soll verpflichtet werden, diese auch als Echtzeitüberweisungen anzubieten. Hintergrund ist, dass ein Drittel heute noch keine Sofortzahlungen im Portfolio hat.

Das bringt vor allem Zahlungsdienstleister in Zugzwang, deren Kernbankenlösung nicht ohne Weiteres auf eine Instant-Payments-Lösung upgegradet werden kann, wirft aber auch die Frage auf, ob es überhaupt sinnvoll ist, die aktuellen Systeme nochmals zu erweitern, indem z.B. ein neuer Konverter angebaut wird. In seinem Artikel „Zahlungsverkehr: 5 Anforderungen an eine Payment Engine“ erklärt mein Kollege Werner Traidl ausführlich, warum die aktuellen Umbrüche im Zahlungsverkehr einen neuen architektonischen Schritt erfordern – und zwar in Form einer offenen Payment Engine.

Payment Engine PASSmultiPay

Mit der Zahlungsverkehrsplattform PASSmultiPay wird der TARGET2-/Instant Payment-Zahlungsverkehr hoch performant und automatisiert abgewickelt. Sie kann über eine offene API-Architektur nahtlos in die Unternehmensabläufe eingebunden werden und deckt dabei den kompletten Zahlungsprozess ab. Der Entwicklungsplan von PASSmultiPay sieht vor, dass 2023 die neuen SWIFT-Formate und -Prozesse angeboten werden, 2024/2025 folgt der SEPA-Zahlungsverkehr.
Tipp!

2. Kosten

Für Echtzeitüberweisungen sollen Zahlungsdienstleister keine höheren Gebühren verlangen dürfen als für SEPA-Überweisungen.

3. Mehr Vertrauen in Echtzeitüberweisungen

Um Fehler und Betrugsversuche zu unterbinden, sollen Zahlungsdienstleister bei Instant Payments nachprüfen müssen, ob Kontonummer und Name des Zahlungsempfängers zusammenpassen.

4. Wirksame Überprüfung von Sanktionen

Vorgeschlagen wird ein Verfahren, bei dem die Zahlungsdienstleister ihre Kundinnen und Kunden mindestens einmal täglich mit den EU-Sanktionslisten abgleichen. Sprich Banken sollen im Zuge von Echtzeitüberweisungen schärfere Vorkehrungen gegen Geldwäsche treffen.

Anti-Geldwäsche-Software

Die Erfüllung der Auflagen und Anforderungen des Geldwäschegesetzes bzw. der EU-Anti-Geldwäsche-Richtlinie ist für jede Bank, Versicherung und zahlreiche weitere Organisationen (sog. "Verpflichtete") bindend. Für die zentrale, papierlose Bearbeitung steht mit PASS AML eine kostengünstige und performante Anti-Geldwäsche-Software zur Verfügung. Mit ihr können Transaktionen oder Kunden mit einem Bezug zu illegalen Tätigkeiten identifiziert werden.
Tipp!

Sind Echtzeitüberweisungen ein Kundenbedürfnis?

Die Deutsche Kreditwirtschaft (DK) sieht die Vorschläge der EU-Kommission kritisch:

 „Damit würde ein tiefgreifender und nicht sachgerechter Markteingriff sowohl bei Produktangeboten als auch bei etablierten Marktpreisbildungsmechanismen erfolgen. Aus Sicht der Deutschen Kreditwirtschaft ist jedoch grundsätzlich kein Marktversagen zu erkennen, welches einen regulatorischen Eingriff rechtfertigt. […] Eine gesetzgeberische Bevorzugung von Echtzeitüberweisungen zu Lasten der Standardüberweisung oder weiterer Zahlungsformen läuft einmal mehr Gefahr, Fehlanreize entgegen den tatsächlichen Kundenbedürfnissen zu setzen. Produktanforderungen sollten sich marktgetrieben entwickeln und nicht durch den Gesetzgeber vorgegeben werden.“

Auf den ersten Blick könnte man sich der DK anschließen – insbesondere, wenn man berücksichtigt, dass bereits 89 Prozent der Banken in Deutschland Echtzeitüberweisungen anbieten. Europaweit liegt die Quote laut European Payments Council erst bei 61 Prozent. Dennoch geht die Kritik der DK an der Sache vorbei und verkennt die Chancen, die darin liegen, wenn Instant Payments das „New Normal“ werden.

In den Zahlungssystemen sind viele Milliarden Euro im Umlauf – besser gesagt: gebunden. Das heißt, sie stehen nicht für den Konsum oder Investitionen zur Verfügung. Dieses Potenzial gilt es gemeinsam zu heben. Echtzeitüberweisungen verbessern die Liquidität sowie den Cashflow und kommen allen Seiten (Verbraucher/innen, Handel, Unternehmen und öffentlichen Verwaltungen) zugute. Laut des Handels- und Dienstleistungskonzerns Otto gehen aktuell nur zehn Prozent aller Zahlungen als Instant Payments ein und das liege „ziemlich genau auf Marktniveau“. Wenn die Banken die Gebühren-Handbremse bei Echtzeitüberweisungen lösen, wird dies einen ähnlich positiven Effekt haben wie die Einführung von SEPA-Zahlungen.

So sieht das auch der Handelsverband Deutschland (HDE), der die Initiative der EU-Kommission, die Akzeptanz von Echtzeitüberweisungen in der Eurozone zu beschleunigen begrüßt:

„Verbraucher und Händler erhalten mit Instant Payments eine zusätzliche Option bei der Bezahlung. Gleichzeitig können Dienstleister auf dieser Basis entsprechende Produkte gestalten, um eine schnelle und effiziente Zahlungsabwicklung in den verschiedenen Kaufsituationen zu ermöglichen.“

Banken, die heute noch nicht über die entsprechende Infrastruktur verfügen, müssen in neue Systeme und in die Entwicklung neuer Produkte investieren. Diese Kosten sind aber Investitionen in die Wettbewerbsfähigkeit der Banken selbst.

Instant Payments mit Request to Pay verknüpfen

Von Echtzeitüberweisungen profitieren wir zukünftig also alle. Neben den heute schon vorhandenen Use Cases wie z.B. P2P-Zahlungen gilt es nun, neue Use Cases zu schaffen, die einen Mehrwert für die Kundinnen und Kunden generieren. Denkbar ist beispielsweise, Instant Payments mit Request to Pay zu verknüpfen. Hierbei handelt es sich um eine der Zahlung vorgeschaltete Aufforderung, die alle Informationen zur Transaktion enthält. Der Empfangende hat dabei verschiedene Reaktionsmöglichkeiten: annehmen, später annehmen, jetzt bezahlen, später bezahlen oder ablehnen. In Kombination mit Echtzeitüberweisungen könnte so eine komfortable Option angeboten werden, Zahlungen direkt vom Bankkonto aus auszulösen – ein Skonto würde hier für zusätzliche Attraktivität sorgen. Für Banken eröffnet sich damit eine Chance, sich gegenüber den Payment-Diensten von PayPal, Google, Apple & Co. zu positionieren.


Bildquelle: Shutterstock

]]>
https://www.finance-it-blog.de/echtzeitueberweisung/feed/ 0
Wie gestaltet die Versicherungswelt die Zukunft? https://www.finance-it-blog.de/wie-gestaltet-die-versicherungswelt-die-zukunft/ https://www.finance-it-blog.de/wie-gestaltet-die-versicherungswelt-die-zukunft/#respond Fri, 23 Sep 2022 05:33:28 +0000 https://www.finance-it-blog.de/?p=4965

Nächste Woche ist es endlich so weit: Der Partnerkongress der Versicherungsforen Leipzig geht in seine nächste Runde. Hier diskutieren rund 250 Teilnehmerinnen und Teilnehmer aus der Versicherungswelt die Zukunft der Branche. Meine Erwartungen sind hoch – vor allem zu folgenden Themen erhoffe ich mir neue Impulse und Denkanstöße:

Künstliche Intelligenz

Bereits seit Jahren beschäftige ich mich intensiv mit künstlicher Intelligenz (KI) und deren Anwendung im Hinblick auf eine optimierte Beratung. Die Nutzung der richtigen Daten ist dafür unumgänglich. Aus meiner Sicht sind Chatbots gepaart mit KI, also „Artificial Co-worker“, gerade für den Produktvertrieb und für den Follow-the-Sun-Support eine interessante Option: Sie arbeiten 24 Stunden ohne Pause und sind auch bei Reklamationen sowie wiederkehrenden Fragen nicht aus der Ruhe zu bringen – sprich, immer sachlich und hilfsbereit.

In diesem Kontext finde ich vor allem spannend, welche Start-ups sich dieses Jahr um den Rockstar Award battlen werden: Wird es innovative Präsentationen geben, die sich mit der Analyse und Interpretation sowie der Auswertung enormer Datenmengen (Texte, Bilder und Metadaten) mittels KI beschäftigen?

Wird der Datenschatz gehoben?

Bisher ziehen erst wenige Versicherer Wettbewerbsvorteile aus Daten. Dabei können sie helfen, Risiken angemessen zu erfassen, zu bewerten und zu managen, neue Lösungen und Produkte zu entwerfen sowie Services mit Mehrwert zu entwickeln. Mich interessiert, wie weit Versicherer und FinTechs bei diesem Thema zukünftig gehen und ob Kundinnen und Kunden am Ende mehr Vor- als Nachteile durch eine solche Entwicklung haben werden.

