
84 Prozent der Bevölkerung in Deutschland nutzten 2024 Online- und Mobile-Banking, gegenüber 64 Prozent im Jahr 2020 und weniger als 5 Prozent im Jahr 1998, wie die Statista-Auswertung zur Online-Banking-Nutzung in Deutschland zeigt. Für CTOs ist das keine Randnotiz. Es ist ein Architekturproblem, ein Betriebsproblem und ein Priorisierungsproblem.
Wer heute über Software für Banken spricht, meint nicht mehr nur Kernbanking oder eine App für Endkunden. Gemeint ist ein gesamter Software-Stack, der Transaktionen zuverlässig verarbeitet, regulatorische Anforderungen sauber abbildet, alte Systeme kontrolliert einbindet und neue Funktionen schneller in Produktion bringt als die Organisation es früher gewohnt war.
Viele Institute hängen genau an dieser Stelle fest. Das Frontend soll moderner werden. Die Prozesse sollen digitaler werden. Die Cloud soll genutzt werden. Gleichzeitig laufen kritische Buchungslogiken auf historisch gewachsenen Plattformen, Schnittstellen sind inkonsistent, Sicherheitsfreigaben dauern lange und jedes neue Compliance-Feature greift tief in bestehende Abläufe ein.
Gute Modernisierung beginnt deshalb nicht mit einer Tool-Liste. Sie beginnt mit klaren Architekturentscheidungen, belastbaren Integrationsmustern und einem Team, das Regulatorik und Delivery gleichzeitig beherrscht.

Das verschiebt den Fokus. Bankensoftware ist für viele Institute längst die operative Oberfläche des Geschäfts. Dort treffen Kundenerlebnis, Prozessqualität, Risikosteuerung und regulatorische Nachvollziehbarkeit direkt aufeinander. Wenn Anmeldung, Freigabe oder Buchungsstatus nicht zuverlässig funktionieren, entsteht kein isoliertes IT-Problem, sondern ein Vorfall mit Folgen für Service, Vertrieb, Revision und Marke.
Gerade im deutschen Markt kommt ein weiterer Faktor hinzu. Banken modernisieren unter Aufsicht, mit gewachsenen Kernsystemen und mit Abhängigkeiten zu Auslagerungen, Verbundstrukturen, Rechenzentren und Fachverfahren, die sich nicht einfach austauschen lassen. Deshalb scheitern Vorhaben selten an der Zielidee. Sie scheitern an zu groben Architekturannahmen, schwacher Integration und fehlender Verantwortung zwischen Fachbereich, IT, Informationssicherheit und Compliance.
Die Ausgangslage ist meist komplex. In einer typischen Bank laufen Kernprozesse auf historisch gewachsenen Plattformen, daneben bestehen Eigenentwicklungen, Standardsoftware, Batch-Strecken, Dateiübertragungen und spezialisierte Lösungen für Zahlungsverkehr, Kredit, Meldewesen, Betrugsprävention und Archivierung. Jede dieser Komponenten erfüllt einen Zweck. Zusammen erzeugen sie aber oft Kopplung, die Änderungen teuer und langsam macht.
Ich sehe in Modernisierungsprogrammen immer wieder dieselben Muster:
Praxisregel: In Bankprojekten ist selten die neue Anwendung der Engpass. Kritisch sind die Schnittstellen, die Betriebsübergänge und die Frage, wer fachliche und regulatorische Verantwortung entlang des Prozesses tatsächlich trägt.
Ein tragfähiger Modernisierungspfad verbindet Technik, Organisation und Regulierung. Benötigt werden ein klares Zielbild für die Systemlandschaft, Integrationsmuster, die mit Legacy und Aufsicht vereinbar sind, und Teams, die Architektur, Security, Fachprozess und Delivery gemeinsam steuern können. Ohne diese Kombination wächst die Zahl der Systeme schneller als die Fähigkeit, sie kontrolliert zu ändern.
Software für Banken muss deshalb mehr leisten als Funktionen bereitzustellen. Sie muss stabile Kernprozesse absichern, Änderungen nachvollziehbar machen, externe und interne Schnittstellen sauber trennen und Releases unter regulatorischen Bedingungen beherrschbar halten. Genau an dieser Stelle entscheidet sich, ob Modernisierung echte Handlungsfähigkeit schafft oder nur eine neue Schicht technischer Komplexität darüberlegt.
