Die von deutschen Steuerfahndern durchgeführten Razzien in den Credit-Suisse-Filialen sorgen für erstaunte Gesichter und nervöse deutsche Kunden. Doch dies dürfte erst der Anfang sein: «Weitere Datendiebstähle sind nicht auszuschliessen», sagt Daniel Senn, Head of Audit Financial Services bei KPMG Schweiz. In dasselbe Horn stösst auch Konkurrentin PricewaterhouseCoopers (PwC). «Der deutsche Staat hat mit seiner Kaufaktion den Datendiebstahl salonfähig gemacht. Ich halte es für gut möglich, dass weitere Staaten dem Beispiel Deutschlands folgen werden», sagt Gianfranco Mautone, Leiter Forensic Services bei PwC.

Aber auch die Infrastruktur, im Speziellen jene der Grossbanken, liefern den Datendieben das ideale Futter. So kämpfen einzelne Institute mit immer grösser werdenden Lücken im Informatiksystem, was den Datendieben den Beutefang erleichtert.

Fehlende Übersicht

«Aufgrund der permanenten Anpassung der Systeme ist insbesondere bei den Grossbanken die Komplexität sehr gross geworden, was die Übersicht über ihre Informatiksysteme zunehmend erschwert», sagt Urs Blattmann, Partner beim Beratungsunternehmen Bernet & Partner. So mussten die Informatiksysteme in der Vergangenheit immer wieder neuen Kundenbedürfnissen, aber auch veränderten regulatorischen Anforderungen angepasst werden. «Dadurch haben auch immer mehr Personen Zugriff auf einzelne Teile der Systeme erhalten. Die IT der Banken ist permanent unter Druck», sagt Blattmann. Diese Aussage stützt das Beratungs- und Wirtschaftsprüfungsunternehmen KPMG: «Die Grösse und Komplexität der Grossbanken stellt hohe Anforderungen an das Management der Zutritte und Zugriffsrechte», sagt Senn.

Die Datensicherheit stellt die Grossbanken vor eine immer grösser werdende Herausforderung. Kein Wunder, ergreift nun die Credit Suisse eine Reihe von Massnahmen, um das Sicherheitsdispositiv weiter zu verschärfen. So soll unter anderem die Anzahl Personen mit Zugriff auf sensible Kundendaten auf ein Minimum beschränkt werden. Weiter sollen technische Massnahmen die Grossbank besser gegen Datendiebstähle absichern.

Anzeige

Grossbanken passen System an

Die Grossbank UBS, die bislang von Datenlecks verschont blieb, aber sich der enormen Risiken sehr wohl bewusst ist, äussert sich nicht über konkrete Massnahmen. Man sei permanent daran, die Sicherheitsstandards zu überprüfen und Anpassungen vorzunehmen, wie Sprecher Dominique Gerster erklärt. «Das Thema Sicherheit ganz generell und der Schutz der Privatsphäre haben bei der UBS einen sehr hohen Stellenwert.»

Die Razzien in den deutschen CS-Filialen stehen im Zusammenhang mit der von der deutschen Regierung gekauften Daten-CD Anfang des Jahres. Dem Bundesland Nordrhein-Westfalen wurde ein Datenträger mit angeblich 1500 Anlegern mit Konten in der Schweiz für den stolzen Preis von 2,5 Mrd Euro angeboten. Im Juni tätigte die deutsche Bundesregierung zusammen mit Niedersachsen den Kauf einer zweiten Daten-CD. Auf dieser sollen weitere 1700 mutmassliche Steuertrickser gespeichert sein.

Risikofaktor Mensch

Trotz dem erhöhten Sicherheitsdispositiv lässt sich aber die entscheidende Schwachstelle nicht eliminieren. «Grösstes Risiko einer Bank bleibt der Faktor Mensch», sagt Blattmann. Aufgrund der grossen Anzahl von Mitarbeitern seien Grossbanken sowie grosse Privatbanken entsprechend einem höheren Datendiebstahlrisiko ausgesetzt. «Dieses kann nur durch die Entwicklung einer guten Firmenkultur minimiert werden», sagt er. Andere Hilfsmittel gibt es kaum. Denn keine Firma kann sich zu 100% gegen Datendiebstähle absichern. «Wenn ein Mitarbeiter Daten stehlen will, ist die Komplexität der Systeme nebensächlich», sagt ein Banker, der nicht genannt werden will.

Erstmals wurde die Bankenwelt 2008 so richtig mit einem Datendiebstahl konfrontiert. Entwendetes Material bei der LGT Treuhand, einer ehemaligen Tochtergesellschaft des liechtensteinischen Finanzinstituts LGT Group, gelangte in die Hände deutscher Steuerfahnder. Es folgten einige Hausdurchsuchungen.

«Erst der LGT-Fall hat die Banken auf das Risiko eines Datendiebstahls sensibilisiert. Davor war dies kein bedeutendes Thema bei den Banken», sagt Gianfranco Mautone, Leiter Forensic Services bei PwC. Die Daten-CD in Deutschland und der Anfang Jahr aufgeflogene Diebstahl bei der Privatbank HSBC haben die Banken jedoch in Alarmbereitschaft versetzt (siehe Kasten).

Derzeit ist noch unklar, wie sich der «Markt» für Kundendaten entwickeln wird. Auch wenn andere Staaten dem Beispiel Deutschlands folgend dürften, geniesst nicht jedes Land dasselbe Vertrauen in den eigenen Staat. «Selbstanzeigen hängen sehr stark mit dem aufgebauten Druck und dem Vertrauen in die Rechtssicherheit zusammen», sagt Mautone.