Cyberangriffe als wachsende Herausforderung

Die Zahl erfasster Cyberstraftaten hat im vergangenen Jahr einen neuen Höchstwert erreicht. Laut dem Bundeslagebild Cybercrime 2021 des Bundeskriminalamtes wurden zuletzt 146.363 Delikte registriert, was einem Anstieg um mehr als zwölf Prozent gegenüber dem Vorjahr entspricht. Ganz zu schweigen von der bekanntermaßen hohen Dunkelziffer in diesem Bereich. Die Bedrohungsszenarien sind dabei vielfältig: Sie reichen von Lösegeld-Trojanern, bei denen die Daten eines Unternehmens verschlüsselt werden, über Cryptojacking bis hin zu DDoS-Angriffen. Fakt ist, mit der zunehmenden Digitalisierung steigt die Gefahr von Cyberangriffen – Unternehmen müssen sich davor schützen und sich versichern.

Nächsten Dienstag fällt der Startschuss für zwei spannende Tage in Leipzig. Ich freue mich auf interessante Gespräche und Workshops – und vielleicht kann ich danach auch alle Fragen beantworten.


Bildquelle: Shutterstock

]]>
https://www.finance-it-blog.de/wie-gestaltet-die-versicherungswelt-die-zukunft/feed/ 0
6 Gründe für Versicherer Legacy Systeme abzulösen https://www.finance-it-blog.de/versicherer-legacy-systeme/ https://www.finance-it-blog.de/versicherer-legacy-systeme/#respond Tue, 06 Sep 2022 07:00:34 +0000 https://www.finance-it-blog.de/?p=4848

Bei vielen Versicherern sind die Bestandssysteme in die Jahre gekommen. Legacy Systeme wurden nicht für die aktuelle Situation designt und passen in der Konsequenz nur notdürftig in die Arbeitsabläufe. Die jährliche IT-Umfrage des Gesamtverbandes der Versicherer (GDV) kommt so auch zu einem eindeutigen Ergebnis: Die Modernisierung der IT steht bei Versicherungen weit oben auf der Agenda – und dazu gehört auch die Ablösung von Altsystemen.

Gestützt wird diese Einschätzung auch vom Branchenkompass Insurance. Laut diesem nimmt die Ablösung von Legacy Systemen immer mehr Fahrt auf. Ausgangspunkt ist der Anspruch, neue digitale Werkzeuge und Anwendungen rasch in die Bestandssysteme einbinden zu können. So verwundert es auch kaum, dass in der Studie Financiers ridden with technical debt mehr als 80 Prozent der befragten Versicherer und Finanzdienstleister angeben, dass sie sich durch veraltete Legacy Systeme behindert fühlen. Vor allem folgende sechs Gründe sprechen aus meiner Sicht für eine zeitnahe Ablösung von Altsystemen:

1. Das Know-how schwindet

Viele der Bestandssysteme bei Versicherern sind Individualentwicklungen, die schon seit Jahren zum Einsatz kommen. Ob durch Arbeitsplatzwechsel oder Renteneintritt – fast alle der ursprünglichen Entwicklerinnen und Entwickler dürften das Unternehmen mittlerweile verlassen haben. Was also tun, wenn neue Anforderungen auftauchen? Zumal nicht nur die Legacy Systeme selbst veraltet sind, sondern auch die Programmiersprachen, in denen sie geschrieben wurden. So dürfte es sich z.B. schwierig gestalten, eine/n erfahrene/n COBOL-Entwickler/in zu finden. Verschärft wird die Situation dadurch, dass die Architektur der Legacy Systeme oft nur noch schwer nachvollziehbar ist. Und selbst, wenn ein Dienstleister zur Verfügung steht – ein Vendor Lock-in ist in diesem Fall quasi garantiert.

2. Die technischen Schulden wachsen

Das organische Wachstum von Legacy Systemen hat zur Folge, dass sie zunehmend schlechter wartbar werden. Es entstehen technische Schulden, die den Umstieg auf ein modernes Bestandssystem zwar immer notwendiger machen, ihn aber gleichzeitig auch mehr und mehr erschweren.

3. Geschäftsprozesse werden ausgebremst

Automatisierte Prozesse sorgen dafür, dass das Fehlerpotenzial eingedämmt wird und sich Beschäftigte auf ihre Kernaufgaben konzentrieren können. Sollen solche Verfahren eingeführt werden, stoßen Legacy Systeme aufgrund ihres hohen Komplexitätsgrades recht schnell an ihre Grenzen. Dabei wird der Einsatz von Robotern und Künstlicher Intelligenz für Versicherer zunehmend zum kritischen Erfolgsfaktor. Es besteht ein direkter Zusammenhang zwischen dem Automatisierungsgrad von Geschäftsprozessen und der Umsatzrendite. Darüber hinaus fällt es Mitarbeitenden in der Regel leichter, moderne Anwendungen zu bedienen, als sich in komplexen Altsystemen zurechtzufinden.

4. Altsysteme fressen das Budget auf

Der Einsatz von Legacy Systemen verschlingt bei vielen Versicherern einen Großteil des IT-Budgets – und aufgrund veralteter Technologie steigen die Kosten auch kontinuierlich weiter. Nicht zuletzt, weil es spezielle Fachkenntnisse erfordert, um diese Altsysteme aufrechtzuerhalten.

5. Die Digitalisierung stottert

Will man mit veralteten IT-Infrastrukturen Innovationen umsetzen, gerät man recht schnell an die Grenzen des Machbaren, denn Legacy Systeme sind nur wenig flexibel und somit echte Innovationsbremsen. Das ist ein Blocker für die Integration neuer Kommunikationsstandards oder die Nutzung neuer Datenspeichertechnologien. Damit wird es für Versicherer schwierig, ein digitales Kundenerlebnis – wie z.B. eine medienbruchfreie Customer Journey über End-to-End-Prozessketten – zu schaffen. Zusätzlich lassen sich Altsysteme nicht in die Cloud verlagern.

6. Die Gefahr von Cyberangriffen und Datenschutzverstößen steigt

Cyberkriminalität hat zuletzt Platz eins der häufigsten Verbrechen gegenüber Unternehmen erreicht. Gleichzeitig geben in einer aktuellen Lünendonk-Studie 97 Prozent der befragten Versicherungen, Banken und Vermögensverwaltungen an, dass sie im Falle eines Cyberangriffs von schwerwiegenden Schäden ausgehen. Gerade Legacy Systeme weisen immer wieder erhebliche Sicherheitsprobleme auf: entweder durch die bereits erwähnten technischen Schulden oder durch den in vielen Fällen schon seit Jahren abgelaufenen Herstellersupport und dementsprechend fehlenden Sicherheitsupdates. Darüber hinaus führt auch das Thema DSGVO immer mehr zu Problemen – in Legacy Systemen ist nicht berücksichtigt, dass Daten einfach, schnell und direkt gefunden und extrahiert oder gelöscht werden können.

Komplexität ist Bremsklotz für die Ablösung von Legacy Systemen

Wollen Versicherer konkurrenzfähig bleiben und zukunftssicher arbeiten, ist die Ablösung von Legacy Systemen unausweichlich. Im Branchenvergleich stehen sie mit ihren Aktivitäten hier bisher eher noch im hinteren Drittel. Nicht zuletzt, weil eine Umstellung von Bestandssystemen meist mit viel Aufwand und Risiko verbunden ist. Aber Fakt ist: Die Kosten für die Wartung und Pflege von Altsystemen werden immer höher, gleichzeitig nimmt die Leistungsfähigkeit ab, während parallel dazu die Anforderungen an IT-Systeme wachsen.

Wie Versicherer Legacy Systeme erfolgreich ablösen können, beleuchte ich in meinem nächsten Beitrag hier auf dem Finance IT Blog.


Bildquelle: Shutterstock

]]>
https://www.finance-it-blog.de/versicherer-legacy-systeme/feed/ 0
Zahlungsverkehr: 5 Anforderungen an eine Payment Engine https://www.finance-it-blog.de/sechs-anforderungen-an-eine-payment-engine-der-zukunft/ https://www.finance-it-blog.de/sechs-anforderungen-an-eine-payment-engine-der-zukunft/#respond Mon, 01 Aug 2022 06:00:09 +0000 https://beta.finance-it-blog.de/sechs-anforderungen-an-eine-payment-engine-der-zukunft/

Der Zahlungsverkehr wird immer wettbewerbsintensiver, komplexer und globaler. Wir erkennen, dass FinTech-Kooperationen mit Banken durch kluges kombinieren von Bankdienstleistung und Zahlungsverkehr Produkte erschaffen, die weit in die Wertschöpfungsketten von Banken hineinreichen. Die heutigen Marktplayer – darunter die Großbanken sowie der genossenschaftliche und Sparkassenverband – bekommen starke Konkurrenz. Die GAFAM inspirieren mit ihren Produkten (z.B. PayPal, Apple Pay, Google Pay) auch andere IT-Player in das Thema Zahlungsverkehr einzusteigen. Blockchain und Kryptowährungen erfordern neue, innovative, performante und aus Sicht IT Security sichere Paymentlösungen zu entwickeln.  

Was bedeutet dies für den Endkunden?

