IT-Panne bei der Commerzbank behoben? Von wegen!

Von Christian Kirchner

Fallen wir gleich mal mit der Tür ins Haus: Nein, die Mega-Panne in der Commerzbank-IT ist nicht behoben. Auch wenn die Coba das im offenbar für diese Zwecke präferierten Kommunikationsweg Social Media bereits am Montag um 16:10 Uhr verkündet hatte („Die Störung ist behoben“). Und dann am Montagabend gegenüber Finanz-Szene.de noch einmal („Die Störung ist behoben“). Und dann gestern um 17:35 Uhr auf Facebook noch ein drittes Mal („Die Störung ist behoben“).

Denn: Was ist die Definition von „Störung behoben“?  Dass der totale Blackout erst einmal vorbei ist? Okay, dann stimmt, was die Commerzbank sagt. Aber müsste man den Begriff „Störung“ nicht eigentlich ein bisschen weiter fassen?

Denn: Was ist mit den Aufräumarbeiten und diversen Reparaturversuchen mit wechselnden Handlungsempfehlungen – sind die nicht Teil der „Störung“? Was mit den Kunden, die nach wie vor auf ihre Geld warten? Was mit den geplatzten Lastschriften (bei denen man davon ausgehen muss, dass viele Kunden gar nicht genau wissen, dass da Lastschriften geplatzt sind, weil der Auftraggeber die Info bekam, das Konto existiere gar nicht)? Und was ist mit den Paypal-Konten, die geschlossen wurden, weil das Referenzkonto bei der Commerzbank nicht verfügbar war?

Störung behoben? Sollte die Commerzbank nicht lieber mal aktiv an ihre Kunden herantreten, damit es am Ende der ganzen Veranstaltung wenigstens heißen kann: Schaden begrenzt!

Für diejenigen, die erst später eingeschaltet haben, hier die Kurzform der Lage: Die Commerzbank hatte am Montag und damit ausgerechnet am ersten Werktag des Monats (mit entsprechend viel Zahlungsverkehr) ab Mitternacht einen (mindestens) 8,5-stündigen „Blackout“. Während dieser Zeit konnten bei den betroffenen Konten weder Lastschriften noch Überweisungen noch Daueraufträge verbucht werden.  Zahlungsausgang defekt. Zahlungseingang defekt.

Man muss sich das vorstellen wie bei einem Kneipengast, der sich noch erinnern kann, wie er um Mitternacht durch die Tür ist, aber dessen Gedächtnis erst gegen halb neun morgens wieder einsetzt. Und der dann nach und nach durchgehen muss,  was da nächtens so alles passiert ist oder passiert sein könnte.

Bei der Commerzbank jedenfalls reicht das Gedächtnis bis Sonntag um Mitternacht. Bis da ist alles da, auch, was an Daueraufträgen zu tun ist. Und dann setzte es Montag um 8.30 Uhr wieder ein. Aber was dazwischen war – daran kann sich die Bank allenfalls nur noch schemenhaft erinnern. Und bei Zahlungen und Lastschriften von außen bei den betroffenen Konten an gar nichts.

Klingt übertrieben? Dann gehen wir den Recherchestand und auch die Antworten auf die Fragen, die wir an die Commerzbank gerichtet haben, einmal durch. Und urteilen Sie selbst:

