Süss-saure Geheimnisse
Wem nützt der «Suisse Secrets»-Skandal?
30’000 Kunden der Credit Suisse sind enttarnt worden. Offensichtlich handelt es sich um echte Kontounterlagen, die vor einem Jahr der SZ von einer anonymen Quelle zugespielt wurden.
Ihr freiwilliger Beitrag für ZACKBUM
Angeblich flossen dafür keine Gelder, obwohl das in Deutschland schon lange üblich ist. Die Frage «cui bono» bleibt unbeantwortet, ist aber zentral wichtig bei der Beurteilung dieses Datenklaus.
Wer hat etwas davon, die bereits schwer angeschlagene Bank weiter zu schädigen? Wer hat etwas davon, damit dem ganzen Finanzplatz Schweiz einen weiteren Fleck auf die gar nicht weisse Weste zu klecksen?
Keine Firewall, kein Schutzsystem ist perfekt. Spätestens auf Ebene NSA (Datenkrake der USA) und ihren Pendants in Russland oder China, möglicherweise auch in Nordkorea und zwei, drei anderen Ländern, kann alles geknackt werden.
Nun handelt es sich beim Kundenstamm einer Schweizer Grossbank um das wohl am besten geschützte Datengebirge überhaupt, abgesehen von allfälligen militärischen Geheimnissen. Darin einzudringen, Irrtum vorbehalten, schafft nicht der Amateur-Hacker oder ein kleines Kollektiv von moralisch entrüsteten IT-Nerds.
Kundendaten einer Bank zu klauen ist nicht einfach
So ein Hack, der offenbar auch unbemerkt blieb, ist gehobenes Kunsthandwerk. Das unbemerkte Abfliessenlassen solcher Daten ist eine kitzlige Angelegenheit, die nicht innerhalb von 24 Stunden erledigt ist. Ganz zu Schweigen vom Aufwand, aus allen Kunden der CS eine solche Auswahl zusammenzustellen.
Natürlich kann man beim Herumwühlen, ein paar Namen von venezolanischen Verbrechern eingeben, oder auch nach den üblichen Verdächtigen weltweit suchen, Potentaten, Diktatoren, korrupte Staatsdiener. Aber obwohl es viele solcher Gestalten gib, sind 30’000 Kunden dann doch eine ziemliche Menge. Wie wurden die gefiltert?
Erste Schlussfolgerung: Dahinter steckt Energie, Aufwand und Zeit. Normalerweise werden solch Datendiebstähle durchgeführt, um die bestohlene Firma zu erpressen. Sie muss die Daten zurückkaufen, sonst wird mit Veröffentlichung oder Weitergabe an die Konkurrenz gedroht.
In diesem Fall und bei diesem Ausmass und bei der offenbar sehr delikaten Auswahl wären Zahlungen in Multimillionenhöhe denkbar. Darauf sollen die Hacker menschenfreundlich verzichtet haben?
Alles Robin Hoods?
Wenn es stimmt, dass die SZ mitsamt ihren Helfershelfern ein Jahr zur Auswertung brauchte; in dieser ganzen Zeit ist es innerhalb der CS nicht aufgefallen, dass es zu einem Datendiebstahl kam? Was für ein Monitoring haben die denn, eines aus der Steinzeit?
Wenn das Hacken selbst und vor allem das Suchen in den ganzen Kundendatenbanken zeit- und geldaufwendig war, ist es dann wirklich glaibhaft, dass eine Ansammlung von «Robin Hoods» das Ergebnis seiner Anstrengungen einfach der SZ rüberschiebt? Garniert mit eher banal wirkender moralischer Begründung?
Es sind 30’000 Kunden. Wer auf der Liste ist, hat Pech gehabt, so er Dreck am Stecken haben sollte. Wie viele haben das nicht? Wer entscheidet, ob der Dreck ausreichend sei, den Kontobesitzer mit Namen an den medialen Pranger zu stellen? Warum werden auch die staatlichen Behörden nicht beliefert? Um die Beute selbst genügend ausschlachten zu können, mal wieder Ankläger, Richter und Terminator in einer Person spielen zu können.
Wer ist auf der Liste, wer nicht?