Für den Endverbraucher bieten sich durch die Umbrüche im Zahlungsverkehr in jedem Fall eine Menge Vorteile. Er kann sich flexibler und selbstbestimmter aussuchen, mit wem, wie und wann Zahlungen mit welcher Währung durchgeführt werden. Beim Bezahlen kann er die Ware auf Raten oder erst in X Tagen begleichen. Wenn er will, kann er sogar bereits geleistete Zahlungen nachträglich finanzieren, um schnell Liquidität zu gewinnen. Die EZB und die zentralen Banken reagieren darauf mit eigenen Initiativen u.a. TARGET2 (T2), PSD2 und PEPS-I.

Die Hälfte der Zahlungen in der Eurozone erfolgt über Karten oder E-Geld (PayPal etc.). Blendet man den B2B-Zahlungsverkehr aus, basiert die Hälfte der Zahlungen nicht auf einheitlichen europäischen oder internationalen Zahlungssystemen, sondern auf einer Vielzahl nationaler und internationaler Systeme. Für die andere Hälfte der Zahlungen ist ISO20022 die Zukunft. Überweisungen und Lastschriften machen knapp die Hälfte der insgesamt 101,6 Milliarden bargeldlosen Zahlungen (Stand: 2020) aus, die jährlich in der Eurozone erfolgen.

Zahlungsverkehr im Umbruch

Am 22. Juni 2015 hat die Europäische Zentralbank (EZB) den Startschuss für die Markteinführung von TARGET2 im Zahlungsverkehr gegeben – eine Initiative, die auf Basis der in 2006 gestarteten TARGET2-Securities (T2S) beruht. Die EZB möchte damit sowohl für den Wertpapierbereich als auch für den Zahlungsverkehr eine einheitliche Plattform mit einheitlichen Infrastrukturkomponenten schaffen.

Das Zahlungssystem der Zentralbanken des Euroraumes, TARGET2, wird in diesem Jahr durch T2 abgelöst. Dabei werden aus technischer Sicht alle in der TARGET2-Plattform genutzten MT-Nachrichten durch ihre MX-Äquivalente (ISO-20022-konform) ersetzt.

Gleichzeitig wird SWIFT, der Betreiber des Telekommunikationsnetzes SWIFTnet, den auf den Zahlungsverkehr bezogenen Nachrichtenaustausch zwischen Banken im Zeitraum November 2022 bis November 2025 auf den ISO-20022-Standard umstellen. Das bedeutet eine dreijährige Koexistenz-Phase für die parallele Verarbeitung der bisherigen MT- und der neuen ISO 20022-Nachrichten im SWIFT-System. 

Payment muss genau heute neu gedacht werden

Bereits bei der Umsetzung von SEPA 2014 stellte sich für die Anbieter von Payment-Systemen die Frage, ob bestehende Module um neue Anforderungen und Formate erweitert werden oder ob man die Chance nutzen sollte, Zahlungsverkehr neu zu konzipieren. Viele haben sich damals dafür entschieden, auf den alten DTA-Formaten aufzusetzen und die SEPA-Änderungen zu implementieren. Heute muss man mit den Konsequenzen leben. Bei den jährlichen Anpassungen der SEPA Rule Books stoßen Business-Analysten und Entwickler aufgrund der historischen Architektur auf größere Herausforderungen. Existierende Prozesse mussten verbogen werden. Das Ende vom Lied: Wir sitzen mit dem Zahlungsverkehr in der Legacy-Falle.

Nun stellte sich auch für PASS wieder die Frage, ob man einen neuen architektonischen Schritt wagen soll oder die aktuellen Systeme für den Zahlungsverkehr nochmals erweitert. Zum Beispiel wieder einen neuen Konverter anbauen, das wäre doch der einfachste Weg! Wir haben hierzu „Nein“ gesagt und die Chance ergriffen, eine neue Payment Engine zu entwickeln. Diese folgt dem Grundsatz unserer Full Open Banking Architecture und zeichnet sich somit durch radikale Offenheit auf allen Ebenen aus. 

Was muss eine zukunftsorientierte Payment Engine mitbringen?

1. Open Platform

Eine Payment Engine muss über die SWIFT-, TARGET2-, SEPA-Bereiche sowie Instant Payment einheitliche Prozesse – validieren, disponieren, AML-Check und buchen – anbieten. Die STP-Rate sollte durch kluge und vernetzte einzelne Bestandteile die Verarbeitung von Zahlungsdateien kompromisslos automatisieren.

Außerdem sollte eine Payment Engine eine offene Architektur gegenüber zentralen und dezentralen Core-Banking-Systemen besitzen sowie „stand alone“ unabhängig vom genutzten Core-Banking-System oder anderen Drittsystemen betrieben werden können. Durch standardisierte Schnittstellen kann die Bank schnell und kostengünstig neue Partner, Corporates und FinTechs anbinden. Insofern die Bank es in ihre Plattformstrategie mit aufnimmt, ist eine Möglichkeit des Whitelabelings von hoher Bedeutung.

2. Performance, Performance und wieder Performance

Eine Payment Engine sollte auf die Abwicklung von hohem Volumen ausgerichtet sein. Zunehmend stellen wir fest, dass mittelständische Banken durch Kooperationen mit FinTechs vor der Herausforderung stehen, Massenzahlungen abzuwickeln. Dafür muss das System ausgerichtet sein. Vergessen wird meist, dass sich die Nutzungsart der Abwicklung verändert hat. Der Trend wechselt zunehmend von Sammlern auf Einzeltransaktionen (PAIN001 sowie auf RESTful API Calls). Es sind weniger die großen PAIN001-Nachrichten, die als Sammler verarbeitet werden, sondern viele nicht planbare Einzeltransaktionen. Diese müssen mit mehreren Threads vom System abgearbeitet werden.

3. Verfügbarkeit

Eine Payment Engine muss 24/7 und 365 Tage im Jahr Zahlungen prozessieren und bestätigen können. Insbesondere für Banken, die einen zeitlich längeren Tagesabschluss haben, bedeutet dies neune innovative Lösungen. Im Bereich der Instant-Zahlungen gibt es klare Performance-Vorgaben: Eine Zahlungstransaktion muss in Echtzeit (max. zehn Sekunden) abgewickelt werden, d.h. für den Endkunden, dass er spätestens nach zehn Sekunden eine von ihm ausgelöste Transaktion bei dem Empfänger auf dem Konto sichtbar ist und gleichzeitig sein Saldo auf dem Konto aktualisiert wird.  

4. Automatisierte Tests

Aufgrund der hohen Änderungsdynamik und der Komplexität muss das Thema automatisierte Integrationstests in den Blickpunkt rücken. Das Unit-Tests wichtig sind, steht außer Frage. Aber eine Payment Engine muss nachvollziehbare automatisierte Integrationstests mitbringen. Ziel ist es, die Kunden (u.a. Banken und deren Mitarbeiter) stark zu entlasten und die Tests auf die in ihrem Haus vorhandenen Spezifika abzustellen.

5. Open Product / Open Service

Die Anforderungen, die Partner und FinTechs an Banken stellen, gehen über den reinen Abwickler hinaus. Sie möchten verschiedene Produkte des Zahlungsverkehrs von einer Bank erhalten. Partner und FinTechs suchen nach Möglichkeiten, in eine stärkere Kommunikation einzutreten. Die Payment Engine muss einen Baukasten an Zahlungsoptionen beinhalten, aus dem sich das FinTech oder der Partner seine Produkte selbst zusammenstellen kann. Darüber hinaus muss er leicht eigene Produkte sowie Prozesse ergänzen können. Der Produktservice muss von der Bank mit SLAs und KPIs auf einer digitalen Plattform angeboten werden. Wir nehmen verstärkt den Wunsch wahr, dass die Bearbeitung von Aufgaben, die originär in der Verantwortung der Bank lagen, nun von Partnern erledigt werden. Deshalb muss eine Payment Engine neben dem Produkt-Builder auch ein Selfservice-Portal für Partner anbieten.

Payment Engine PASSmultiPay

Mit der Einführung von T2 im November wird PASS dem Markt eine komplett neuentwickelte Payment Engine präsentieren: PASSmultiPay. Mit der Zahlungsverkehrsplattform wird der TARGET2-/Instant Payment – und zukünftig SWIFT/SEPA-Zahlungsverkehr hoch performant und automatisiert abgewickelt. Sie kann über eine offene API-Architektur nahtlos in die Unternehmensabläufe eingebunden werden und wickelt den kompletten Zahlungsprozess ab. Bereits im September 2022 wird ein erster Kunde das Thema Instant mit der Payment Engine abdecken. Der Entwicklungsplan von PASSmultiPay sieht vor, dass 2023 die neuen SWIFT-Formate und -Prozesse angeboten werden, 2024/2025 folgt der SEPA-Zahlungsverkehr.
Tipp!

Zahlungsverkehr – immer auf dem aktuellen Stand

Der Artikel „Zahlungsverkehr: 5 Anforderungen an eine Payment Engine der Zukunft“ wurde am 15. April 2020 erstmalig veröffentlicht und am 01. August 2022 von Werner Traidl umfangreich aktualisiert.