  • Kunden mit betroffenem Commerzbank-Konto, die auf einen Zahlungseingang warten (etwa Lohn, Gehalt, Rente, Unterhalt, elterlicher Zuschuss, Miete…), warten vergeblich; die „Absender“ mussten feststellen, dass das Geld mit dem Hinweis „IBAN fehlerhaft“ nicht überwiesen wurde. Mutmaßlich haben das bislang nicht einmal alle Absender (oder Empfänger) bemerkt. Denn nicht alle Menschen da draußen checken täglich oder gar stündlich ihre Kontoumsätze. Die Coba jedenfalls schreibt in ihrem Kundenbereich: „Die meisten eingehenden Zahlungen werden von den Absendern in den kommenden Tagen noch einmal veranlasst“. Da fragen wir uns: Was macht die Commerzbank da so sicher? Denn: Das geschieht ja nicht etwa automatisch und muss von Kunden beauftragt werden. Auf Nachfrage teilt die Commerzbank gegenüber Finanz-Szene.de mit, man habe „alle wesentlichen Banken informiert, so dass diese ihre Kunden noch einmal bitten können, die Zahlungen erneut auszuführen.“ Aber werden die das tun? Und bis wann werden die das tun?
  • Kunden mit betroffenem Commerzbank-Konto, die eine Lastschrift erteilt haben – auch hier (etwa bei Lastschriftzahlungen via Girocard, Handyrechnungen, Netflix, Strom- und Gas-Abschläge usw.) erhielt die abbuchende Bank den Hinweis, dass die IBAN unbekannt sei. „Hinsichtlich eingehender Lastschriften gehen wir davon aus, dass diese kurzfristig erneut eingereicht werden. Anderenfalls wird der Kunde vom Einreicher der Lastschrift typischerweise kontaktiert“; erklärt die Commerzbank. Mithin: Auch hier weiß die Gelbbank (von) nix. Kunden, einziehende Banken und Auftraggeber müssen das Problem also selbst lösen. Denn Unternehmen und ihre Payment-Mechanismen finden nicht einlösbare Lastschriften, könnten wir uns vorstellen, alles andere als knorke.
  • Skurril wird es bei Terminüberweisungen von betroffenen Commerzbank-Konten mit dem Ausführungstermin 1. Juni, 2. Juni oder 3. Juni sowie bei  Überweisungen, die am Montag bis 8.30 Uhr getätigt oder verbucht wurden. Denn nach Finanz-Szene.de-Recherchen auf Basis hunderter Social-Media-Einträge tauchen genau diese Vorgänge häufig mit dem Status „ausstehend“ in der Umsatzübersicht aus und belasten auch das Kontosaldo und die Limits (hier, hier und hier Beispiele, viele mehr hier). Was die entsprechenden Kunden finanziell lähmen kann und es teils unmöglich macht, Überweisungen händisch nachzubuchen. Die Überweisungen sind aber weiterhin nicht „unterwegs“. Noch am Montag erklärte die Commerzbank in ihrer Online-Information Folgendes: „Wenn der Auftrag noch in den „ausstehenden Buchungen“ oder gar nicht angezeigt wird, wird er nicht mehr gebucht. Bitte erfassen Sie den Auftrag in diesem Fall noch einmal neu“ – Kunden, die genau dies getan haben, haben nun aber ein Problem. Denn: Die Überweisungen „hängen“ immer noch. Nun erklärt die Commerzbank aber seit gestern gleich mehrfach (etwa hier, hier, hier und hier) via Social Media: Derzeit prüfen wir, ob wir auch Überweisungen maschinell nachbuchen können“ – mithin werden diese Überweisungen also möglicherweise doch noch gebucht. Wer es eilig hat, möge sicherheitshalber selbst überweisen. Wenn das Geld reicht, möchte man anmerken. Und bei den dann drohenden „Doppelbuchungen“? Wenden Sie sich bitte an Ihren Berater, so die Bank. {UPDATE 5.6.2019, 10:21: Laut der Commerzbank hat man heute (Mittwoch) mit der Nachverarbeitung der noch nicht ausgeführten Überweisungen und Terminüberweisungen begonnen. Man bittet darum, keine nachträglichen Überweisungen zu tätigen.}
  • Dass sich die Pläne, wie man den Gedächtnisverlust in den Griff kriegt, im Laufe des Prozesses verändert haben, gibt auch die ebenfalls betroffene Commerzbank-Tochter Comdirect unumwunden zu. Dort erhielten Kunden laut entsprechenden Einträgen eine Nachricht zur Nichtausführung der Aufträge in der PostBox (Beispiel hier und hier) sowie den Hinweis, die Überweisung selbst aufzugeben – um dann am Dienstag mit der Information konfrontiert zu werden, die Überweisungen würden dann doch womöglich gebucht. Was dann konkret zu Doppelbuchungen geführt hat und die Frage aufwirft, wieso es zunächst hieß, diese Transaktionen würden nicht ausgeführt.  „Zum Zeitpunkt unserer letzten Info, war es eigentlich so geplant. Manchmal folgt ein Missgeschick dem anderen.  Noch einmal „Sorry!“. Bitte kläre mit dem Empfänger der Zahlung, dass das Geld zurücküberwiesen wird“, so die Comdirect via Twitter. Im Klartext: Liebe Kunden, rennt dem Geld nach, das ihr aufgrund unserer Fehlinformation überwiesen habt.
  • Und sonst (I)? Auf die Frage, wie es sein kann, dass die alten Dresdner-Bank-Konten und jene der alten Dresdner-Filialen nicht betroffen waren (siehe unser gestriger Artikel) antwortet die Commerzbank: „Weil sie die Ziffer „8“ an der vierten Stelle der Bankleitzahl haben, die Störung jedoch nur Konten mit der Ziffer „4″ betraf – genau, das war ja unsere Frage, warum sind die einen Konten betroffen gewesen und die anderen nicht acht Jahre nach Integration der Dresdner Bank?
  • Und sonst (II)? Wie viele betroffene Kunden und Überweisungen beziehungsweise Lastschriften gibt es? Dazu macht die Commerzbank auf Nachfrage keine Angaben, was nach positiver Lesart nicht eben auf eine überschaubare Fallzahl hindeutet, die man gerne kommunizieren würde. Und was man ihr das bei negativer Lesart sogar abnehmen kann, denn sie weiß es – Stichwort Amnesie – womöglich wirklich nicht genau oder bestenfalls näherungsweise auf Basis früherer Transaktionen. Finanz-Szene.de bietet folgende Näherung an: Die Commerzbank kommt nach eigenen Angaben im Privatkundengeschäft auf einen Marktanteil von 8% und bei Firmenkunden von gut 5%. 2017 wickelten Banken in Deutschland 10,3 Mrd. Lastschriften und 6,3 Mrd. Überweisungen ab. Macht im Schnitt rund 64 Millionen Transaktionen pro Bankarbeitstag, zu Monatsbeginn vermutlich eher mehr. Die Spekulation – selbst wenn man die nicht betroffenen Alt-Dresdner-Konten abzieht –, ob die Zahl der betroffenen Transaktionen eine sechsstellige oder eine siebenstellige Zahl ist, überlassen wir Ihnen, liebe Leser*innen.
  • Und sonst (III)? Auf Social Media häufen sich die Beschwerden auch von Firmenkunden (hier im Thread), die Zahlungseingänge ihrer Kunden erwarten und nun darauf angewiesen sind, dem Geld und den Kunden einzeln nachzulaufen. Viele Kunden monieren auch die weiterhin schwere Erreichbarkeit von Filialen und Hotlines.
  • Gibt es auch positive Entwicklungen (I)? Ja, denn die ausgehenden Daueraufträge hat die Commerzbank nach eigenen Angaben vollständig gebucht.
  • Gibt es auch positive Entwicklungen (II)? Die Commerzbank kündigte an, an den Bezahldienstleister Paypal bezüglich einer Lösung heranzutreten, die aber offenbar (vgl. „Störung ist behoben“?) noch nicht gefunden ist. Denn Paypal entfernte aus Sicherheitsgründen das Commerzbank-Konto als Referenzkonto, wenn der Bezahldienstleister davon nicht abbuchen konnte – und Kunden konnten es nach eigenen Angaben auch nicht wieder hinzufügen. Das Konto ist gesperrt, bis Kunden ein alternatives Referenzkonto angeben. (Beispiele hier und hier und hier). Also dann irgendwie doch keine positive Entwicklung.
  • Gibt es auch positive Entwicklungen (III)? Ja: Über Social Media erhalten die Bank und Ihre kommunizierenden Mitarbeiter auch viel Zuspruch, dass Fehler nun mal passieren könnten und man ihnen gute Nerven bei der Aufarbeitung wünscht. Und das tun wir – hier selbst oft nicht frei von Kloppern – ohne jeden Zynismus auch.

