Zum Hauptinhalt springen

Kameraüberwachung gegen Datenklau ist Illusion

Der Dieb der Kontoauszüge des SNB-Präsidenten hat einen Bildschirm fotografiert. Hildebrand selber sagte, man könnte mit Videoüberwachung dagegen vorgehen. Ein Sicherheitsberater winkt ab.

Ob sensible Bankdaten ein Büro wie dieses der CS Uetlihof verlassen, hängt in erster Linie von den Mitarbeitern ab. Foto: Keystone
Ob sensible Bankdaten ein Büro wie dieses der CS Uetlihof verlassen, hängt in erster Linie von den Mitarbeitern ab. Foto: Keystone

Der Mörder ist immer der Gärtner. Und der Datendieb ist immer der Informatiker. Schon Heinrich Kieber, der 2001 bei der liechtensteinischen LGT Daten klaute, war Informatiker. Hervé Falciani arbeitete ebenfalls in der IT-Abteilung, als er 2008 die Daten der Privatbank HSBC in Genf stahl. Und auch im aktuellen Fall ist der Dieb ein IT-Angestellter.

Neu ist bloss der Trick des 39-jährigen Thurgauers: Er soll mit Handy oder Kamera den Bildschirm mit den Kontobewegungen von Philipp Hildebrand fotografiert haben. Gemäss Hildebrand offenbar kein Einzelfall: «Es gibt Banken, die angefangen haben, Überwachungskameras zu installieren, die sozusagen permanent auf die Bildschirme gerichtet sind», sagte er am Donnerstag.

«Ich kenne keine Bank, die so etwas macht»

Das scheint allerdings die Ausnahme zu sein. Gegenüber dem TA äusserten sich mehrere Banken kritisch. Auch Sicherheitsexperte Cornel Furrer von Swiss Infosec hält das für «wenig sinnvoll»: «Ich kenne keine Bank, die so etwas macht.» Schliesslich könne man einen Bildschirm auch fotografieren, ohne dass eine Überwachungskamera das merke.

Kommt hinzu: «Datenschutzrechtlich könnte eine solche Überwachung ebenfalls problematisch sein», so Furrer. Nicht einmal die Bank Sarasin, bei der Hildebrands Daten gestohlen wurden, plant derzeit die Einführung von Überwachungskameras.

Kein USB-Stick, kein E-Mail

Standard bei den meisten Banken sind hingegen strikte Zugriffsbeschränkungen bei Kundendaten. Nur wer die Daten tatsächlich für seine tägliche Arbeit braucht, erhält entsprechende Rechte. Bei der Raiffeisen-Gruppe haben von insgesamt 700 Informatikern nur 50 Zugriff auf Kundendaten. Bei vielen Banken sind die Möglichkeiten, solche Unterlagen aus dem System zu holen, zudem stark eingeschränkt.

Computer haben keine CD-Laufwerke oder nur solche, die nicht schreiben können. USB-Steckplätze sind standardmässig gesperrt. Geschäftliche E-Mails werden überprüft, der Zugang zu privaten E-Mail-Adressen ist gesperrt. Wer wann was mit den Daten macht, wird aufgezeichnet. Drucken oder exportieren ist kaum möglich. Die ZKB versucht bereits bei der Rekrutierung ungeeignete Personen auszuschliessen – indem sie die «charakterliche Neigung» der Anwärter vor der Anstellung ergründet.

Sicherheit kann Effizienz gefährden

Laut Sicherheitsberater Furrer gibt es noch weitere Massnahmen, die für Banken durchaus sinnvoll wären: «Tatsächlich ist es aber so, dass diverse Banken aus ablauftechnischen Gründen solche Sicherheitsbarrieren scheuen.» Im Klartext: Sobald eine Massnahme die Effizienz behindert, fällt sie durch.

Die grosse Ausnahme stellt die Postfinance dar: Ihre Angestellten können jederzeit CDs brennen und USB-Sticks anschliessen. Ohne jegliche Einschränkungen. Stattdessen setzt man auf den Anstand der Mitarbeiter. Denn: «Wer in krimineller Absicht Daten stehlen will, wird früher oder später einen Weg finden», so Sprecher Alex Josty. Tatsächlich: Der CS-Datendieb etwa hat sich die Daten von Hand notiert.

Dieser Artikel wurde automatisch aus unserem alten Redaktionssystem auf unsere neue Website importiert. Falls Sie auf Darstellungsfehler stossen, bitten wir um Verständnis und einen Hinweis: community-feedback@tamedia.ch