Wenn sich Daten wie Telefonnummern von Bank-Mitarbeitern oder interne Einkaufslisten über die letzten Jahre urplötzlich im Darknet befinden, löst das Hektik und Ärger aus. Wie diese Woche bekannt wurde, hat eine Hackergruppe umfangreiches Datenmaterial von mehreren Schweizer Unternehmen, darunter UBS und Pictet, gestohlen und im Darknet zum Verkauf angeboten. Bei UBS befindet sich die gesamte interne Adressdatenbank in einer Excel-Liste mit 130’000 Einträgen. Bei Pictet sind es hauptsächlich Einkäufe und Rechnungen, welche die Bank in den letzten vier Jahren getätigt hat.
Der Hack hat dazu geführt, dass Mitarbeitende ihre Ferien abbrechen mussten und seit Tagen mehr oder weniger nonstop damit beschäftigt sind, den Schaden zu analysieren, einzugrenzen und nach möglichen Schwachstellen zu suchen. Besonders ärgerlich für die Banken: Nicht ihre eigenen Systeme wurden gehackt, sondern diejenigen ihres Outsourcing-Partners Chain IQ. Den Schaden haben aber trotzdem sie zu tragen.
Das werde ganz sicher Konsequenzen haben, sagt ein ranghoher Mitarbeiter einer betroffenen Bank. Noch sei nicht der richtige Zeitpunkt, aber man werde ganz genau analysieren, ob man so weiterfahren werde.
Outsourcing – oder genauer: Business Process Outsourcing – gibt es im Banking schon lange. Kleine Banken beziehen sogar ihre Kernbankenlösung über einen Partner, andere haben Teile ihrer nicht kritischen IT oder Prozesse an ein Drittunternehmen ausgelagert. UBS etwa entschied sich bereits im Jahr 2013, das gesamte Beschaffungswesen auszulagern.
Es kam zum Spin-off an Chain IQ, die mit UBS als Grosskunde durchstarten konnte. Gründer und Executive Chairman ist Claudio Cisullo, Vizepräsident ist Walter Stürzinger, der schon zu Marcel Ospels Zeiten in der Geschäftsleitung der UBS war. Vor zwei Jahren entschied sich auch Pictet, ihre Procurement-Prozesse an denselben Outsourcer auszulagern.
Treiber für die Auslagerung sind vor allem die Kosten. Durch die kombinierte Einkaufsmacht können Computerbildschirme oder Kopierpapier günstiger beschafft werden. Die ohnehin schon grossen IT-Abteilungen in den Banken können sich aufs Kerngeschäft konzentrieren.
Im Unterschied zu den meisten Unternehmen der Realwirtschaft – wie etwa Implenia oder Manor, die ebenfalls betroffen sind – gelten für Banken besondere Regeln, wenn sie mit einem Outsourcer zusammenarbeiten. Die Finanzmarktaufsicht hat im Jahr 2018 ein Rundschreiben erlassen, das die Zusammenarbeit regelt.
Eine zentrale Regel ist: dass die Banken weiterhin in der Verantwortung bleiben, wenn sie mit einem Outsourcer zusammenarbeiten. Ein Wegdelegieren der Verantwortung geht nicht. «Das Unternehmen trägt gegenüber der Finma weiterhin die selbe Verantwortung, wie wenn es die ausgelagerte Funktion selber erbringen würde. Es hat die ordnungsgemässe Geschäftsführung jederzeit zu gewährleisten», heisst es dazu.
In der Richtlinie wird weiter festgehalten, dass die Bank und der Outsourcer vertraglich Sicherheitsanforderungen festlegen müssen. Die Bank muss die Einhaltung dieser Anforderungen überwachen. Und weiter heisst es: «Das Unternehmen und der Dienstleister erarbeiten ein Sicherheitsdispositiv, das die Weiterführung der ausgelagerten Funktion in Notfällen erlaubt. Bei Errichtung und Anwendung des Sicherheitsdispositivs gilt für das Unternehmen derselbe Sorgfaltsmassstab, wie wenn es die ausgelagerte Funktion selber erbringen würde.»
Finma-Reaktion
Outsourcer selbst werden oftmals nicht von der Finma überwacht. Deshalb verlangt die Finma, dass entweder die Bank oder die Revisionsstelle den Outsourcer regelmässig prüft. Zudem muss der Dienstleister der Finma «sämtliche Auskünfte und Unterlagen bezogen auf den ausgelagerten Geschäftsbereich zur Verfügung stellen».
Man kann davon ausgehen, dass die Finma beim Chain-IQ-Hack bereits aktiv geworden ist. Ein Sprecher sagt auf Anfrage: «Zu Einzelfällen können wir uns nicht äussern. Wir können aber bestätigen, dass wir über den Fall informiert sind und ihn entsprechend den vorgesehenen Prozessen behandeln.»
Ein UBS-Sprecher schreibt zum Vorfall: «Ein Cyberangriff bei einem externen Lieferanten hat dazu geführt, dass Informationen über UBS und mehrere andere Unternehmen gestohlen wurden. Es sind keinerlei Kundendaten betroffen. Sobald UBS vom Vorfall Kenntnis hatte, handelte sie schnell und entschlossen, um Auswirkungen auf ihren Betrieb zu vermeiden.»
Das Statement von Pictet: «Die durch den Cyberangriff auf die Systeme von Chain IQ erlangten Informationen enthalten keine Kundendaten von Pictet. Sie beschränken sich auf Rechnungsinformationen aus den letzten Jahren mit bestimmten Lieferanten von Pictet, wie Technologieanbietern oder externen Beratern. Pictet nimmt alle Arten von Datenverletzungen ernst und verfügt über Protokolle und Vereinbarungen, um unbefugten Zugriff zu verhindern.»
Chain IQ reagierte nicht auf eine Anfrage.