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Warum Apples „Sign in“ ein Angriff auf Banken ist

Von Ralf Keuper*

Wenn sich (deutsche) Banken in den vergangenen Jahren mit der „digitalen Identifizierung“ beschäftigen, hatte das immer etwas von einer lästigen Pflichtübung. Geschäftspotenzial? Sahen die Institute bei diesem Thema kaum. Erst allmählich veränderte sich der Blick auf die Dinge. Zum Beispiel bei der Deutschen Bank, die zu den Schöpfern der Identity-Plattform „Verimi“ zählt. Oder bei den Sparkassen und Volksbanken, die sich mit dem deutsch-schweizerischen Anbieter „Yes“ als vertrauenswürdiger Identity-Provider für ihre Kunden positionieren wollen.

Fragt sich nur: Ist die deutsche Kreditwirtschaft noch rechtzeitig aufgewacht? Oder hat sie auch bei diesem Trendthema – in dem manche den neuen Goldstandard im Banking sehen – zu lange gepennt?

Spätestens seit dieser Woche spricht vieles für Letzteres. Denn während in vielen Banken noch immer die Erkenntnis- und Entscheidungsprozesse laufen, sind die Tech-Konzerne dabei, weltweite de-facto-Standards für die digitale Identifizierung zu setzen. Jüngstes Beispiel: Apple. In der Nacht zu Dienstag hiesiger Zeit stellte das US-Unternehmen auf seiner Entwicklerkonferenz „WWDC 2019“  einen neuartigen Login-Service namens „Sign in with Apple“ vor. Auf den ersten Blick tritt der iPhone-Erfinder damit lediglich in Konkurrenz zu den „Social Logins“ von Google und Facebook. Doch auf den zweiten erkennt man: Auch für die Finanzindustrie wird der Tech-Riese (nach dem Deutschland-Start von Apple Pay und der Ankündigung einer Apple-eigenen Kreditkarte) immer mehr zu Widersacher.

