Der Fall Falciani wirft derzeit hohe Wellen. Ein Informatiker der HSBC-Bank in Genf hat einen umfassenden Satz von Kundendaten mitgehen lassen. Diese Daten hat er den französischen Steuerbehörden geliefert und dafür eine erkleckliche Summe kassiert. Zur Zeit untersucht die Finanzmarktaufsichtsbehörde der Schweiz (FINMA) die Vorgänge rund um diesen Datenklau.
Ungeachtet der zu erwartenden Ergebnisse kann man sicher sein, dass sich die Sicherheitsindustrie so rasch als möglich auf dieses gefundene Fressen stürzt. Sie wird mit Pauken und Trompeten ankündigen, dass die Banken den Schutz gegenüber Insidern vernachlässigt hätten. Diese Aussage ist grundfalsch, denn das Bedrohungsbild der IT-Sicherheitsabteilungen bei Banken wird nach wie vor vom Insiderangriff geprägt. Man kann also den Sicherheitsabteilungen nicht vorwerfen, sie hätten ihre Arbeit nicht gemacht. Hinzu kommt, dass solche Datenklaus immer möglich waren. Für Einzeltäter ist es zugegebenermassen wesentlich schwieriger, in einem kontrollierten Umfeld eine solche Tat zu begehen. Doch sobald sich eine Gruppe findet, die sich die mögliche Erpressungssumme teilen kann, wird es auch für das beste Kontrollsystem unmöglich, eine solche Tat zu verhindern. Selbst mit ausgefeilten Kontrollsystemen, 4-Augen Prinzip und expliziten Freigabeverfahren lassen sich solche kriminellen Angriffe nicht verhindern. Technik kann dabei nur sehr wenig beitragen, bzw. ist nur eine Komponente im Verfahren.
Wieso haben solche Delikte in den letzten 20 Jahren nicht oder nur im Versteckten stattgefunden? Zu einem umfassenden Sicherheitsdispositiv gehören eben neben den technischen, den organisatorischen auch personelle Massnahmen. Und in diesem Fall muss man leider sagen, dass sich die Banken die neuen Bedrohungsmuster zu einem großen Teil selbst zuzuschreiben haben. Denn obwohl es absolut keine Entschuldigung für solche kriminelles Vorgehen gibt, muss man sich trotzdem fragen, ob es für eine Unternehmenskultur von Vorteil ist, wenn der fünfundzwanzigjährige Investmentbanker dass 10 bis 20fache eines altgedienten, hochausgebildeten Sicherheitsexperten verdient. Natürlich kann man jetzt argumentieren, dass es solche Lohnscheren schon immer gegeben hat. Hier muss man insofern den Einwand machen, dass sich solch exorbitante Lohnunterschiede erst in den letzten fünf bis 10 Jahren entwickeln haben. Diese Unterschiede stellen Sprengstoff für jedes Unternehmen, beziehungsweise dessen Unternehmenskultur dar. Dies hat sich letztlich auch in der Diskussion um die Verluste der Banken und um die Finanzkrise gezeigt (Stichwort: Abzocker Initiative in der Schweiz).
Letztlich bedeutet dies, dass solche Taten nie verhindert werden können. Man kann als verantwortungsbewusster Unternehmer lediglich ein Umfeld schaffen, in welchem sich die Zufriedenheit der Mitarbeiter in einem ausgewogenen Rahmen bewegt. Trotzdem muss man gemäss Erfahrungswerten mit 1% bis 2% illoyaler Mitarbeiter rechnen. Für sehr sensible und heikle Positionen müssen demnach die entsprechenden Screeningverfahren ausgefeilt und optimiert werden. Dies bedeutet leider, und das ist sicher im gewissen Widerspruch zu den Persönlichkeitsrechten, ein permanentes Monitoring für sensible Positionen. Nun soll man auch hier nicht übers Ziel hinaus schiessen. In der Regel ist es ja so, dass unmittelbar Mitarbeitende oder Vorgesetzte über Probleme und aufkommende Sicherheitsrisiken in Zusammenhang mit Kollegen und Untergebenen sehr schnell Bescheid wissen. Es verhält sich hier ähnlich wie bei Alkoholproblemen, die dem Kollegenkreis meist schon lange bekannt sind, bevor es zum Eklat kommt. Grundsätzlich gilt auch hier die Anweisung: Hinschauen, agieren, reagieren. Zu warten bringt nichts, Mitarbeiter die ein potentielles Risiko darstellen, müssen sofort freigestellt werden.
Es sei hier nochmals gesagt: Die Häufung solcher Fälle hat primär mit einer generellen Unzufriedenheit des Mitarbeiters zu tun und nicht mit der Zunahme krimineller Energie. Ungeachtet dessen, ob man Drittstaaten als Hehler betrachtet, wenn sie gestohlene Bankdaten kaufen, muss die persönliche Überwindung des Einzelnen bereits so weit gediehen sein, dass er den letzten, kriminellen Schritt macht. Und dies lässt sich in der Regel nicht nur mit finanziellen Anreizen erklären. Die Biographie von Hrn. Falciani zeigt dies eindrücklich.