(aktualisiert: Statement Deutsche Bank) 

Die Finanzaufsicht BaFin hat gegen die Deutsche Bank eine Geldbuße von 50.000 Euro festgesetzt. Wie die Behörde mitteilte, habe das Institut ihr gegenüber falsche Angaben ”zu einem schwerwiegenden kundenrelevanten IT-Sicherheitsvorfall” bei seinen Zahlungsdiensten im vergangenen Jahr gemacht. Die Bank habe die BaFin zudem ”deutlich verspätet informiert”.

Ein Sprecher der Deutschen Bank: „Die Deutsche Bank hat einen Bußgeldbescheid der BaFin akzeptiert, der sich auf eine nicht ordnungsgemäße Meldung eines IT-Vorfalls im Juni 2023 bezieht, der innerhalb kürzester Zeit behoben wurde. Die Bank hat ihre Prozesse umgehend angepasst, um vorzubeugen, dass sich ein solcher IT-Vorfall wiederholt. Mit dem Bußgeldbescheid zum Meldeprozess ist der Vorgang abgeschlossen.“

Wie in der Bank zu hören ist, bezieht sich der Bußgeldbescheid auf den Meldeprozess, nicht den IT-Vorfall - dieser wiederum stehe nicht im direkten Zusammenhang mit der IT-Migration Unity. Der IT-Vorfall konnte offenbar innerhalb weniger Stunden nach Kenntnis behoben werden, heißt es.

Unverzügliche Meldung verlangt 

Finanzinstitute müssen die BaFin ”unverzüglich” informieren, wenn es zu einem schwerwiegenden Betriebs- oder Sicherheitsvorfall bei ihren Zahlungsdiensten kommt.

Die BaFin schreibt: ”Wenn ein Unternehmen einen Vorfall bemerkt hat, muss es diesen spätestens nach 24 Stunden klassifizieren, als schwerwiegend oder nicht schwerwiegend. Liegen bereits alle erforderlichen Informationen vor, muss es den Vorfall unverzüglich einstufen.”

Werde ein Betriebs- oder Sicherheitsvorfall als schwerwiegend eingestuft, müsse der Zahlungsdienstleister ihn innerhalb von vier Stunden melden über das von der BaFin zur Verfügung gestellte MVP-Portal - die Erstmeldung. Werde ein Vorfall rückwirkend als schwerwiegend eingestuft, müsse das Unternehmen unmittelbar nach dieser Änderung eine Erstmeldung an die BaFin übermitteln.