Bankgeheimnis spurlos verschwunden
Von Jorgos Brouzos und Lukas Hässig
Die Banken müssten im Ausland die Gesetze einhalten, fordert die Bankenaufsicht. Doch so manches Institut setzt lieber auf technische Tricks und säubert im Notfall die mobilen Computer der Kundenberater. Handelszeitung, 27. Oktober 2010
Der Anzug im dezenten Grau mag unauffällig, die umgehängte Laptoptasche harmlos wirken. Doch für die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht Bafin passen diese Merkmale ins Fahndungsraster: «Gegen den Willen der Betroffenen können bei Verdacht auch Laptops sichergestellt werden», so die Drohung an jene Schweizer Banker, die Kunden im Ausland besuchen wollen. Fraglich ist nur, ob sich die Kundenberater dadurch noch einschüchtern lassen.
Zahlreich sind die Tricks, die sich Schweizer Banker jenseits der Grenze einfallen lassen, um von ausländischen Behörden nicht mit belastenden Kundendaten geschnappt zu werden. Szenekenner berichten von Geräten, bei denen erst in einem Excel-Datenblatt auf die richtige Stelle geklickt werden muss, um auf die vertraulichen Kundendaten zugreifen zu können. In Laptops eingebaute Bewegungsmelder, völlig anonymisierter Datenverkehr sowie versteckte und verschlüsselte Dateien sollen Schutz vor unbefugtem Zugriff gewähren.
Die Eidgenössische Finanzmarktaufsicht Finma will von solch fragwürdigen Methoden nichts mehr wissen. Zu gross waren in der Vergangenheit die Imageschäden, die aus solchen Schummeleien entstanden. In ihrem kürzlich veröffentlichten Positionspapier fordert sie die Banken ultimativ auf, die Gesetze im Ausland einzuhalten. Die Finma will, dass die Banken die grenzüberschreitenden Rechts- und Reputationsrisiken kennen, ihre Mitarbeiter schulen und laufend überwachen (siehe Kasten). Doch statt aufwendiger Compliance ist es für die Banken offenbar einfacher, den strikteren Regulierungen im Ausland mit Hightech-Produkten zu begegnen.
Der Trick mit dem Stick
Der letzte Schrei in der James-Bond-Ausrüstung von Schweizer Privatbankern kostet nur gerade 140 Fr. Herstellerin ist das israelische Sicherheitssoftware-Unternehmen Check Point Software Technologies. Der Chef der Software-Firma heisst Gil Shwed – ein israelischer Ex-Militär. «Für Kundenberater, die Angst davor haben, dass ihr Notebook auf heikle Daten untersucht wird, schafft ein neues Produkt Abhilfe», werben die Israelis unverblümt.
Das Produkt funktioniert denkbar einfach. Ein handelsüblicher Vier-Gigabyte-USB-Stick ist so programmiert, dass er von jedem Gerät aus eine sichere Verbindung zur Infrastruktur der Bank erstellen kann. Der USB-Stick wird eingesteckt, ein Doppelklick und ein paar Eingaben später befindet sich der Anwender in einer geschützten und vom tragbaren Gerät unabhängigen Arbeitsumgebung. Auf dem mobilen Rechner werden keine Daten hinterlassen, und die Anwendungen funktionieren völlig unabhängig von seinem System. Von Transaktionen mit Kunden oder Kontodatenabfragen gibt es keine Spuren, sobald der Stick entfernt wird. Durchleuchten Fahnder den Rechner, finden sie nichts, verspricht Chech Point Software. Im Moment stehe das Produkt bei 15 Schweizer Unternehmen aus der Finanzbranche und der Industrie im Einsatz, so die Israelis, die keine Namen nennen.