Bild: Shutterstock

]]>
https://www.finance-it-blog.de/sechs-anforderungen-an-eine-payment-engine-der-zukunft/feed/ 0
Sammelanderkonto: Mehr Sicherheit durch einen KYC-Check https://www.finance-it-blog.de/sammelanderkonto-kyc/ https://www.finance-it-blog.de/sammelanderkonto-kyc/#respond Wed, 06 Apr 2022 07:46:21 +0000 https://beta.finance-it-blog.de/?p=3007

Geldwäsche-Bekämpfung: Anwälte unter Generalverdacht“ titelte die Frankfurter Allgemeine Zeitung Anfang März. Hintergrund ist eine veränderte Risikoanalyse zur Geldwäsche, die dazu führte, dass gleich mehrere Kreditinstitute Rechtsanwältinnen und Rechtsanwälten ihre Sammelanderkonten kündigten.

Bis 2021 galt die Einschätzung, dass Transaktionen über Sammelanderkonten von Rechtsanwälten nur mit einem mäßigen Risiko behaftet sind – ergo nur eine „einfache Sorgfaltspflicht“ gemäß Geldwäschegesetz (GwG) einzuhalten ist. Angaben zu wirtschaftlich Berechtigten waren der Bank bei Sammelanderkonten nur auf Nachfrage zu übermitteln.

Ein Sammelanderkonto dient der Abwicklung von Treuhandgeschäften verschiedener Mandanten. Der wirtschaftlich Berechtigte ändert sich dabei laufend, deshalb muss bei der Kontoeröffnung kein wirtschaftlich Berechtigter angegeben werden. Beträge über 15.000 Euro für einen Mandanten dürfen allerdings nicht länger als einen Monat aufbewahrt werden. (Berufsordnung für Rechtsanwälte; § 4 Fremdgelder und andere Vermögenswerte)

Erste nationale Geldwäsche-Risikoanalyse

Die erste nationale Geldwäsche-Risikoanalyse [pdf] des Bundesministeriums der Finanzen stufte Sammelanderkonten mit einem hohen Risiko für Geldwäsche ein: „Ein besonderes Geldwäscherisiko ist mit Treuhand- und Anderkonten verbunden, insbesondere im Zusammenspiel mit Barzahlungen. Diese Praxis ist insbesondere unter Rechtsanwälten verbreitet.“

Zusätzlich heißt es mit Blick auf Immobiliengeschäfte: „Insgesamt wird das Geldwäscherisiko für den deutschen Immobiliensektor damit als hoch eingestuft. (…) Verdachtsmeldungen von (…) Rechtsanwälten liegen in diesem Bereich hingegen nur vereinzelt vor, obwohl die Berufsgruppen regelmäßig und intensiv in Transaktionen eingebunden werden.“

Untermauert wird diese Feststellung von der Financial Intelligence Unit (FIU), die den Immobiliensektor in ihrem Jahresbericht 2020 als Risikoschwerpunkt für Geldwäsche benennt, insgesamt aber nur 23 Verdachtsmeldungen von Rechtsanwältinnen und Rechtsanwälten für das Jahr verzeichnete.

Exkurs: Warum sind Immobiliengeschäfte bei der Geldwäsche so beliebt?

Der Kauf und Verkauf von Immobilien dient der dauerhaften Rückführung des Geldes in den regulären Wirtschaftskreislauf. Das oft schon vorgewaschene Geld wird langfristig in ein legales Wirtschaftsgut investiert und soll den Erwerb legal erscheinen lassen. Immobilien eignen sich aufgrund ihrer Hochpreisigkeit besonders, um die Werte vor staatlichen Eingriffen zu schützen. Damit dies gelingt, werden die Eigentumsverhältnisse verschleiert.

Strohmanngeschäft:
Eine oder mehrere Privatpersonen aus einem Nicht-EU-Land, die in keinem ersichtlichen familiären Verhältnis zum Kontoinhaber stehen, handeln im Außenverhältnis. Zahlungen für eine Immobilie werden hierbei auch oft von verschiedenen Privatpersonen aus dem EU-Ausland geleistet.

Komplexes Firmengeflecht:
Bei großvolumigen Immobiliengeschäften tritt eine juristische Person aus der EU, z.B. eine Investmentgesellschaft, als Eigentümerin auf, ohne dass die dahinterstehende natürliche Person als wirtschaftlich Berechtigter unmittelbar ersichtlich wäre. Verschleiert wird dies oft dadurch, dass an einer solchen Investmentgesellschaft mehrere weitere Firmen mit beschränkter Haftung und beschränkten Publizitätspflichten, zum Teil ohne erkennbare geschäftliche Aktivitäten, aus Nicht-EU-Ländern (Offshore) beteiligt sind.

Quelle: FIU Jahresbericht 2019

Die Reaktion der BaFin

Mit Blick auf Sammelanderkonten ist in der Geldwäsche-Risikoanalyse außerdem folgender Hinweis enthalten: „Auch Banken sollten solche Konten genau im Blick haben und sich hier nicht auf die Einhaltung der Sorgfaltspflichten durch die Angehörigen dieser Verpflichtetengruppe verlassen. Zukünftig sollten insbesondere die Aufsichtsbehörden in diesem Bereich verstärkt tätig werden und die hiermit verbundenen Risiken stets im Blick haben.“

Als Reaktion strich die BaFin im Juni 2021 in ihren Auslegungs- und Anwendungshinweisen zum GwG [pdf] die “vereinfachten Sorgfaltspflichten” für Sammelanderkonten. Laut einer Stellungnahme der BaFin [pdf] an die Bundesrechtsanwaltskammer (BRAK) bedeutet dies allerdings nicht automatisch, dass Banken keine Sammelanderkonten mehr führen dürfen – vielmehr müssten sie diese Entscheidung in eigener Verantwortung und unter individueller Risikoabwägung treffen. Auch die Anwendung „vereinfachter Sorgfaltspflichten“ sei bei Sammelanderkonten keineswegs ausgeschlossen.

Anders äußert sich die Deutsche Kreditwirtschaft (DK) gegenüber der Legal Tribute Online. Sie resümiert, „dass Rechtsanwälte nunmehr grundsätzlich gehalten seien, bei der Verwendung von Sammelanderkonten dem kontoführenden Institut die gesetzlich geforderten Angaben mitzuteilen.“ Damit würde für alle Seiten der Aufwand steigen.

Kündigung von Sammelanderkonten

Mehrere Kreditinstitute – darunter z.B. die DKB – nahmen die Streichung der “vereinfachten Sorgfaltspflichten” zum Anlass, Rechtsanwältinnen und Rechtsanwälten ihre Sammelanderkonten zu kündigen. Einige Banken haben angekündigt, zunächst die Gespräche der BRAK mit dem Bundesfinanz – und Bundesjustizministerium, der BaFin und dem Bundesverband deutscher Banken abzuwarten.

Wirtschaftlich Berechtigte sicher identifizieren

Wie auch immer diese Gespräche zum Thema Sammelanderkonto ausgehen: Fakt ist, dass es auch für Rechtsanwältinnen und Rechtsanwälte essenziell ist, alle wirtschaftlich Berechtigten im Sinne eines KYC-Prozesse (Know Your Customer) zu identifizieren. Hierbei reicht es nicht, die persönlichen Daten aufzunehmen, sondern es muss valide geprüft werden, ob die Person auf einer PEP- oder Sanktionsliste auftaucht. Ein Aufwand, der manuell nicht zu leisten ist – zu groß ist der Kreis der Sanktionierten, ganz abgesehen von der hohen Anzahl der verschiedenen Prüflisten sowie der dynamischen Veränderungen. Jüngstes Beispiel sind hier die Russland-Sanktionen.

Mit dem PASS KYC Check können im Rahmen einer Online-Abfrage Personendaten gegen Sanktionslisten geprüft und die Ergebnisse als Nachweis digital archiviert werden – sekundenschnell, gründlich und rechtskonform.

PASS KYC Check

Der PASS KYC Check prüft die Daten einfach, unkompliziert und pragmatisch auf Basis von anerkannten und etablierten Datenquellen z.B. der EU, der UN und der USA. Geben Sie einfach den zu überprüfenden Namen in das Suchfeld ein oder laden Sie gleich mehrere Datensätze in einer Excel-Datei hoch und Sie erhalten, wie bei einer Google-Suche, wenige Sekunden später das Prüfergebnis zu den Personen angezeigt. Als Nachweis, dass sie Ihrer Sorgfaltspflicht nachgekommen sind und eine Prüfung vorgenommen haben, können Sie sich das Prüfungsergebnis bequem als PDF-Dokument ausgeben lassen. Ebenso einfach wie die Bedienung des PASS KYC Checks sind auch Nutzungsmodelle: Einzel- oder Sammelabfragen, Abfragen mit festem Kontingent oder auch ein Abonnement mit monatlichem Kontingent. Ihre Daten sind bei PASS in guten Händen. In unseren deutschen Bankrechenzentren verarbeiten wir für mehr als 50 Banken täglich mehrere Millionen Transaktionen und sind dabei hohen Standards wie dem Bankgeheimnis, DSGVO, BAIT, MaRisk, BSI-Grundschutz, ISO 27001 und IDW PS 951 verpflichtet.
Tipp!

Übrigens ist eine solche Prüfung nicht nur bei neuen Mandantinnen und Mandanten relevant, sondern auch bestehende Geschäftsbeziehungen sollten regelmäßig einem Check unterzogen werden. Dann haben Sammelanderkonten (vielleicht) auch eine Zukunft.

