Manfred Kloiber: Peter Welchering, Sie haben sich in der Schweiz umgehört. Wie ernst nimmt man dort die Gefahr der Online-Durchsuchung von Bankensystemen?
Peter Welchering: Die IT-Verantwortlichen der Banken in Österreich, Liechtenstein und der Schweiz nehmen das seit den Datenlecks aus dem Februar sehr ernst. Die Stiftungen in Liechtenstein haben erheblich nachgerüstet. Teilweise haben die Stiftungen ihre Systeme einfach vom Netz genommen. Und was nicht am Internet hängt, kann auch nicht online durchsucht werden. Bei den Banken sieht das natürlich anders aus. Online-Banking setzt Kommunikation via Internet voraus. Aber die Online-Banking-Systeme der Schweizer Banken weisen nur noch sehr sorgsam überwachte Schnittstellen zu den Bankmanagementsystemen auf. Und diese Schnittstellen sind inzwischen in einer eigenen Umgebung angesiedelt, die nach dem Sandboxverfahren aufgebaut ist. Alle Transaktionen, die aus den Online-Systemen in das Bankmanagementsystem hinein ausgeführt werden sollen, werden zunächst in einem Sicherheitssystem ausgeführt. Dabei wird genau überwacht, worin diese Transaktion genau besteht, erst danach hat sie Auswirkungen auf das eigentliche Bankensystem.
Kloiber: Wie wahrscheinlich ist es denn, dass die Quellen-Telekommunikationsüberwachung der Zollfahndung gegen Banken eingesetzt wird?
Welchering: Auf den ersten Blick ist das eigentlich ausgeschlossen. Denn mit der Software für die Quellen-TKÜ sollen Verdächtige observiert werden, bei denen ein dringender Tatverdacht bestehen muss, dass sie gegen Steuergesetze verstoßen. Der zweite Blick sieht aber anders aus. In der Schweiz hat das durchaus Befürchtungen ausgelöst. Und die hängen mit den Datenlecks in Liechtenstein zusammen. Denn wenn der BND hier für fünf Millionen Euro eine CD angekauft hat, wird er dann nicht vielleicht auch ein Exploit einsetzen, um an Informationen zu kommen. Das ist eine Frage, die vom Kanton Aargau bis zum Kanton Zug intensiv diskutiert wird. Auf der anderen Seite geben Sicherheistexperten wie Urban Lankes von der Trivadis AG in Zürich auch ein wenig Entwarnung, seit die Budgets für die Quellen-TKÜ der Zollfahndung bekannt geworden sind. Urban Lankes:
"Letztendlich glaube ich nicht, dass die Beträge an der Stelle ausreichen bzw. dass man für solche Beträge so etwas entwickeln kann. Ein Exploit wird meistens nur für spezielle Umgebungen eingesetzt und wird nicht grundsätzlich für alle Banken und alle Systeme verwendbar sein, also insofern, wenn man das einmal ausgibt, hat man wenig damit erreicht, und abgesehen davon, ich betrachte das als einen illegalen Markt."
Welchering: Der letztgenannte Punkt ist natürlich ganz entscheidend: Exploits werden an einem grauen Markt gehandelt, es gibt einen illegalen Markt dafür. Darauf weisen die IT-Chefs der Schweizer Banken nachdrücklich hin. Und die Sicherheitsberater in der Schweiz haben einen hervorragenden Überblick über die Exploits, die es gerade im Angebot gibt. Wer diese Exploits kennt, kennt auch die Schutzmaßnahmen dagegen.
Kloiber: Neben den Angriffen von außen gibt es die interne IT-Sicherheit. Und es gibt in den Nachrichtendiensten eine Diskussion über höhere Budgets für den Ankauf von Informationen. Müssen die IT-Sicherheitsexperten nicht auch darauf reagieren?
Welchering: Das haben sie auch schon. Und je intensiver man mit Sicherheitsexperten oder IT-Chefs spricht, desto unwahrscheinlicher erscheint einem die Version, dass ein Bankmitarbeiter einfach mit einer selbstgebrannten Daten-CD mit Kundendaten aus der Bank herausmarschieren kann und sie dann einem Nachrichtendienst verkauft. Noch einmal Urban Lankes von Trivadis.
"Es ist nicht davon auszugehen, dass ein Mitarbeiter einfach eine CD irgendwo brennen kann. Hier gibt es die entsprechende Client-Security auf den Systemen innerhalb der Banken, die letztendlich solche Systeme oder solch ein Vorgehen verhindert. Das ist das eine. Und das zweite ist, dass man mittlerweile nicht mehr beliebige Rechte hat, Daten in Großform zur Verfügung gestellt zu bekommen, das heißt, ein Mitarbeiter hat in der Regel sehr eingeschränkte Möglichkeiten, Daten zu sichten."
Welchering: Das Ganze zeigt also: der Wettlauf, Systeme noch effektiver zu Hochsicherheitssystemen auszubauen, hat durch die Diskussion um Online-Durchsuchungen noch einmal an Geschwindigkeit gewonnen.