Eine moderne Bankenlandschaft besteht nicht aus einem einzigen System. Sie besteht aus spezialisierten Schichten, die unterschiedlich kritisch, unterschiedlich reguliert und unterschiedlich veränderbar sind. Wer diese Schichten nicht sauber trennt, bekommt entweder zu viel Kopplung oder zu viel Komplexität.
Das Kernbankensystem ist nicht verhandelbar. Es verarbeitet tägliche Transaktionen, verwaltet Kundenkonten, bearbeitet Kredite und Einlagen und kommuniziert mit Filialen. Damit ist es keine Option, sondern Voraussetzung für den Bankbetrieb, wie der Leitfaden zu Kernbankensystemen von Bancos treffend beschreibt.
Genau deshalb sollte ein CTO das Kernsystem nicht nur als Softwareprodukt betrachten, sondern als betriebliche Wahrheitsschicht. Dort gelten andere Standards als im digitalen Kanal. Änderungen müssen berechenbar, testbar und revisionssicher sein. Das spricht nicht automatisch gegen Modernisierung. Es spricht gegen unkontrollierte Eingriffe.
Rund um das Kernbanking entstehen weitere Domänen, die oft schneller angepasst werden müssen als das eigentliche Buchungssystem:
Ein häufiger Architekturfehler besteht darin, diese Systeme fachlich sauber zu trennen, aber betrieblich nicht. Dann hat jedes Team seine Anwendung, doch niemand besitzt Ende-zu-Ende-Verantwortung für den Prozess vom Kundenereignis bis zur Buchung.
| Software-Typ | Hauptfunktion | Beispiel-Technologien / Standards |
|---|---|---|
| Kernbankensystem | Kontoführung, Buchungen, Kredite, Einlagen | Relationale Datenbanken, Batch- und Echtzeit-Verarbeitung |
| Zahlungsverkehrssystem | Zahlungsabwicklung und Autorisierung | FinTS, API-Schnittstellen, Messaging |
| Digital Banking | Web- und Mobile-Zugänge für Kunden | Mobile Apps, Web-Frontends, Identity Services |
| Firmenkunden-Software | Zahlungsverkehr und Kontoverwaltung im B2B-Kontext | BankingManager, Profi Cash, GENO Cash |
| Compliance-Software | KYC, AML, Monitoring, Auditierbarkeit | Regelwerke, Screening Engines, Case Management |
| Daten- und Integrationsschicht | Datenaustausch zwischen Alt- und Neusystemen | APIs, Eventing, Middleware, ETL |
Im Firmenkundengeschäft ist die Lage noch klarer. Lösungen wie BankingManager, Profi Cash und GENO Cash unterstützen unterschiedliche Unternehmensgrößen und integrieren tägliche Transaktionen, Kundenkontenverwaltung und Kreditbearbeitung, wie die Übersicht der VR-Banking-Software für Firmenkunden zeigt.
Ein Firmenkunde verzeiht eine hübsche Oberfläche ohne Prozessstabilität nicht. Entscheidend sind Freigaben, Sammelzahlungen, Rechtekonzepte und belastbare Exporte in bestehende Finanzprozesse.
Erfolgreiche Banken ordnen ihre Softwarelandschaft nach Änderungsrate und Kritikalität. Stabile Buchungslogik bleibt stark kontrolliert. Kundennahes Frontend, Reporting und ergänzende Services werden modularer gebaut. Diese Trennung senkt das Risiko. Sie verbessert auch die Liefergeschwindigkeit, weil nicht jede Produktänderung das Kernsystem berührt.
Architekturentscheidungen im Banking lassen sich nicht mit allgemeinen Tech-Trends beantworten. Ein Monolith ist nicht automatisch falsch. Microservices sind nicht automatisch richtig. Entscheidend ist, wo fachliche Grenzen liegen, wie hoch die regulatorische Last ist und wie viel operative Reife das Team wirklich besitzt.