 

Bildquelle: Shutterstock

]]>
https://www.finance-it-blog.de/sammelanderkonto-kyc/feed/ 0
Digitale Rentenübersicht – so ist der aktuelle Stand https://www.finance-it-blog.de/digitale-rentenuebersicht-so-ist-der-aktuelle-stand/ https://www.finance-it-blog.de/digitale-rentenuebersicht-so-ist-der-aktuelle-stand/#respond Tue, 05 Apr 2022 07:00:16 +0000 https://beta.finance-it-blog.de/digitale-rentenuebersicht-so-ist-der-aktuelle-stand/

Sie war lange in der politischen Diskussion, nun wird sie kommen: die Digitale Rentenübersicht. Bereits im Koalitionsvertrag der aktuellen Bundesregierung hatten die Regierungsparteien festgelegt, eine säulenübergreifende Renteninformation für den Bürger einzuführen. Vor einigen Monaten, am 18. Februar 2021, ist das Gesetz zur Einführung einer Digitalen Rentenübersicht, kurz als RentÜG bezeichnet, nun in Kraft getreten. Doch was bedeutet dies im Einzelnen? Zu den am häufigsten gestellten Fragen rund um die Digitale Rentenübersicht möchte ich im Folgenden Antworten liefern:

Inhaltsverzeichnis

Was genau ist die Digitale Rentenübersicht?

Die Digitale Rentenübersicht wird zukünftig über ein Online-Portal im Internet für jeden Bürger jederzeit einsehbar sein. Kernpunkt der abzurufenden Informationen ist eine Übersicht über alle Rentenansprüche des Bürgers aus den drei bekannten Säulen der Altersvorsorge: der gesetzlichen, der betrieblichen und der privaten Altersvorsorge. Die Datenbasis für die Digitale Rentenübersicht wird von den – im Gesetz als Vorsorgeeinrichtungen bezeichneten – Anbietern von Altersvorsorgeprodukten aus allen drei Säulen zur Verfügung gestellt werden.

Die neue Digitale Rentenübersicht ist nicht zu verwechseln mit den aktuell bereits von der Deutschen Rentenversicherung zur Verfügung gestellten Online-Diensten. Das geplante elektronische Portal wird von der Zentralen Stelle für die Digitale Rentenübersicht (ZfDR) aufgebaut und später auch betrieben. Die Zentrale Stelle für die Digitale Rentenübersicht ist bei der Deutschen Rentenversicherung Bund angesiedelt.

Ab wann ist die Digitale Rentenübersicht für die Bürgerinnen und Bürger nutzbar?

Die Digitale Rentenübersicht wird schrittweise eingeführt werden. Eine erste Betriebsphase ist ab Herbst 2022 geplant, in Form eines Probebetriebs mit freiwillig angeschlossenen Vorsorgeeinrichtungen. Ab Herbst 2023 soll dann der sogenannte produktive Regelbetrieb der zweiten Betriebsphase für die Digitale Rentenübersicht beginnen.

Welche Inhalte können auf dem Portal eingesehen werden?

Basis für die Digitale Rentenübersicht sind die – auch heute schon von den Anbietern der Säulen zwei und drei zur Verfügung gestellten – jährlichen Standmitteilungen bzw. die Renteninformation der Deutschen Rentenversicherung Bund (erste Säule). Das Gesetz sieht die Darstellung der Rentenansprüche in acht Werten vor:

  1. Erreichte, garantierte Einmalzahlung
  2. Erreichte, garantierte laufende Rente
  3. Erreichte, prognostizierte Einmalzahlung
  4. Erreichte, prognostizierte laufende Rente
  5. Erreichbare, garantierte Einmalzahlung
  6. Erreichbare, garantierte laufende Rente
  7. Erreichbare, prognostizierte Einmalzahlung
  8. Erreichbare, prognostizierte laufende Rente

Eine Herausforderung für die Digitale Rentenübersicht wird sein, für die Vorsorgeeinrichtungen verbindliche Vorgaben zu der Herleitung der acht Werte für die vielfältigen Produktarten – insbesondere aus den Säulen zwei und drei – zu definieren. Die Werte sind ja nur dann sinnvoll übergreifend für den Bürger vergleichbar, wenn die Herleitung der Werte entsprechend normiert ist.

Gibt es vergleichbare Erfahrungen und Beispiele aus anderen Ländern?

Deutschland hinkt beim Thema Digitale Rentenübersicht vielen europäischen Nachbarn hinterher. So haben unter anderem Schweden, Dänemark, die Niederlande und Belgien seit Jahren solche Systeme eingeführt. Die Nutzerinnen und Nutzer des schwedischen Renteninformationsportals MinPension.se fühlen sich z. B. laut Umfragen für ihre Vorsorgeentscheidungen erheblich besser gerüstet als die Nicht-Nutzenden. MinPension.se ging 2004 zunächst mit nur wenigen Einrichtungen der zweiten Säule und den gesetzlichen Rentenversicherungsträgern online.

Dänemark kann man im Kontext Digitale Rentenübersicht wohl als First Mover bezeichnen, da bereits 1999 die erste Version des Portals www.pensionsinfo.dk mit einigen großen Trägern der betrieblichen Altersversorgung online ging. In mehreren Stufen wurden dann seit 2014 sämtliche Träger angeschlossen, das Portal deckt alle drei Säulen ab.

Wie in Dänemark ist auch in Schweden die Teilnahme an dem Portal für die Vorsorgeeinrichtungen freiwillig. Trotzdem übermitteln mittlerweile 96 Prozent der Anbieter der zweiten Säule und 90 Prozent der dritten Säule ihre Daten an die Plattform.

Vor knapp zehn Jahren, im Januar 2011, ging in den Niederlanden die Internetseite www.mijnpensioenoverzicht.nl online. Auslöser für deren Einführung war die hohe Anzahl von seinerzeit 500 Trägern der betrieblichen Altersversorgung. Die zweite Säule umfasst etwa 90 Prozent der Beschäftigten und hat somit einen ungleich höheren Stellenwert als in Deutschland. Die dritte Säule, die private Altersvorsorge, findet in dem Portal keine Berücksichtigung.

Als jüngster Spross wurde in 2016 das belgische Portal Mypension.be in Betrieb genommen. Das Portal umfasst die erste und zweite Säule, wobei die Anfragen und Ergebnisse nicht säulenübergreifend konsolidiert sind. Das Portal bedient sich für die Digitale Rentenübersicht beispielsweise in der Säule zwei der betrieblichen Altersvorsorge einer zentralen Datenbank, welche bereits seit 2011 aufgebaut wurde.

Einen weiteren beispielhaften Ansatz aus der europäischen Nachbarschaft findet man in Großbritannien, welcher sich allerdings – analog zum aktuellen Prozess für die Digitale Rentenübersicht in Deutschland – noch in der Aufbau- und Einrichtungsphase befindet. Geplant ist hier allerdings kein zentrales Portal, in dem alle Informationen zusammenlaufen, sondern dezentrale, sogenannte Pension Dashboards von unterschiedlichen Rentenanbietern. Eine Besonderheit in Großbritannien liegt zum einen in der relativ hohen Anzahl an unterschiedlichen Arbeitsverhältnissen in den einzelnen Erwerbsbiografien mit durchschnittlich elf Unternehmen und der Tatsache, dass jeder Arbeitsplatzwechsel meist auch einen Wechsel der Rentenversicherung nach sich zieht.

Welchen Effekt soll die Digitale Rentenübersicht erzielen?

Die Digitale Rentenübersicht soll Bürgerinnen und Bürgern eine bessere Transparenz über die eigene Altersvorsorge verschaffen, da sie über das Portal alle relevanten Informationen an einer Stelle einsehen können. Versorgungslücken und Handlungsbedarfe können so leichter erkannt werden. Erfahrungswerte aus anderen Ländern zeigen, dass vergleichbare Digitale Rentenübersichten ein erhöhtes Zukunftsvorsorgeverhalten der Bevölkerung begünstigen.

Da die Renten im Vergleich zu den Löhnen künftig geringer steigen werden und sich somit die Lücke zwischen Rente und Erwerbseinkommen vergrößert, wird eine zusätzliche Absicherung für das Alter immer wichtiger. Laut dem Rentenatlas 2021 der Deutschen Rentenversicherung bekommen Männer im Durchschnitt 1.632 Euro brutto gesetzliche Rente – Frauen 1.225 Euro. Die geplante Digitale Rentenübersicht macht es deutlicher einfacher, die gesetzlichen Rentenansprüche sowie die betriebliche und die private Altersvorsorge einer Bestandsaufnahme zu unterziehen und potenzielle Versorgungslücken zu ermitteln.

Welche Schwachstellen hat die geplante Digitale Rentenübersicht?

In der aktuellen Diskussion wird bemängelt, dass in der geplanten Digitalen Rentenübersicht gewisse Altersvorsorge-Produktarten keine Berücksichtigung finden, wie beispielsweise Ansprüche aus direkten finanzmarktnahen Anlagen (z.B. ETFs) oder auch aus Spar- und Auszahlplänen. Darüber hinaus finden auch Mieteinnahmen aus Immobilienbesitz keine Berücksichtigung.