Für Michael Kunz, unabhängiger Rechtsberater für Compliance im Finanzsektor ist aber klar: «Dass ein Kundenberater im Ausland Zugriff auf die Daten des Finanzdienstleisters hat, lässt den Schluss zu, dass er im Ausland einer Tätigkeit nachgeht, die dort möglicherweise bewilligungspflichtig ist.»
Erinnerungen an STAS und XTAS
Ein rasches Umschwenken auf eine vollständige Compliance ist aber nicht einfach. «So manche Privatbank mit Kunden im Ausland will nicht auf einen substanziellen Teil des Kundenstamms verzichten, und es gibt daher noch genügend Anbieter, die solche Geschäfte aus kommerziellem Druck weiterbetreiben», sagt Kunz. Bereits sollen auch bei Grossbanken wieder Notfallknöpfe auf der Laptop-Tastatur zum Einsatz kommen, die sämtliche Kundendaten vernichten können, heisst es in der Bankenszene.
Das erinnert an die technischen Tricks bei der alten UBS. Dort hiessen die Reise-Laptops unverfänglich STAS, «Secure Travel Access Service». Es handelte sich aber um eine ausgeklügelte Software, die geheime Kundendaten vor fremdem Zugriff schützen sollte. Die IT-Spezialisten der Grossbank konfigurierten vor jeder Auslandreise eines Beraters dessen Laptop, machten diesen quasi «scharf» für den Undercover-Einsatz. In einem speziellen Bereich installierten sie ein Programm für den Datentransfer, das im Windows-Inhaltsverzeichnis nicht auftauchte. Im Hotelzimmer in New York oder Frankfurt, wo er sich auf die Kundengespräche vorbereitete, führte der Berater einen USB-Stick ein. Nach Doppelklicken auf ein Spiele-Icon öffnete sich ein Fenster für die Passworteingabe. Schliesslich stand die Leitung zum UBS-Rechner in der Schweiz.
Auch für den Fall einer Kontrolle hatten die IT-Cracks der UBS vorgesorgt. Mit dem Kurzbefehl XTAS implementierten sie einen jederzeit verfügbaren Selbstzerstörungsmechanismus, der sämtliche Kundendaten inklusive der geheimen Zugangssoftware ausradierte und nur eine Standard-Kundenpräsentation auf dem Computer zurückliess.
Die UBS gelobt seither Besserung: Die Kundenberater, die ins Ausland reisen, würden regelmässig geschult, so Sprecher Andreas Kern. Das Verhalten bei Reisen werde detailliert durch Weisungen geregelt und deren Einhaltung wird überwacht. «Es werden zwar noch immer verschlüsselte Laptops eingesetzt, aber hauptsächlich, um UBS-Produkte vorzustellen», so Kern. UBS-Kundenberater dürfen keine Kundendaten auf ihre Laptops herunterladen oder speichern.
Im schlimmsten Fall Verzicht
Bei der Credit Suisse nehme man die Anforderungen im Auslandgeschäft ernst, beteuert Sprecher Marc Dosch. «Die Credit Suisse verfügt über strikteste Regeln, um sicherzustellen, dass das Geschäft in allen Ländern, in denen sie tätig ist, im Einklang mit den jeweils anwendbaren Vorschriften betrieben wird», so Dosch. Für grenzüberschreitende Bankdienstleistungen bestehe im In- und Ausland ein Regelwerk und Kundenberater müssen sich einer Schulung unterziehen.
Die Aufsichtsbehörde stellt klar, dass sie beim Auslandgeschäft keine Verstösse mehr duldet. «Wir werden das im Rahmen der Aufsicht auch überwachen», so Finma-Sprecher Alain Bichsel. Die Beaufsichtigten müssen zukünftig sämtliche Bereiche, die solche Risiken begründen könnten, in ihre Überlegungen mit einbeziehen. Auch wenn das bedeute, dass von einzelnen Finanzinstituten gewisse Länder oder bestimmte Kundengruppen gar nicht mehr bedient werden können und ein einst einträgliches Geschäft wegfällt.