Monolithische Systeme haben im Bankenumfeld reale Vorteile. Sie bündeln Transaktionslogik, Datenkonsistenz und betriebliche Kontrolle an einer Stelle. Das ist besonders dann sinnvoll, wenn Prozesse eng gekoppelt, Audit-Anforderungen hoch und Release-Fenster stark reguliert sind.
Microservices spielen ihre Stärke an anderer Stelle aus. Sie helfen dort, wo sich Funktionen unterschiedlich schnell ändern, Teams unabhängig arbeiten sollen und neue digitale Produkte nicht an einem zentralen Release-Zyklus hängen dürfen. Das gilt oft für Onboarding, Benachrichtigungen, Dokumentenverarbeitung, Self-Service-Strecken oder Analysefunktionen.
Die falsche Entscheidung ist meist nicht “Monolith” oder “Microservices”. Die falsche Entscheidung ist, fachlich ungeschnittene Services zu bauen, die intern genauso stark gekoppelt sind wie ein Monolith, nur mit deutlich höherem Betriebsaufwand.
Viele Banken leben auf absehbare Zeit in einem hybriden Zustand. Ein Teil der Kernlogik bleibt in zentralen Systemen. Neue Funktionen entstehen daneben. Dann wird Integration zur Schlüsselkompetenz.
Der deutsche FinTS-Standard ist dafür ein gutes Beispiel. Er definiert eine einheitliche Schnittstelle und reduziert mit TLS 1.3 und 256-Bit-Schlüsseln die Authentifizierungszeit für Online-Banking-Transaktionen von 2,8 s auf 1,2 s, wie die Beschreibung des FinTS-Standards der Deutschen Kreditwirtschaft ausweist. Für Architekten ist daran weniger die absolute Zahl interessant als die Lehre dahinter: Standardisierung macht Systeme nicht nur interoperabler, sondern oft auch schneller und besser beherrschbar.
In der Umsetzung bewähren sich im Banking vor allem diese Muster:
Gute Integrationsarchitektur schützt das Kernsystem. Sie zwingt neue Produkte nicht, dessen interne Logik zu kennen.
Cloud ist im deutschen Bankenumfeld keine reine Infrastrukturfrage. Sie ist eng mit Datenschutz, Betriebsmodell, Prüfpfaden und Datenlokalisierung verbunden. Der Widerspruch ist sichtbar: Laut der PwC-Studie zum Cloud Computing im Bankensektor nutzten 78 Prozent der deutschen Banken bereits 2021 Cloud-Lösungen. Gleichzeitig zögern 78 Prozent der deutschen Banken beim Cloud-Banking wegen der Komplexität der DSGVO-Anpassung und Unsicherheiten bei der Datenlokalisierung in Public Clouds. Zudem waren nur 22 Prozent der mittelständischen Banken vollständig für die Cloud-Migration genehmigt, wie der Bankenverband zu Cloud-Banking in Deutschland festhält.
Für CTOs folgt daraus kein Cloud-Verbot. Es folgt eine nüchterne Architekturentscheidung. Produktive, regulierungssensible Kernfunktionen brauchen oft andere Betriebsmodelle als analytische oder kanalnahe Dienste. Hybride Modelle sind deshalb häufig sinnvoller als dogmatische Zielbilder.
Compliance ist im Banking keine juristische Anhängsel-Arbeit. Sie ist ein Teil der Systemarchitektur. Wer KYC, AML, Datenschutz, Protokollierung und Zugriffskontrolle erst nachträglich ergänzt, baut technische Schulden mit regulatorischem Risiko.

Das sieht man besonders deutlich bei Echtzeit-AML. 94 Prozent der deutschen Banken stufen Echtzeit-Transaktionsüberwachung als kritisch ein, aber nur 31 Prozent zeigen funktionierende API-Integrationen mit Alt-Systemen, wie der Leitfaden zu AML-Software und Integrationsproblemen beschreibt.
Das ist ein klassisches Muster in Modernisierungsprojekten. Die Bank beschafft ein leistungsfähiges AML- oder Fraud-Tool, aber der operative Flaschenhals liegt woanders:
Die Folge ist vorhersehbar. Das Tool ist da, die Compliance-Anforderung bleibt, aber die technische Wirkung bleibt begrenzt.