Peter Welchering: Die IT-Verantwortlichen der Banken in Österreich, Liechtenstein und der Schweiz nehmen das seit den Datenlecks aus dem Februar sehr ernst. Die Stiftungen in Liechtenstein haben erheblich nachgerüstet. Teilweise haben die Stiftungen ihre Systeme einfach vom Netz genommen. Und was nicht am Internet hängt, kann auch nicht online durchsucht werden. Bei den Banken sieht das natürlich anders aus. Online-Banking setzt Kommunikation via Internet voraus. Aber die Online-Banking-Systeme der Schweizer Banken weisen nur noch sehr sorgsam überwachte Schnittstellen zu den Bankmanagementsystemen auf. Und diese Schnittstellen sind inzwischen in einer eigenen Umgebung angesiedelt, die nach dem Sandboxverfahren aufgebaut ist. Alle Transaktionen, die aus den Online-Systemen in das Bankmanagementsystem hinein ausgeführt werden sollen, werden zunächst in einem Sicherheitssystem ausgeführt. Dabei wird genau überwacht, worin diese Transaktion genau besteht, erst danach hat sie Auswirkungen auf das eigentliche Bankensystem.
Kloiber: Wie wahrscheinlich ist es denn, dass die Quellen-Telekommunikationsüberwachung der Zollfahndung gegen Banken eingesetzt wird?
Welchering: Auf den ersten Blick ist das eigentlich ausgeschlossen. Denn mit der Software für die Quellen-TKÜ sollen Verdächtige observiert werden, bei denen ein dringender Tatverdacht bestehen muss, dass sie gegen Steuergesetze verstoßen. Der zweite Blick sieht aber anders aus. In der Schweiz hat das durchaus Befürchtungen ausgelöst. Und die hängen mit den Datenlecks in Liechtenstein zusammen. Denn wenn der BND hier für fünf Millionen Euro eine CD angekauft hat, wird er dann nicht vielleicht auch ein Exploit einsetzen, um an Informationen zu kommen. Das ist eine Frage, die vom Kanton Aargau bis zum Kanton Zug intensiv diskutiert wird. Auf der anderen Seite geben Sicherheistexperten wie Urban Lankes von der Trivadis AG in Zürich auch ein wenig Entwarnung, seit die Budgets für die Quellen-TKÜ der Zollfahndung bekannt geworden sind. Urban Lankes:
"Letztendlich glaube ich nicht, dass die Beträge an der Stelle ausreichen bzw. dass man für solche Beträge so etwas entwickeln kann. Ein Exploit wird meistens nur für spezielle Umgebungen eingesetzt und wird nicht grundsätzlich für alle Banken und alle Systeme verwendbar sein, also insofern, wenn man das einmal ausgibt, hat man wenig damit erreicht, und abgesehen davon, ich betrachte das als einen illegalen Markt."
Welchering: Der letztgenannte Punkt ist natürlich ganz entscheidend: Exploits werden an einem grauen Markt gehandelt, es gibt einen illegalen Markt dafür. Darauf weisen die IT-Chefs der Schweizer Banken nachdrücklich hin. Und die Sicherheitsberater in der Schweiz haben einen hervorragenden Überblick über die Exploits, die es gerade im Angebot gibt. Wer diese Exploits kennt, kennt auch die Schutzmaßnahmen dagegen.
Kloiber: Neben den Angriffen von außen gibt es die interne IT-Sicherheit. Und es gibt in den Nachrichtendiensten eine Diskussion über höhere Budgets für den Ankauf von Informationen. Müssen die IT-Sicherheitsexperten nicht auch darauf reagieren?
Welchering: Das haben sie auch schon. Und je intensiver man mit Sicherheitsexperten oder IT-Chefs spricht, desto unwahrscheinlicher erscheint einem die Version, dass ein Bankmitarbeiter einfach mit einer selbstgebrannten Daten-CD mit Kundendaten aus der Bank herausmarschieren kann und sie dann einem Nachrichtendienst verkauft. Noch einmal Urban Lankes von Trivadis.
"Es ist nicht davon auszugehen, dass ein Mitarbeiter einfach eine CD irgendwo brennen kann. Hier gibt es die entsprechende Client-Security auf den Systemen innerhalb der Banken, die letztendlich solche Systeme oder solch ein Vorgehen verhindert. Das ist das eine. Und das zweite ist, dass man mittlerweile nicht mehr beliebige Rechte hat, Daten in Großform zur Verfügung gestellt zu bekommen, das heißt, ein Mitarbeiter hat in der Regel sehr eingeschränkte Möglichkeiten, Daten zu sichten."
Welchering: Das Ganze zeigt also: der Wettlauf, Systeme noch effektiver zu Hochsicherheitssystemen auszubauen, hat durch die Diskussion um Online-Durchsuchungen noch einmal an Geschwindigkeit gewonnen.