Schliesslich: Wer ist nicht auf der Liste, und warum? Konnte man sich vielleicht freikaufen? Beherbergt die CS genau 30’000 Kunden, denen man etwas vorwerfen kann? Kein einziger darüber hinaus? Kann man allen 30’000 Fehlverhalten vorhalten?
Wenn ja, wie viele Strafuntersuchungen wird es diesmal geben? Wie viele Verurteilungen? Hält sich der Schnitt, werden es ein paar Dutzend Untersuchungen und eine Handvoll Verurteilungen sein, am Schluss.
Schliesslich ist auch hier auffällig, dass es mit schöner Regelmässigkeit die Konkurrenten der grössten Schwarzgeldbunker, der grössten Geldwaschmaschinen der Welt erwischt. Nämlich der USA und von Grossbritannien. Obwohl fast die gesamte lateinamerikanische Drogenmafia ihren Geldhaushalt via US-Finanzdienstleister regelt, hat es noch nie einen solche Hack dort gegeben. Obwohl diverse Bundesstaaten der USA bis heute unversteuerte Gelder ohne die geringsten Fragen zu stellen empfangen, gab es noch nie ein Leak in Delaware.
Reiner Zufall? Wer an den Osterhasen plus Weihnachtsmann glaubt, mag das so sehen. Sind das alles Gründe, von einer Veröffentlichung abzusehen? Gute Frage. Es ist eindeutig Hehlerware, es ist eindeutig ein Diebstahl, es sind eindeutig Daten, die nicht nur in der Schweiz von Gesetzes wegen geschützt sind
Dass Tamedia sich fröhlich am Ausschlachten beteiligt, wenn es nach der Devise «weit weg, und wo kein Kläger ist …» gefahrlos möglich ist, hier aber feige zurücktritt, wo es strafrechtliche Konsequenzen haben könnte, ist schwach. Stattdessen zu fordern «Die Medien müssen recherchieren dürfen», hat etwas leicht Lächerliches.
Denn natürlich dürfen sie das, wie gerade der Schreiber des Kommentars, Tamedia-Oberchefredaktor Arthur Rutishauser, aus eigener Erfahrung weiss. Allerdings ist die Verwendung von Hehlerware mit legalen Risiken verbunden. Das ist in einem Rechtsstaat so, zudem ist’s nicht Neues.
Ein Geschrei anzustimmen, dass Schweizer Gesetze Schweinebacken mit ihren Bankkonten schützen, ist daher völlig verfehlt.
Das war ein interner Angriff aus der IT. Wenn ich direkt die Datenbank anzapfen kann und ich mich im Datenmodell ein wenig auskenne, brauche ich mich nicht gross vor Entdeckung zu fürchten. Selbst wenn diese Abfragen geloggt würden, würden sie unter einer Vielzahl von Abfragelogs verschwinden, um nach sechs Monaten als Datenmüll wieder gelöscht zu werden. So einen Angriff aufzudecken ist schwierig resp. unmöglich, wenn es nicht mindestens einen Hinweis gibt. Direkt auf Daten zuzugreifen ist nicht zu vergleichen mit einer Datenabfage über eine gesicherte Applikation.
Das sogenannte «System der CS» oder auch die «Computersysteme der CS» gibt es schon lange nicht mehr – wer sich mit den T&Cs (AGBs) auseinandersetzt, der merkt bald, dass sich die CS in Bezug auf Speicherung/Verarbeitung/Übermittlung der Daten (auch ins und im Ausland!) oder Jurisdiktion einen Freipass gibt. Grundätzlich ist alles erlaubt, was die CS als sinnvoll oder notwendig erachtet. Ein wirkliches Bankgeheimnis (auch für CH-Kunden!), das gibt es schon lange nicht mehr.
Hat man das einmal begriffen, so wird auch rasch klar, dass das Absaugen von Daten nicht nur von irgendwo aus (via Internet) möglich ist, sondern dass diese Daten auch an sehr vielen Stellen (auch im Ausland!) vorhanden sind. Es haben längst nicht nur Mitarbeiter der CS Zugriff auf diese Daten, sondern Horden von Mitarbeitern bei Drittfirmen. Ist natürlich alles gut «abgesichert» mit NDAs, Firewalls usw,, aber wirklich sicher vor einem Fremdzugriff ist so eigentlich nichts mehr. Mich würde jedenfalls überraschen, wenn mir die Geschäftsleitung der CS abschliessend aufzählen könnte, wo sich die konkreten Daten eines Kunden tatsächlich überall befinden und wer den nun genau Zugriff hat.