Bankensoftware braucht Sicherheitsmechanismen auf mehreren Ebenen gleichzeitig. Nicht nur im Netzwerk, sondern in Code, Datenmodell, Prozessdesign und Betrieb. Das ist vor allem dann kritisch, wenn mehrere Teams parallel an kanalnahen und kernnahen Komponenten arbeiten.
Praktisch relevant sind mindestens diese Punkte:
BaFin, DSGVO, PSD2 und interne Revisionsanforderungen wirken direkt auf Softwaredesign. Sie beeinflussen, wie Identitäten modelliert werden, wie lange Daten aufbewahrt werden dürfen, welche Schnittstellen dokumentiert sein müssen und wie nachvollziehbar Entscheidungen im System sein sollen.
Wer das ernst nimmt, baut nicht nur Features. Er baut Kontrollpunkte. In vielen Teams fehlt dafür die Verbindung zwischen Compliance-Verständnis und technischer Umsetzung. Genau dort helfen klare technische Leitplanken mehr als allgemeine Policies. Eine gute Basis dafür ist ein durchgängiger Blick auf Compliance-Anforderungen in der Softwareentwicklung.
Compliance wird teuer, wenn sie spät kommt. Sie wird handhabbar, wenn Datenflüsse, Rollenmodelle und Nachvollziehbarkeit von Anfang an mitdesignt werden.
Schlecht funktionieren vor allem drei Ansätze: manuelle Prüfketten als Dauerlösung, zu generische Rechtekonzepte und isolierte Compliance-Tools ohne Prozessintegration. Sie sehen auf Folien ordentlich aus, brechen aber im Tagesbetrieb auseinander. Banken brauchen keine separate Compliance-Insel. Sie brauchen Software für Banken, in der regulatorische Anforderungen technisch eingebettet sind.
Die meisten Migrationsprogramme scheitern nicht an fehlender Technologie. Sie scheitern an falscher Schnittbildung, unrealistischen Rollout-Plänen und unterschätzter Datenkomplexität. Im Banking gilt besonders: Je kritischer der Prozess, desto weniger verzeiht die Organisation einen theoretischen Migrationsplan.

Ein Big Bang hat einen Vorteil. Der Zielzustand ist nach dem Cutover klar. Es gibt keine lange Übergangsphase mit Doppelbetrieb und weniger Integrationsübergängen. Im Bankenumfeld ist dieses Vorgehen trotzdem nur in eng begrenzten Szenarien sinnvoll, etwa bei kleineren, fachlich isolierten Anwendungen.
Für zentrale Plattformen funktioniert ein schrittweiser Ansatz oft besser. Das Strangler-Pattern ist besonders nützlich: Neue Funktionen werden ausserhalb des Altsystems aufgebaut, während bestehende Teile kontrolliert ersetzt werden. So sinkt das Risiko, weil jede Etappe separat getestet, überwacht und fachlich freigegeben werden kann.
Der Preis dafür ist höherer Architekturaufwand. Übergänge, Synchronisation und temporäre Doppelstrukturen müssen aktiv gemanagt werden. Trotzdem ist dieser Preis im Banking häufig vernünftiger als ein grosser Umschalttermin mit schwer kalkulierbaren Seiteneffekten.
In der Praxis bewährt sich eine Roadmap mit klarer technischer Priorisierung:
Systeminventur und Schnittstellenanalyse
Nicht nur Anwendungen erfassen, sondern reale Abhängigkeiten, Batch-Fenster, Dateipfade, manuelle Workarounds und Freigabeschritte dokumentieren.
Domänen sauber schneiden
Zuerst die Bereiche isolieren, die fachlich begrenzbar und technisch entkoppelbar sind. Kanäle, Dokumente, Benachrichtigungen und Reporting eignen sich oft früher als Buchungslogik.
Integrationsschicht aufbauen
APIs, Events, Adapter und Observability zuerst. Nicht als Nebenthema, sondern als Voraussetzung.
Pilotbetrieb mit klaren Erfolgsgrenzen
Ein Pilot sollte produktionsnah sein, aber fachlich eingegrenzt. Sonst ist er nur Demo, nicht Beweis.
Datenmigration in Wellen
Historische Daten, aktive Datensätze und Referenzdaten sollten unterschiedlich behandelt werden. Gleiches Vorgehen für alles ist meist ein Fehler.
