Geheimnisverrat: «Die IT ist die Achillesferse der Banken»

Aktualisiert

Geheimnisverrat«Die IT ist die Achillesferse der Banken»

Ein Computerfachmann hat Philipp Hildebrand angezeigt: Werden die IT-Experten für die Banken zum Problem? Insider prognostizieren, dass der nächste Daten-GAU nur eine Frage der Zeit ist.

von
P. Dahm
Seit ein IT-Experte der Bank Sarasin Philipp Hildebrands Daten hinter dessen Rücken entwendet hat, steht Nationalbankschef im Fokus.

Seit ein IT-Experte der Bank Sarasin Philipp Hildebrands Daten hinter dessen Rücken entwendet hat, steht Nationalbankschef im Fokus.

Aus Schaden wird man klug: Die Schweizer Geldinstitute haben aus den Image-Desastern um gestohlene Kundendaten gelernt. Wenn das Bankgeheimnis verraten wurde, war ein IT-Angestellter am Werk – und deshalb gelten bei UBS, Credit Suisse und Co. mittlerweile neue Spielregeln. «Einen USB-Stick oder eine mobile Festplatte können wir bei der Arbeit gar nicht mehr einstecken», erklärt Reto*, der im mittleren Management einer grossen Bank arbeitet. Sind die technischen Hindernisse also der Grund, dass vor allem Computerexperten ihren Arbeitgeber verraten?

Wer kennt welche Daten?

Nicht nur, erklärt Reto: Es hänge davon ab, an welchem Ende der Nahrungskette der Angestellte sitzt. Gibt ein Kundenberater beispielsweise den Kaufauftrag eines Kunden weiter, werden die Daten in den weiteren Bearbeitungsschritten anonymisiert. Herr und Frau Schweizer sind dann bloss noch eine Nummer, die ohne Datenbank-Zugriff nicht zugeordnet werden können. «Ein Kundenberater könnte betrügen oder Daten stehlen, aber nicht die Mitarbeiter, die dazwischengeschaltet sind. Und natürlich die IT-Leute, die Zugriff auf die Kundendaten haben», führt Reto aus.

Warum finden sich dann aber nicht mehr Kundenberater unter den Daten-Dieben? «Zum einen verdienen sie besser als die IT-Kollegen. Zum anderen kann niemand mehr in der Branche arbeiten, der das Bankgeheimnis verrät. Als Kundenberater für Finanzprodukte wird es schwer, einen neuen Job zu finden. Als Computerfachmann hast du da dagegen keine Probleme.» Das beste Beispiel dafür ist Paul*, der früher bei einer Bank sein Geld verdient hat, dann aber (freiwillig) die Branche wechselte.

Banken reagieren mit Arbeitsteilung und elektronischer Überwachung

Ist die IT-Abteilung die Schwachstelle der Finanzinstitute? «Kommt drauf an», meint Paul. «Nur diejenigen, die produktive Systeme betreuen, können auf alles zugreifen. Wenn du aber als Entwickler bei einer Bank arbeitest, bekommst du nur Test-Daten.» Wenn also beispielsweise neue Software für den elektronischen Handel geschrieben werden muss, arbeiten die Programmierer mit den Zahlen eines «Max Mustermann», der die Kundennummer 000001 hat.

Wichtig sei aber auch, wie gross das Institut ist: «Bei einer Grossbank wird die IT-Arbeit verteilt, bei einer Privatbank kann ein Entwickler dagegen auf alles zugreifen.» Bei einer Grossbank arbeitet auch IT-Experte Urs*, der Pauls Aussage bestätigt. Doch 100-prozentig sicher seien auch die Kundendaten von Credit Suisse und Co. nicht. «Es kann da auch Probleme geben, weil Prozesse so definiert sind, dass dann doch jemand Einblick hat. Zwar nicht auf alles, aber schon auf sensible Sachen.»

Die Geldinstitute versuchen laut dem Informanten, der Gefahr elektronisch zu begegnen: Wenn Mails mit vertraulichem Inhalt weitergeleitet oder ausgedruckt werden, erhält die Chefetage automatisch eine Warnung.

«Nur eine Frage der Zeit, bis der nächste Mitarbeiter Daten mitgehen lässt»

Banker Reto weiss jedoch, dass auch Berater noch zu Tätern werden können. «Wenn ich die IT bitte, mir eine Daten-CD zu brennen, müssten sie ja alles genau kontrollieren, um auszuschliessen, das dazwischen brisantes Material ist», verdeutlicht er. Urs gibt zu bedenken, dass die Mitarbeiter Screenshots ihrer Bildschirme machen können, die sie dann verschicken: Bildformate wie «Jpeg» erregen keinen Verdacht.

Sollten auf diesem Wege aber sensible Zahlen verschwinden, ist es nur eine Frage der Zeit, bis das schwarze Schaf gefunden worden ist. «Die Mitarbeiterdaten werden für Jahre aufgehoben – inklusive interner Kommunikation. Die Chance, entdeckt zu werden, ist also hoch. Es dauert unter Umständen nur länger.»

Trotz aller Überwachung ist sich Urs jedoch sicher, dass das Daten-Dilemma die Chefetagen weiter beschäftigen wird. «Die IT-Abteilung ist die Achillesferse der Banken. Das Problem ist auch, dass in der IT immer mehr Externe arbeiten und immer mehr ausgelagert wird. Ich sehe es so, dass das Problem eher grösser als kleiner wird. Es ist nur eine Frage der Zeit, bis der nächste Mitarbeiter Daten mitgehen lässt. Die Frage ist, ob er damit durchkommt.»

* Namen geändert

Philipp Hildebrand spricht auf einer Pressekonferenz in Zürich am 5. Januar 2012 über Datendiebstahl.

Bekannte Datendiebe

2010 Nordrhein-Westfalen kauft für 2,5 Millionen Euro die Daten-CD eines Credit-Suisse-Bankers, der im Dezember 2011 zu zwei Jahren bedingt und einer Geldstrafe verurteilt wurde.

2009 Die britische HSBC-Bank muss einräumen, dass ein ehemaliger IT-Mitarbeiter Hervé Falciani Daten von Schweizer Kunden entwendet und der französischen Regierung zum Kauf angeboten hat.

2004 Rudolf Elmer, ein Angestellter der Privatbank Julius Bär, gibt Kundendaten einer Tochterfirma auf den Cayman Inseln an Medien und Steuerbehörden weiter. Aufsehen erregt er 2008 und 2011 aber vor allem mit der Weitergabe von Informationen an die Whistleblower-Plattform WikiLeaks

2002 Heinrich Kieber, der bei der LGT-Bank für die Digitalisierung des Papier-Archivs zuständig war, versucht, den Fürst von Liechtenstein mit gestohlenen Daten deutscher Kunden zu erpressen. 2006 soll er die Informationen dem deutschen Bundesnachrichtendienst verkauft haben: Die «Liechtensteiner Steueraffäre» belastet das Verhältnis der beiden Staaten erheblich. Nach Kieber, der sich abgesetzt hat, wird bis heute gefahndet. Mehr in: «Der einsame Millionär vom Campingplatz».

Deine Meinung