Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat der Deutsche Sparkassen Leasing AG & Co. KG Auflagen zur Verbesserung ihrer Geschäftsorganisation erteilt. Hintergrund ist eine Sonderprüfung Ende 2024, bei der erhebliche Mängel im IT-Bereich festgestellt wurden.
Betroffen waren laut BaFin insbesondere das Schwachstellenmanagement sowie das Identitäts- und Rechtemanagement – zentrale Bereiche für die IT-Sicherheit eines Finanzinstituts. Damit habe das Unternehmen gegen die Vorgaben des Kreditwesengesetzes (KWG) verstoßen, konkret gegen § 25a Absatz 1 KWG, der eine ordnungsgemäße Geschäftsorganisation vorschreibt.
Die BaFin forderte das Institut auf, die Mängel unverzüglich zu beheben und die internen Strukturen so anzupassen, dass gesetzliche und betriebswirtschaftliche Anforderungen künftig erfüllt werden. Die Anordnung ist seit dem 23. September 2025 rechtskräftig.
Die BaFin stützt ihr Vorgehen auf § 25a Absatz 2 Satz 2 KWG, der es der Aufsicht erlaubt, bei organisatorischen Schwächen einzuschreiten und verbindliche Maßnahmen anzuordnen. Die Anforderungen an eine sichere und funktionierende IT sind in den Bankaufsichtlichen Anforderungen an die IT (BAIT) konkret geregelt.
Ziel der BaFin ist es, sicherzustellen, dass Kredit- und Finanzdienstleistungsinstitute angemessen gegen Cyberrisiken geschützt sind und über eine verlässliche IT-Governance verfügen. Eine Veröffentlichung solcher Maßnahmen erfolgt gemäß § 60b Absatz 1 KWG, um Transparenz im Finanzsektor zu gewährleisten.
Einordnung:
Der Fall zeigt, dass die BaFin ihre Kontrollen im Bereich der IT-Sicherheit deutlich verschärft. Gerade in Zeiten zunehmender Cyberangriffe und wachsender digitaler Abhängigkeit sind Institute verpflichtet, ihre Systeme regelmäßig zu überprüfen und abzusichern.
Für Kundinnen und Kunden der Deutschen Sparkassen Leasing AG & Co. KG bedeutet der Eingriff vor allem eines: Die Finanzaufsicht will Schwachstellen schließen, bevor sie zu Risiken für Daten oder Geschäftsprozesse werden.
Kommentar hinterlassen