Go-live mit Rückfalloptionen
Fachliche Eskalationswege, Monitoring und Rollback-Entscheidungen müssen vor dem Start feststehen.
Modernisierung muss am Ende auch operativ wirken. In deutschen Kernbankensystemen senkt eine Reduktion der Verarbeitungszeit von 150 ms auf unter 40 ms die Fehlerquote bei simultanen Zugriffen von 3,2 Prozent auf 0,7 Prozent, wie die Marktübersicht zu Kernbankensystemen im IT-Finanzmagazin zeigt.
Diese Art von Verbesserung ist für den Betrieb entscheidend. Sie bedeutet nicht nur mehr Geschwindigkeit. Sie bedeutet weniger Konflikte bei parallelen Zugriffen, stabilere Lastsituationen und weniger operative Störungen.
Wer einen Business Case für Modernisierung baut, sollte nicht nur über neue Features sprechen. Betriebsstabilität, Fehlerraten und Wiederanlaufverhalten überzeugen in Budgetrunden oft stärker.
Drei Probleme tauchen fast immer auf:
Gute Migration ist deshalb kein reines IT-Projekt. Sie ist kontrollierte Betriebsveränderung.
Bei Software für Banken entscheidet nicht nur die Produktqualität. Entscheidend ist, ob Anbieter, Architektur und Teammodell zusammenpassen. Viele Institute kaufen entweder zu viel Standardsoftware oder bauen zu viel selbst. Beides kann teuer werden.

Die richtige Frage lautet nicht: Was ist günstiger? Die richtige Frage lautet: Wo liegt Ihr differenzierender Prozess, und wo ist Standardisierung sinnvoll?
Buy ist oft vernünftig bei klar standardisierten Domänen. Dazu zählen etwa Finanzverwaltungsprogramme und Multi-Banking-Lösungen. Moderne Online-Banking-Softwares in Deutschland integrieren bis zu 4.500 verschiedene Banken und Bezahlservices. Anbieter wie Outbank, Alf-Banco, Starmoney, Wiso, Lexware, Money Money, Moneyplex und Hibiscus zeigen, wie weit standardisierte Interoperabilität bereits reicht, wie der Vergleich zu Online-Banking-Software in Deutschland bei WELT zusammenfasst. Wer in solchen Feldern alles selbst bauen will, konkurriert gegen etablierte Integrationsarbeit.
Build lohnt sich dort, wo Prozesse institutsindividuell sind. Das betrifft oft Vertriebslogik, interne Workflow-Steuerung, spezifische Firmenkundenprozesse oder die Orchestrierung mehrerer Bestandssysteme. Auch dort sollte aber nicht alles selbst entstehen. Häufig ist ein hybrider Ansatz besser: Standardkomponenten einkaufen, differenzierende Schicht selbst entwickeln.
Ein guter Vendor-Fit zeigt sich nicht primär im Pitch, sondern in diesen Punkten:
Ein häufiger Fehler ist Vendor Selection durch Feature-Matrix. Im Banking muss die Integrationsrealität höher gewichtet werden als Demo-Komfort.
Auch mit dem richtigen Produkt scheitert ein Projekt, wenn im Team die falschen Fähigkeiten fehlen. Für Bankensoftware braucht es selten nur Backend-Entwickler. Benötigt werden meist mehrere Kompetenzfelder gleichzeitig:
Ein rein internes Team hat Vorteile bei Kontextwissen und institutioneller Kontrolle. Es stösst aber schnell an Grenzen, wenn kurzfristig Spezialwissen nötig ist oder parallele Transformationsstränge laufen. Ein erweitertes Teammodell ist dann oft praktikabler als langwieriger Aufbau aller Profile in Festanstellung.
Der Vergleich ist nüchtern:
| Modell | Stärken | Schwächen |
|---|---|---|
| Rein inhouse | Hohes Domänenwissen, direkte Steuerung, interne Kontinuität | Langsamer Kapazitätsaufbau, schwierige Besetzung spezialisierter Rollen |
| Team-Augmentation mit Senior-Profilen | Schneller Zugriff auf Spezialwissen, flexible Skalierung, Fokus auf Engpassrollen | Bedarf an sauberem Onboarding und klaren Verantwortlichkeiten |
Externe Senior-Entwickler helfen dann am meisten, wenn sie nicht als Ticket-Abarbeiter eingesetzt werden, sondern klar definierte Architektur-, Integrations- oder Delivery-Verantwortung übernehmen.