Wer sich mal bei der CS beworben hat, der weiss auch, dass sogar persönlichste Daten von Mitarbeitern (und natürlich auch Mitarbeiterinnen) im Ausland verarbeitet werden. Anruf aus Polen, um eine Referenzangabe zu prüfen? Verarbeitung von Spesenbelegen in Indien? Wer sich über solche Dinge aufregt, der ist bei der CS definitiv am falschen Ort, und zwar als Mitarbeiter und Kunde.
Und die CS ist garantiert nicht das einzige Finanzinstitut, welches das Wort «Schweiz» (resp. Suisse) nicht verdient im Namen, wenn es um die Daten geht.
Wer weiss eigentlich, wo unser Staat und unsere Behörden unsere vertraulichsten Daten überall speichern/verarbeiten/…?
Einspruch: ‹Ein Geschrei anzustimmen, dass Schweizer Gesetze Schweinebacken mit ihren Bankkonten schützen, ist daher völlig verfehlt.›
Nein, Schweinebacken bleiben Schweinebacken.
Zuspruch: Die andern, noch grösseren Schweinebacken zumindest mal zu lokalisieren (Delaware, London oder sonst wo; bin zuwenig kompetent, hab’s noch nicht zu Konten dort geschafft), das ist ein guter ZBZ Schritt, den die Atlantik-Auftragsschreiber anscheinend per Berufs-Kodex auf dem Lohnzettel gefälligst sein lassen.
Nein, es ist nicht einfach ‹moralisieren›: der direkte Weg wäre schon, Schweinebacken Schweinebacken zu nennen und uns immer wieder fragen, wo unsere eigenen Träume vom glitzernden Zubehör dieser Schweinebacken uns immer wieder daran erinnern, etwas traurig, neidisch, weniger VIP zu sein mit weniger feisser Backe?
Ich freu mich auf den nächsten philosophischen Ausblick von Herrn Zeyer, wo er als Ausgleich zu Backen, wieder was Schönes aus Büchern, von schönen MENSCHEN, von noch intakter Rechtssprechung in der Schweiz oder noch ehrlichem Journalismus in Schweizer Subventions-Medien berichtet. Auf zum fröhlichen Suchen.
Das Leck muss nicht unbedingt bei der CS sein. Seit dem AIA müssen Banken die vollständigen Daten von Kunden mit ausländischem Domizil jährlich der Bundesverwaltung melden. Von dort gelangen diese Daten an die entsprechenden Behörden in den verschiedenen Ländern. Sollte es sich bei den geleakten Konten ausschliesslich um Kunden mit Domizil im Ausland handeln, liegt der Schluss nahe, dass es sich um ein AIA-Ding handelt.
Sehr interessante Zusatzinformationen über unsere Ausgeliefertheit in der modernen IT Welt. Gutes Teamwork von Autor und Kommentatoren, uns Laien eine Ahnung zu geben, wie hilflos unsere EXPERTEN auch in diesem Bereich den S-Backen zum Tanz ausgeliefert sind. Oder ausgeliefert werden, von den begnadeten Tänzern zwischen den Welten, gewählten Politikern & deren zusammen gemischelten Infrastrukteuren.
Eher unwahrscheinlich, AIA ist erst seit wenigen Jahren in Kraft, die Daten sind älter.
Ich weiss nicht, wie alt die Daten sind. Aber die Banken mussten die Daten der letzten zehn Jahre vor der Einführung des AIA melden. Dies für jeden Kontoinhaber mit Domizil im Ausland.
Laut Webseite enthält der datensatz vor allem informationen aus staaten, welche nicht am AIA teilnehmen, was ebenfalls gegen diese Theorie spricht.
Was erklären könnte, wieso keine Schweizer Kontobesitzer geoutet wurden. Natürlich nicht von Tamedia, die fürchten ja für einmal das Gesetz, sondern vom Partner SZ.
Die Bezeichnung ‹Hack› ist hier nicht wirklich angebracht. Die Daten müssen fast von einem Internen mit weitreichenden Zugriffsrechten (DB-Administrator?) stammen.