Der Charme der neuen Login-Lösung besteht darin, das sie den  Nutzern die Möglichkeit gibt, sich anonym im Internet zu bewegen. Dafür stellt Apple der Usern gewissermaßen Wegwerf-Mailadressen zur Verfügung, die für Dritte keine Rückschlüsse auf die Apple-ID zulassen. Auf die Erstellung von Aktivitätsprofilen oder sogenannten Schattenprofilen (wie Google und Facebook das tun) verzichtet Apple ebenfalls. Letzten Endes können die Nutzer bei dieser Login-Lösung also selbst darüber bestimmen, wem sie welche Daten zur Verfügung stellen – etwa wenn es um Werbung geht. Monetarisieren? Wird Apple das Ganze letztlich indirekt. Etwa über neue Nutzer, die sich mit der Login-Lösung locken und dann binden lassen.

Eines der wesentlichen Argumente der Banken im Vergleich zu den Tech-Konzernen lautet: Sie gehen sorgsamer mit den Daten der Kunden um – doch genau dieses Argument wird von Apple mit dem neuen Login-Service unterminiert. Hinzu kommt: Wenn die digitale Identität wirklich „das neue Geld“ ist (ein Zitat des Fintech-Vordenkers Dave Birch), dann befindet sich der Anbieter in der besten Ausgangsposition, der der Hardware, Software und Services aus einer Hand anbieten. Genau das tut Apple. Hinzu kommt die Usabilty. Und jetzt auch noch: der Trust. Wo liegt da jetzt noch der Wettbewerbsvorteil der Bank, die bislang wenigstens noch darauf verweisen konnten, das Nutzer-Freundlichkeit nicht alles ist.

Unterdessen zeichnen sich die nächsten strategischen Schritte von Apple, Google und Facebook bereits ab. Seit einiger Zeit verfügt Apple über ein Patent, mit dem abgeleitete mobile Identitäten auf das Smartphone übertragen werden können. Die Nutzer können sich also künftig mit ihrem Handy, vorzugsweise dem iPhone, ausweisen. Zusammen mit Apple Pay und Apple Card ergibt das Ganze ein Ökosystem, dem die Banken nicht mehr viel entgegenzusetzen haben. Denn: Apple wird künftig problemlos imstande sein, Identifizierung, Zahlung und – je nach Gusto – weitere Bankdienstleistungen aus einer Hand anzubieten oder aber zu vermitteln.

Wenn es Apple gelingt, dem Nutzer die Furcht vor dem Verlust seiner Identitätsdaten zu nehmen – dann werden Kunden diese Aufgabe dorthin delegieren. In letzter Konsequenz droht den Banken damit der vollständige Verlust der Kundenschnittstelle. Sie wären dann nur noch ein Infrastrukturanbieter (und selbst das womöglich nur auf Zeit).

Was also tun? Die Zeit jedenfalls drängt. Gefragt wären europaweite Standards für die digitale Identifizierung – wie vor Jahrzehnten im Zahlungsverkehr mit dem Eurocheque und der Eurocard. Anbieter die eingangs erwähnten Yes oder Verimi werden das allein nicht leisten können. Benötigt wird stattdessen eine BankID für Europa.

*Ralf Keuper ist einer der führenden Identity-Experten hierzulande und Betreiber der Finanz-Blogs „Bankstil“ und „Identity Economy“. Für Finanz-Szene.de schreibt er ab und zu als Gastautor.

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Auch die Solarisbank hat mit IT-Problemen zu kämpfen

Von Heinz-Roger Dohms

Nicht nur die Commerzbank, auch das Berliner Vorzeige-Fintech Solarisbank hatte nach Informationen von Finanz-Szene.de in den vergangenen Tagen mit einer IT-Panne zu kämpfen. So schrieb uns einer unserer Leser, er sei Kunde beim Konto-App-Anbieter Kontist (der auf Infrastruktur und Banklizenz von Solaris zurückgreift) und habe am Samstag eine Überweisung vorgenommen . Gestern Mittag sei der Vorgang immer noch im Status „Ausführung“ gewesen; erst am Nachmittag ging das Geld dann raus.

Bei Kontist hieß es, das Problem liege bei der Solarisbank – deren Sprecher wiederum gegenüber Finanz-Szene.de bestätigte, dass es „Verzögerungen aus der Buchungsseite“ gegeben habe. Und zwar (Analogie zur Coba) nicht nur bei Geldaus-, sondern ebenfalls auch bei Geldeingängen. Merke: Für IT-Probleme braucht’s gar keine tonnenschwere Legacy. Auf der vielgelobten grünen Wiese passieren solche Dinge bisweilen offenbar genauso.

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!