Der Handel mit Steuer-CDs blüht. Forensic-Spezialist Peter Cosandey ortet bei Vermögensverwaltern gravierende Mängel in der Abwehr von Datenattacken.
Herr Cosandey, Ihr neuester Fall heisst Räbefasnacht. Sie wurden am Samstag als 66. irdischer Vertreter des Räbechüngs zum Oberhaupt der Fasnacht im zugerischen Baar gewählt. Steht Ihre Inthronisation als Peter I. in einem Zusammenhang mit Ihrem Metier?
Zum Glück nicht. Als Räbevater kann ich wieder einmal unbesorgt das Leben geniessen und den Fasnachtsbegeisterten Freude bereiten, ohne wirtschaftskriminelle Kollateralschäden zu hinterlassen.
«Drohkulisse der Steuerfahnder»
«Der Handel mit Steuer-CDs floriert» titelte die Frankfurter Allgemeine Zeitung» Anfang Feuar. Die Kanzlei Flick Gocke Schaumburg hat Kenntnisse vom Ankauf neuer Daten-CDs, die Steuersünder enttarnen.
Ob es sich dabei wirklich um neue CDs handelt, ist unklar. Fest steht, dass einige Datensammlungen als Wanderpreise von Land zu Land weitergereicht werden. Zudem bauen Steuerfahnder mit angeblich sensationellen neuen Datenlieferungen bewusst eine Drohkulisse auf, um weitere Steuersünder zu einer Selbstanzeige zu bewegen.
Warum sind die Banken noch nicht gewitzigt genug, um die Produktion von Daten-CDs zu vermeiden?
«Der Gärtner ist immer der Mörder». Was ein deutscher Sänger vor über vierzig Jahren als Parodie gesungen hat, hat einen wahren Kern. Der Gärtner war ein Insider und hatte oftmals Zutritt bis ins Schlafzimmer. Dasselbe gilt, nicht nur im Bankenbereich, seit Jahren für IT-Mitarbeitende, welche dank ihren Zugriffsberechtigungen – oftmals unbemerkt – Zugang auf die geheimsten Firmendaten haben und diese kopieren können. Trotz Warnungen aus der Fachwelt der Kriminalisten haben Unternehmen weltweit die Gefahr unterschätzt, dass unzufriedene oder schlicht geldgierige Mitarbeitende sensible Kunden- und Firmendaten stehlen und weiterverkaufen könnten.
«Versicherungen betreiben regulatorische Arbitrage»
Offenbar stammen die Daten-CDs durchwegs aus Banken. Einige Versicherer haben aber mit spezifischen Produkten steuersensiblen Kunden gedient. Warum wurden sie nicht Opfer von Datensammlern? Sind Versicherer cleverer als die Banken?
Die Versicherungen haben die Konten bei Banken und verwalten dort die Vermögen. Sie sind deshalb nicht das prioritäre Ziel von Datenklau, weil ja die Diebe diese Konstrukte nicht kennen. Böse Zungen behaupten, dass die Versicherungen in den Bereichen Vermögensverwaltung und Hypothekargeschäft von der FINMA bisher eher pfleglich behandelt wurden. Tatsache ist jedoch, dass die Versicherungen regulatorische Arbitrage betreiben und das Geschäft mit sogenannten Insurance Wrappers bereits in ein «toleranteres» EU-Land verlegt haben. Dort müssen sie den wirtschaftlich Berechtigten an diesem Produkt nicht mehr registrieren, und demzufolge gibt es dort auch nichts Interessantes mehr zu stehlen.
Bislang erlaubten interne Missbräuche den Datenklau. Gibt es Anzeichen, dass schon Staatstrojaner auf den Weg geschickt wurden, um aus Schweizer Banken Kundendaten abzuholen? Wie werten Sie diese Bedrohung?
Diese Bedrohung schätze ich als eher gering ein, da die Banken, im Gegensatz zu vielen Industrieunternehmen, ihre IT-Systeme schon seit Jahren gut gegen Angriffe von aussen absichern. Entsprechend sind mir in der Schweiz auch keine solchen Fälle bekannt. Die grössere Gefahr droht wie immer von den eigenen Mitarbeitenden. Staatstrojaner richten sich jedoch eher gegen Einzelpersonen, deren Geräte gegen solche Angriffe ungenügend geschützt sind.
Wo stehen die Schweizer Banken hinsichtlich Ihres Abwehrdispositivs gegen den Datenmissbrauch? Wo liegen die Mängel?
Die Banken haben die aus dem Datendiebstahl resultierende Bedrohung mit schmerzhaften Erfahrungen zur Kenntnis nehmen müssen. Sie arbeiten mit Hochdruck an der Umsetzung von personellen, technischen und organisatorischen Lösungen, um den unberechtigten Zugang und den Diebstahl von Kundendaten und Geschäftsgeheimissen zu verhindern. Eine absolute Sicherheit wird es dabei allerdings nie geben.
«IT-Standards der Vermögensverwalter tiefer als bei den Banken»
Wie gut sind die Nichtbanken im Finanzsektor gewappnet?
Eine Gefahr sehe ich am ehesten bei den kleineren und mittelgrossen externen Vermögensverwaltern, deren Sicherheitsstandards im IT-Bereich weit unter denjenigen der Banken liegen. Dort besteht ein grosser Nachholbedarf bei der Abwehr von Angriffen von aussen und aus den eigenen Reihen.
Welches ist Ihr persönlicher Ausblick?
In den nächsten Wochen werde ich prioritär nach dem Motto «D’Fasnacht im Visier» leben. Nachher werde ich mich vielleicht der eher philosophischen Frage widmen, wer die grösseren Gauner sind: Die Steuersünder, die Datendiebe oder die ausländischen Datenhehler.
Foto: Christian Hildebrand, fotozug.ch