In der Begriffsbestimmung im Gesetz zählen zu den Altersvorsorgeprodukten der dritten Säule “die, nach den §§ 5 und 5a des Altersvorsorgeverträge-Zertifizierungsgesetzes zertifizierten, Altersvorsorge- und Basisrentenverträge sowie private Lebensversicherungsverträge, die einmalige oder wiederkehrende Erlebensfallleistungen mit rentennahem Beginn des Leistungsbezugs erbringen.“

Ich persönlich bin der Meinung, dass eine Strategie der kleinen, aber konkreten Schritte zielführender ist als von Beginn an auf einen möglichst breiten Scope aus Produktarten und Informationswerten bei der Einführung einer Digitalen Rentenübersicht zu setzen. Je breiter dieser Initialscope, je größer ist das Risiko der inhaltlichen und zeitlichen Verzettelung. Folglich kann ich aktuell die Kritikpunkte zwar grundsätzlich anerkennen, aber ich sehe sie nicht als Hemmschuh für die Digitale Rentenübersicht an.

Wie läuft eine Portalabfrage hinter den Kulissen?

Der interessierte Bürger muss sich für die Digitale Rentenübersicht laut gesetzlicher Regelung über eine sichere elektronische Authentifizierung nach dem jeweils aktuellen Stand der Technik legitimieren. Welches Verfahren hier konkret zum Einsatz kommen wird, ist aktuell noch offen. Die Vermutung liegt nahe, dass hier die aktuellen Verfahren der Deutschen Rentenversicherung Bund, welche bereits für die registrierungspflichtigen  Online-Dienste genutzt werden, Verwendung finden (bspw. Personalausweis oder eID-Karte mit aktiver Online-Ausweisfunktion und Kartenlesegerät bzw. AusweisApp).

Nach der Authentifizierung für die Digitale Rentenübersicht gibt der Nutzer wenige persönliche Daten für die Anfrage ein, insbesondere aber seine steuerliche Identifikationsnummer und startet somit die Anfrage. Das Portal fragt nun im Hintergrund alle angeschlossenen Vorsorgeeinrichtungen parallel elektronisch mittels einer normierten Schnittstelle und eines normierten Formats an. Die angefragten Vorsorgeeinrichtungen prüfen nun, ob zu der angefragten Identifikationsnummer relevante Verträge im Bestand vorhanden sind und melden entsprechen negativ oder positiv an die Digitale Rentenübersicht zurück. Bei positiver Rückmeldung werden die Informationen aus den Standmitteilungen zu den Verträgen in den Antwortsatz in Form von strukturierten Attributinhalten in vorgegebenen Antwortbausteinen integriert. Zusätzlich ist das Dokument der letzten verfügbaren Standmitteilung im PDF/A-Format einzustellen.

Die eingehenden Antwortdatensätze werden dann im Portal konsolidiert und dem Nutzer als Digitale Rentenübersicht präsentiert. Aktuell gibt es noch keine Vorgaben, in welchem Zeitraum die angefragten Vorsorgeeinrichtungen zurückmelden müssen. Unter Akzeptanzgesichtspunkten gehe ich davon aus, dass es maximal ein bis zwei Minuten sein werden.

Wie können sich Vorsorgeeinrichtungen auf die Digitale Rentenübersicht vorbereiten?

Per Gesetz müssen sich alle Vorsorgeeinrichtungen, die heute schon zu einer mindestens einmal jährlichen Übermittlung einer Standmitteilung an die Kunden verpflichtet sind, ab dem Start der zweiten Betriebsphase an die Zentrale Stelle für die Digitale Rentenübersicht anbinden (aktuell geplant ab Q4 2023). Das bedeutet für diese Vorsorgeeinrichtungen, dass sie bis zum geplanten Betriebsstart der Digitalen Rentenübersicht eine entsprechende prozessuale und technische Infrastruktur für die Anbindung an die ZfDR aufbauen und betreiben müssen. Darüber hinaus ist zu prüfen, ob die Informationen und die Informationsermittlung der von der Zentralen Stelle für die Digitale Rentenübersicht geforderten Werte so eins zu eins aus den aktuellen Standmitteilungen zu entnehmen ist. Ist dies nicht der Fall, müssen auch hier die entsprechenden Bestandsführungssysteme partiell angepasst werden.

Standardlösungen sind für die Digitale Rentenübersicht eine gute Option

Da die technische Komponente zur Anbindung und Interaktion mit der Zentralen Stelle für die Digitale Rentenübersicht die vorgegebenen Funktionalitäten und Schnittstellen in genormter Form abdecken muss, sollte auf jeden Fall auch über den Einsatz einer Standardlösung – wie beispielsweise die PASS Melde Engine Digitale Rentenübersicht (PASS.MDR) – nachgedacht werden. Eine Standardlösung bietet u.a. den Vorteil einer Kostenteilung in der Entwicklung und darüber hinaus werden notwendige zukünftige Anpassungen durch Hersteller im Rahmen eines Release Management abgedeckt. Über eine standardisierte Schnittstelle liefert die Vorsorgeeinrichtung mindestens einmal jährlich die Standmitteilungsinformationen an die Melde Engine. Diese werden dort persistiert, und stehen dann den eingehenden ZfDR-Anfragen für die Beantwortung konsolidiert zur Verfügung.

Prozessgrafik am Beispiel der PASS Melde Engine Digitale Rentenübersicht (PASS.MDR)
Prozessgrafik am Beispiel der PASS Melde Engine Digitale Rentenübersicht (PASS.MDR)

Bei einem geplanten Einsatz einer Standardlösung für die Digitale Rentenübersicht ist auch zu untersuchen, ob diese Lösung lizenziert und selbst durch die Vorsorgeeinrichtung betrieben wird (on Premise) oder ob die Lösung vom Anbieter auch in einem Cloud-Betrieb angeboten wird (Software as a Service, SaaS). Im SaaS-Modell kann die Vorsorgeeinrichtung mit fixen und kalkulierbaren Kosten planen, es entfallen Eigenkosten für den Betrieb und für Release Updates. Der SaaS-Anbieter garantiert den notwendigen 24/7-Betrieb und die notwendige Lastspitzen-Abdeckung. PASS bietet die Nutzung der Melde Engine Digitale Rentenübersicht auch im Marktmodell SaaS an, der Betrieb erfolgt in ISO-zertifizierten PASS Rechenzentren in Deutschland.

Meldesystem für die Digitale Rentenübersicht

Die Standardsoftware PASS.MDR empfängt, verarbeitet und beantwortet die zukünftigen Rentenportalanfragen der „Zentralen Stelle für die Digitale Rentenübersicht“ (ZfDR). Bürgerinnen und Bürger haben über das digitale Rentenportal des Bundes jederzeit Zugriff auf alle ihre Renteninformationen.
Tipp!

Wie ist der aktuelle Umsetzungsstand für die Digitale Rentenübersicht?

Unmittelbar nach der Inkraftsetzung des RentÜG konstituierte sich die Zentrale Stelle für die Digitale Rentenübersicht (ZfDR) und nahm mit der ersten Sitzung des Fachbeirates Finanzmathematik / Fachlicher Datensatz am 25.02.2021 gewissermaßen ihren Dienst auf. In diesem Fachbeirat sitzen neben den Vertretern der ZfDR und des BMAS (Bundesministerium für Arbeit und Soziales) auch Vertreter aus Vorsorgeeinrichtungen der drei Altersvorsorgesäulen. Hauptziel ist die „Ausgestaltung des fachlichen Datensatzes bezüglich definierter Werte“. Weitere Fachbeiräte sind „Technische Schnittstellen“, „Evaluation und Wissenschaftliche Betreuung“, „Kommunikationsstrategie“ und „Front End / Portal“.

Die Ergebnisse der Konzeptionen sollen dann in entsprechenden Kommunikationshandbüchern als Vorgaben für die Vorsorgeeinrichtungen publiziert werden. Erst zu diesem Zeitpunkt gibt es eine verbindliche Basis für die Umsetzung der Anbindung an die Zentrale Stelle für die Digitale Rentenübersicht. Darüber hinaus sind per Verordnung vom 17. Juni 2021 die Zusammensetzung, die Berufung und die Arbeitsweise des im RentÜG definierten Steuerungsgremiums formal determiniert worden.

Die Vorgaben und Spezifikationen der ZfDR für die Digitale Rentenübersicht liegen seit dem 07. März 2022 vor. PASS arbeitet aktuell an der Umsetzung eines Prototyps der PASS.MDR.

Digitale Rentenübersicht – immer auf dem aktuellen Stand

Dieser FAQ-Artikel zum Thema Digitale Rentenübersicht wurde am 26. August 2021 erstmalig veröffentlicht und wird seitdem kontinuierlich erweitert. Die letzte Aktualisierung fand am 05. April 2022 statt.

Bildquelle: Shutterstock

]]>
https://www.finance-it-blog.de/digitale-rentenuebersicht-so-ist-der-aktuelle-stand/feed/ 0
Digitale Identitäten: ein neues Geschäftsmodell für Banken https://www.finance-it-blog.de/digitale-identitaeten-banken/ https://www.finance-it-blog.de/digitale-identitaeten-banken/#respond Tue, 30 Nov 2021 06:38:14 +0000 https://beta.finance-it-blog.de/digitale-identitaeten-banken/

Lassen Sie uns mit einer kurzen Definition in das Thema “digitale Identitäten” einsteigen: Überall dort, wo ich mich als Nutzer online registriere, um mich zu einem späteren Zeitpunkt wieder einloggen zu können, entsteht eine digitale Identität. Die meisten von uns haben viele von ihnen. Um genau zu sein, hat jeder EU-Bürger durchschnittlich gut 90 digitale Identitäten – Tendenz weiter steigend.