Für viele CTOs ist deshalb nicht Nearshore gegen Offshore die wichtigste Debatte, sondern Steuerbarkeit gegen Reibung. Wer verteilte Teams bewertet, sollte auf Kommunikationsreife, Ownership und technische Selbstständigkeit achten. Die Unterschiede zwischen den Modellen sind in der Praxis oft grösser als auf dem Papier, besonders im Vergleich von Nearshore- und Offshore-Entwicklungsmodellen.
FinTS ist ein etablierter Standard der deutschen Kreditwirtschaft für die Kommunikation zwischen Bankkunden-Software und Kreditinstituten. Er ist besonders relevant für klassische Banking-Software und Finanzverwaltungsprogramme. PSD2-APIs folgen dagegen stärker dem Open-Banking-Gedanken und adressieren den kontrollierten Zugriff durch Drittdienstleister.
Technisch bedeutet das: FinTS ist stark in gewachsenen deutschen Banking-Prozessen verankert. PSD2-APIs sind stärker auf standardisierte Drittintegration ausgerichtet. In vielen Banken existieren beide Welten parallel. Strategisch sollte man sie nicht gegeneinander ausspielen, sondern nach Anwendungsfall trennen.
Ja. Viele monolithische Kernsysteme bleiben auf Jahre hinaus relevant, weil sie kritische Buchungslogik, Datenkonsistenz und etablierte Betriebsprozesse bündeln. Das Problem ist nicht der Monolith an sich. Das Problem ist fehlende Entkopplung an den Rändern.
Sinnvoll ist oft ein Modell, in dem das Kernsystem für transaktionskritische Prozesse stabil bleibt, während neue Funktionen in separaten Diensten entstehen. So wird nicht das Herzstück ersetzt, bevor die Bank weiss, ob Organisation, Integration und Betrieb das tragen können.
Low-Code kann im Banking nützlich sein, aber nur in klar begrenzten Bereichen. Gute Einsatzfelder sind interne Workflows, Formulare, einfache Service-Strecken oder operative Dashboards. Kritisch wird es bei transaktionsnaher Logik, komplexen Freigaben, tiefen Integrationen oder stark auditpflichtigen Prozessen.
CTOs sollten deshalb drei Fragen stellen:
Low-Code ist kein Ersatz für Architektur. Es ist ein Werkzeug. In regulierten Umgebungen zählt weniger, wie schnell ein Screen gebaut ist, sondern wie kontrollierbar Änderungen im Betrieb bleiben.
Nicht mit einem Komplettzielbild für alles. Besser ist ein eng geschnittener Startpunkt mit hohem Erkenntniswert. Gute Kandidaten sind häufig Integrationsschicht, kanalnahe Prozesse oder ein klar abgegrenzter Firmenkunden-Use-Case. Dort zeigt sich schnell, ob Team, Architektur und Governance zusammenpassen.
Wichtig ist, früh echte Produktionsbedingungen zu testen. Eine isolierte Sandbox beweist wenig. Entscheidend sind reale Datenflüsse, Monitoring, Sicherheitsfreigaben und die Zusammenarbeit mit Fachbereichen.
Keine einzelne. In Bankprojekten sollte man immer ein kleines Set betrachten: Durchlaufzeit für Änderungen, Fehlerraten im Betrieb, Stabilität bei Last, Integrationsaufwand pro neuem Use Case und Auditierbarkeit. Genau dieses Zusammenspiel zeigt, ob eine Plattform tragfähig ist oder nur modern aussieht.
Wenn Sie Ihre Bankensoftware modernisieren und dafür kurzfristig erfahrene Senior-Entwickler für Architektur, Integration oder Delivery brauchen, kann PandaNerds Ihr internes Team gezielt ergänzen. Der Fokus liegt auf sorgfältig geprüften Senior-Profilen, die sich in bestehende Teams einfügen, Verantwortung übernehmen und ohne langfristigen Overhead skalierbar verfügbar sind.