(mehr …)]]>
https://www.finance-it-blog.de/digitale-identitaeten-banken/feed/ 0
Die Zukunft der Banken: 10 Öffnungs- und Flexibilitätsstrategien https://www.finance-it-blog.de/zukunft-banken-offenheit/ https://www.finance-it-blog.de/zukunft-banken-offenheit/#respond Wed, 10 Nov 2021 10:45:49 +0000 https://beta.finance-it-blog.de/zukunft-banken-offenheit/

Non- und Nearbanks, Auslandsbanken, FinTechs, Banking-as-a-Platform, wenig regulierte internationale Player der globalisierten Finanzindustrie sowie internationale IT-Konzerne erhöhen den Wettbewerbsdruck und könnten Deutschlands Bankenlandschaft noch disruptiver verändern als in der Vergangenheit.

In der Konsequenz nimmt die Zahl der Finanzinstitute in Deutschland kontinuierlich ab. Von 2.401 operativ tätigen Instituten im Jahr 2004 waren 2020 nur noch 1.508 im Markt tätig. In der gleichen Zeit verschwanden 8.145 Filialen und Niederlassungen der privaten Banken – von 14.989 Filialen 2004 auf heute 6.844

Ausführliche Informationen zur Bankstellenentwicklung im Jahr 2020 finden Sie bei der Deutschen Bundesbank. Sie konstatiert für das vergangene Jahr einen verlangsamten Rückgang der Zahl der Kreditinstitute durch die Corona-Pandemie bei einem gleichzeitig deutlich beschleunigten Filialabbau.

Zur erfolgreichen Antizipation dieser Trends sowie der Negativzinsphase (und damit zusätzlichem Ertragsdruck) bietet die Digitalisierung – und mit ihr eine wohldurchdacht definierte Automations-, Flexibilitäts- und Offenheitsstrategie – gute Chancen. Informationstechnologien ermöglichen Organisations-, Produktions-, Produkt-, Service- und B2B- bzw. B2C-Gestaltung und wenn es richtig gemacht wird, ist damit hochgradige und dynamische Flexibilität möglich. Da die Gestaltungsbereiche durch den Wettbewerbsdruck einer permanenten Veränderung (Innovationsdruck) unterliegen, wird die Bank der Zukunft noch digitaler und offener werden müssen. Die Filialbanken müssen sich an den Blueprints der Onlinebanken und deren Digitalisierungsgrad orientieren und sich zusätzlich qualitativ hochwertiger ausprägen, unter anderem sehr viel offener.

Viele Fragen bestimmen die Zukunft

Die Zukunft der Banken ist „offen“ – und das durchaus im doppelten Sinn. Die zentralen Zukunftsfragen sind wohl folgende:

  • Welche Rolle werden Banken in einer sich weiter digitalisierenden Welt spielen?
  • Werden die Filialbanken den notwendigen Grad der Digitalisierung schnell genug erreichen, um Erträge sicherzustellen und auf Marktveränderungen schnell genug reagieren zu können?
  • Werden die mit Milliarden Nutzern vor Kraft und Marktmacht strotzenden Digitalkonzerne drastische Kundenwanderungen auslösen?
  • Wird der Regulator die Markteintrittsambitionen der Digitalkonzerne in Form von Bankgründungen in Irland, Angeboten zu Payment Services, Loan Services oder eigener digitaler Währung stoppen oder sie sogar zerschlagen?
  • Wird der Regulator zum Protegé der Banken oder wird – wie vor Jahrzehnten im Flugmarkt geschehen – eine Deregulierung einsetzen und der Ertragsdruck auf Banken weiter steigen?
  • Welche FinTechs – z.B. Banking-as-a-Platform – werden weiter Boden gut machen bzw. sich durchsetzen?
  • Werden FinTechs lediglich als temporär inspirierender Innovationsmotor wahrgenommen, der in der Bedeutungslosigkeit verschwindet oder aufgekauft wird?
  • Wo liegen die zukünftigen Ertragsquellen?

Fragen, auf die wir als Softwareprovider keinen direkten Einfluss haben und auch keinen Einfluss nehmen wollen. Für uns ist nur eines klar, die Bank der Zukunft – egal in welchem Szenario – muss sich hochgradig flexibel aufstellen. Diese Flexibilität wird aber nicht durch offene Geschäftsstrategien, Mindsets oder Policies realisiert, sondern durch die zugrunde liegenden IT-Strategien bzw. IT-Systeme. Ich bin mir in einem sehr sicher: Wollen die Player von heute auch morgen und übermorgen noch eine Rolle spielen, müssen sie ihre IT im Sinne von Offenheit, Flexibilität und Automation erneuern.

Zehn Offenheitsstrategien

Auf den ersten Blick mag diese Aussage wie ein alter Hut klingen, wird das „Open Banking“ doch seit geraumer Zeit proklamiert, diskutiert und vom Regulator durch PSD2 in Gesetze gegossen. Die Frage ist aber, ob der aktuelle Scope der Diskussion – fokussiert auf PSD2 oder Banking APIs – nicht zu kurz springt. Davon abgesehen ist noch vieles unklar und der Durchbruch des Open Banking lässt weiter auf sich warten.

”Der vermeintlich strategische Ansatz des Composable Bankings adressiert nur unzureichend den eigentlichen Bedarf an Offenheit.”

Open Banking in dem aktuell diskutierten Kontext ist nur der erste Schritt. Wettbewerbsfähigkeit erfordert radikale Offenheit auf allen Ebenen. Das geht weit über eine plattform- und applikationsbasierte Vernetzung durch Schnittstellen hinaus und der vermeintlich strategische Ansatz des Composable Bankings adressiert nur unzureichend den eigentlichen Bedarf an Offenheit. Die Zukunft heißt „Full Open Banking“ und sprengt die limitierenden Ketten im Produkt-, Prozess-, Daten-, Informations-, Service-, Automations-, Technologie- und Know-how-Management.

Die Vision ist maximale Flexibilität im Sinne von Contextual bzw. Embedded Banking – ein Applikationsbereitstellungsmodell, das eine Applikationsprofilierung möglich macht, die den Endbenutzer in den Mittelpunkt stellt, Interoperabilität und Konnektivität von fremden Systemen durch Drag & Drop ermöglicht, Technologieunabhängigkeit sicherstellt, Organisationsmodellierung bietet und natürlich Personalisierung im Sinne von Bedienpräferenzen nicht vernachlässigt sowie innovative Bankprodukte durch Konfiguration entstehen lässt.

An dieser Stelle möchte ich dazu zehn Offenheitsstrategien vorstellen, zusammengefasst in der Full Open Banking Architecture. Damit lassen wir – im Rahmen weiterer Releases – das Banking der Zukunft sukzessive Wirklichkeit werden.

Dem obigen Bild können Sie zehn IT-Gestaltungsaspekte entnehmen, die als Anforderung an eine Full Open Banking Architecture zu verstehen sind, nämlich:

  1. Open Platform
  2. Open Database
  3. Open Data
  4. Open Service
  5. Open GUI/Behaviour
  6. Open Process
  7. Open Product
  8. Open Market
  9. Open Repository
  10. Open Artificial Intelligence

Bevor ich auf diese Kriterien in nachfolgenden Beiträgen detaillierter eingehe, möchte ich mich kurz den aktuellen Herausforderungen der Banken widmen.

Warum radikale Offenheit notwendig ist

Dass Legacy Systeme Bremsklötze sind, ist Common Sense, nichtsdestotrotz sind sie in der Bankenwelt nach wie vor weit verbreitet [pdf]. Sie blockieren die Transformation der IT zum Alleinstellungsmerkmal und reduzieren die Veränderungs- und Skalierungskraft damit auf ein Minimum. Gleichzeitig bewegen sich Banken in einem herausfordernden Spannungsfeld, das genau diese Fähigkeiten – mehr denn je – erfordert. Nachfolgend möchte ich einige der zentralen und bereits eingangs erwähnten Auslöser für den Druck auf die Banken vertiefen und damit die Sensibilität steigern.

1. Die regulatorischen Anforderungen wachsen

Banken müssen immer weitreichendere regulatorische Bestimmungen in ihren Systemen abbilden. Das bindet Kapital- und Personalressourcen, die an anderer Stelle für Innovationen fehlen. Zudem fordert nicht zuletzt die Regulatorik selbst „Offenheit“ ein – zumindest beim Thema Daten. Stichworte sind hier PSD2 oder die Target2-Konsolidierung. Ziel muss es demnach sein, regulatorische Anforderungen effizienter zu managen. Wie wichtig dieser Punkt ist, zeigt auch die PwC-Studie „Banking and capital markets trends 2020: Laying the foundations for growth“ [pdf]. Demnach sehen 46 Prozent der Entscheider in deutschen Banken ihre Wachstumschancen durch die Regulatorik bedroht. Dieser Wert dürfte mit Blick auf die 24. PwC Global CEO Survey sogar nochmals angestiegen sein: Hier gaben 87 Prozent der deutschen CEOs an, dass ihnen die Überregulierung große Sorgen bereitet (Vorjahr: 79 Prozent).

2. Die Ertragslage der deutschen Banken wird immer schlechter

Nicht erst seit der Corona-Pandemie trübt sich die Ertragslage der Banken immer mehr ein [pdf]. Die Niedrigzinsphase belastet das klassische Zinsgeschäft und verursacht einen erheblichen Kostensenkungsdruck. Parallel zwingt die fortschreitende Digitalisierung zu Investitionen. Laut der Bain-Studie „Deutschlands Banken 2019: Erst sanieren, dann konsolidieren“ [pdf], hinken die deutschen Banken bei den Renditen im internationalen Vergleich deutlich hinterher. Unter anderem, weil die Verwaltungskostenquote – trotz aller Sparmaßnahmen – in den letzten Jahren sogar leicht angestiegen ist (2020: 36 Prozent; 2014: 33 Prozent). Die gleichzeitige Flaute bei den Einnahmen führt bei den deutschen Instituten zu einer vergleichsweise hohen Aufwands-Ertrags-Relation von 83 Prozent. Das ist deutlich mehr als der internationale Durchschnitt von 70 Prozent.

3. Der Wettbewerbsdruck steigt

Davon abgesehen, dass der europäische Bankenmarkt generell überbesetzt ist, steigt der Druck auch von anderer Seite. So sind es vor allem die BigTech, die mit ihrer Marktmacht eine hohe Sprengkraft besitzen. Aber auch Non- und Near-Banks sowie FinTechs buhlen um die Gunst der Kunden. Ihr Auftreten: Oft hip und kostengünstig, neue Anforderungen werden schnell antizipiert. Banken sind aktuell zu schwerfällig, um darauf adäquat zu reagieren. Sie brauchen auf diese Wettbewerber neue Antworten – Schlagworte sind hier Geschwindigkeit, innovative Produkte, maßgeschneiderte Services und Individualität.

4. Die Antizipation äußerer Einflüsse gewinnt an Relevanz

Die Corona-Pandemie zeigt es nachdrücklich auf: Die äußeren Rahmenbedingungen können sich schlagartig verändern – mit immensen Auswirkungen auf den Geschäftsbetrieb. Aktuell steht dabei v.a. das Business Continuity Management im Fokus. Eine zentrale Frage: Bieten meine Systeme ausreichend Offenheit und Flexibilität, um zeitkritische Geschäftsprozesse in jeder Situation fortzuführen? Das greift auch mit Blick auf das Thema Rechtsregime. Veränderte nationale Regelungen können eine kurzfristige Neuorganisation erfordern. Hier bilden offene Systeme die Basis für die notwendige Unabhängigkeit.

5. Der technologische Wandel ergreift alle Ebenen

Die digitalen Herausforderungen wachsen. Zum einen verändern sich das Verhalten und die Erwartungshaltung der Kunden angesichts neuer technologischer Möglichkeiten rasant und zum anderen bilden sich neue digitale Standards heraus, die es zu antizipieren und sinnvoll zu integrieren gilt. An dieser Stelle sei beispielhaft der Themenkomplex künstliche Intelligenz genannt.

Offenheit ist die Zukunft

Langfristige Wettbewerbsfähigkeit erfordert von Banken eine schnelle Reaktion auf neue Marktanforderungen, auf diese Weise Dominanz im Wettbewerb und in der Folge eine verbesserte Ertragssituation. Möglich wird dies durch ein innovatives „Full Open Banking“, das eine konsequente Digitalisierung, tiefgreifende Produktivitätsverbesserungen sowie eine nachhaltige Neugestaltung ermöglicht. 


Bildquelle: Shutterstock

]]>
https://www.finance-it-blog.de/zukunft-banken-offenheit/feed/ 0
Auslagerungsmanagement leicht gemacht: Banken & Regulatorik https://www.finance-it-blog.de/banken-auslagerungsmanagement/ https://www.finance-it-blog.de/banken-auslagerungsmanagement/#respond Fri, 05 Nov 2021 04:54:38 +0000 https://beta.finance-it-blog.de/banken-auslagerungsmanagement/

Die IT – und damit auch das Auslagerungsmanagement – sind mehr denn je kritische Erfolgsfaktoren für die Finanzbranche. Sie steht jedoch vor der Herausforderung kürzer werdender Innovationszyklen bei gleichzeitig zunehmender Komplexität. Dabei können Finanzinstitute nicht auf allen Gebieten technisches Expertenwissen und Kompetenz besitzen und weiterentwickeln. Die Konsequenz ist eine zunehmende Zahl ausgelagerter Dienstleistungen und Zulieferungen.

Dadurch wird jedoch der Erfolg eines Instituts abhängig vom Funktionieren einer Kette interner und externer Prozesse und der Beherrschung aller damit verbundenen Risiken. Nicht umsonst fordert die Aufsicht daher die Implementierung und Weiterentwicklung eines angemessenen Auslagerungsmanagements und entsprechender Kontroll- und Überwachungsprozesse (MaRisk AT 9 Tz. 12).

Erwartungen der Bankenaufsicht an das Auslagerungsmanagement

Die Regulatorik definiert dabei ganz klar, dass die Gesamtverantwortung für das Auslagerungsmanagement – d.h., für alle ausgelagerten Prozesse und Aktivitäten – weiterhin bei den Banken verbleibt. Diese Kontrollmechanismen wurden in den letzten Jahren stetig verschärft. Zuletzt durch die Überführung der EBA-Leitlinien zur Auslagerung (EBA/GL/2019/02) und für das Management von IKT- und Sicherheitsrisiken (EBA/GL/2019/04) in eine MaRisk- bzw. eine BAIT-Novelle.

Es ist für Banken also eine immer größere Herausforderung, die durch Auslagerungen entstandenen Risiken im Blick zu behalten und zu steuern. Das Auslagerungsmanagement können Softwarelösungen zur Steuerung von IT-Governance, IT-Risikomanagement und IT-Compliance unterstützen.

Zwei zentrale Register

Mit Blick auf das Auslagerungsmanagement ergeben sich für Banken aus den MaRisk- und BAIT-Novellen zwei Kernanforderungen:

1. Das zentrale Auslagerungsregister

Die MaRisk fordern für das Auslagerungsmanagement in AT 9 Tz. 15 ein zentrales Auslagerungsregister mit Informationen über alle Auslagerungsvereinbarungen.

Ein Werkzeug wie die PASS GRC Suite mit seinem zentralen Management von Risiken und Prüfungen bietet sich zur Umsetzung eines solchen Auslagerungsregisters an – und zwar wahlweise für einen Auslagerungsgeber, z.B. ein Finanzinstitut, oder auch einen Auslagerungsnehmer, z.B. einen Mehrmandanten-IT-Dienstleister. Durch die Verknüpfung der in diesem Modul erfassten Auslagerungen mit Risiken lässt sich die Forderung von MaRisk AT 9 Tz. 2 nach einer Analyse und Bewertung der mit jeder Auslagerung verbundenen Risiken leicht erfüllen. Die in Tz. 9 geforderte regelmäßige und anlassbezogene Überprüfung der Leistungserbringung im Kontext des Auslagerungsmanagements wird durch Verknüpfung der Auslagerungen mit dem Audit-Modul und die Überwachung der Leistung des Auslagerungsnehmers mit dem Modul für KPI-basiertes IT-Controlling realisiert.

2. Das zentrale Vertragsregister

Die BAIT fordern mit Blick auf das Auslagerungsmanagement von den Instituten in Tz. 9.3 eine vollständige, strukturierte Vertragsübersicht.

Das Vertragsmodul der PASS GRC Suite ermöglicht nicht nur die Ablage der Auslagerungsverträge, sondern auch eine Zuordnung, an welchen Stellen im Vertrag jeweils die inhaltlichen Vorgaben der Aufsicht (gemäß MaRisk AT 9 Tz. 7) berücksichtigt wurden. Ähnlich dem Auslagerungsregister lassen sich alle Positionen des Vertragsregisters mit Risiken wie auch mit Prüfungen verknüpfen.

Die PASS GRC Suite als Basis für das Auslagerungsmanagement

Mit seiner GRC Suite hat PASS eine gute Grundlage für das integrierte Management von Steuerungsvorgaben, Risiken, internen wie externen Prüfungen sowie der Überwachung von KPIs geschaffen. Zu diesem Thema empfehle ich Ihnen auch meinen Blogbeitrag Digitalisierung der IT-Governance: Integriert, papierlos und kollaborativ. Dabei können die Module der GRC Suite an jede Institutsgröße angepasst werden und sind erweiterbar, beispielsweise um ein Auslagerungs- und ein Vertragsregister.
Tipp!

Das Auslagerungsmanagement erfordert einen Auslagerungsbericht

Der integrierte Ansatz eines Werkzeugs wie der PASS GRC Suite hat den Vorteil, dass Daten der verschiedenen Module leicht miteinander verknüpft werden können und dadurch ein zentrales Berichtswesen möglich wird. Durch den Reportgenerator lässt sich der in MaRisk AT 9 Tz. 13 geforderte Bericht über wesentliche Auslagerungen mit Bewertung der Dienstleistungsqualität und den risikomindernden Maßnahmen – einmal definiert – auf Grundlage gepflegter Daten durch einen Mausklick erstellen.

Wie gut ist das Auslagerungsmanagement Ihrer Bank auf die Anforderungen der BaFin vorbereitet?

Auslagerungsmanagement in Banken – immer auf dem aktuellen Stand

Dieser Artikel zum Thema Auslagerungsmanagement in Banken wurde am 14. April 2021 erstmalig veröffentlicht und am 04. November 2021 aktualisiert.


Bildquelle: Shutterstock

]]>
https://www.finance-it-blog.de/banken-auslagerungsmanagement/feed/ 0