IT-Sicherheitsexperten fordern von den Anbietern mehr Schutzmaßnahmen
Fall Société Générale deckt eklatante IT-Schwächen auf
Die Finanzwelt rühmt sich ihrer Echtzeit-IT-Systeme, mit denen sie ihre weltweiten Transaktionen in Millisekunden vornehmen kann. Doch der spektakuläre Betrugsfall bei der französischen Bank Société Générale (SG) hat den Bankern und der IT-Welt eindrucksvoll gezeigt, wie anfällig diese Strukturen sind. In puncto Sicherheit können die Hightech-Systeme noch lange nicht mit den einst manuellen Systemen gleichziehen. Die betrügerischen Aktien-Manipulationen des Traders Jérôme Kerviel bei der SG sind auch ein eindrucksvoller Beweis dafür, dass die modernen IT-Systeme in der Finanzwelt bei weitem nicht sicher genug sind.
Noch ist nicht bis ins letzte Detail geklärt, wieviel Tricks Kerviel angewendet hat, um bei
seinem 4,9 Milliarden teuren Fehlspekulationen nicht entdeckt zu werden, doch die weltweiten
Sicherheitsexperten sind schon jetzt erschüttert. "Das, was bereits jetzt bekannt ist, sollte bei
allen IT-Chefs und vor allem bei den Anbietern der entsprechenden Anwendungssoftware alle
Alarmsignale auslösen", sagt Gartner-Analyst Jay Heiser. Denn genau die in die Trading-Systeme und
in den Workflow eingebauten Alarmsirenen haben bei der SG alle komplett versagt.
–
http://llschnuerer.cmpdm.de//sites/cz/article.html?thes=&art=/articles/2007031/31154458_ha_CZ.html">Data Mining
bremst Betrüger
–
http://llschnuerer.cmpdm.de//sites/cz/article.html?thes=&art=/articles/2007021/31094562_ha_CZ.html">Finanzsysteme:
Jede Millisekunde bringt 100 Millionen Dollar
–
LANline-Themenkanal Security
Inzwischen sind sich alle IT-Sicherheitsexperten einig, dass das, was bei der SG vorgefallen
ist, jederzeit bei jeder anderen Bank ebenfalls passieren kann. "Die Sicherheit der modernen
Trading-Systeme ist gegenüber internen Intimkennern der Materie mangelhaft", meint beispielsweise
der US-Sicherheitsexperte Martin McKeay.
Dass Kerviel die IT-Systeme der SG so leicht austricksen konnte, lag vor allem daran, dass er
eine Zeit lang in der Reklamationsabteilung gearbeitet hat. Hier erhielt er den Zugang zu vielen
Konten und Transaktionen, denn diese Abteilung klärt Beschwerden der Kunden, die im Zusammenhang
mit nicht korrekt abgewickelten Handelsaufträgen stehen. Zumeist geht es dabei um die
Ausführungszeit eines Auftrags oder um einen Mangel an Mitteln, um einen Auftrag auszuführen, oder
ähnliche Probleme.
In dieser Abteilung verschaffte sich Kerviel viele Passwörter und erhielt von den IT-Experten
genaue Informationen darüber, wie die komplexen Handelssysteme arbeiten, denn nur mit diesem Wissen
konnte er nachvollziehen, was in einem Einspruchsfall anders verlaufen war als geplant – und ob man
den Kunden entschädigen muss.
Diese Intimkenntnis der Systemabläufe nutzte Kerviel später aus, als er in die
Investment-Abteilung versetzt wurde. Dort sollte er jeweils gegenteilige Positionen am europäischen
Aktienmarkt tätigen – ein Business, das sehr sicher ist, aber wenig Marge abwirft. Kerviels Ehrgeiz
war es jedoch, hier mehr Gewinn zu machen als seine Vorgänger. Doch das war nur möglich, wenn er
nicht gleichzeitig in beide Richtungen investiert, sondern nur in die, von der meinte, dass der
Markt sich dorthin entwickeln wird.
Um diese – ihm verbotenen – unausgeglichenen Transaktionen zu verschleiern, platzierte er in dem
System gefälschte Gegenbuchungen, die über einen langen Zeitraum hinweg nicht auffielen. Einer der
Gründe dafür, dass diese falschen Gegenbuchungen nicht bekannt wurden, liegt darin, dass Kerviel
genau wusste, wann das System die Korrektheit der Positionen prüft. Jeweils kurz zuvor nahm er die
falschen Buchungen aus dem System, um sie danach sofort wieder einzugeben. Die Zeitspanne dafür
waren teilweise nur wenige Sekunden. Deshalb fielen sie auch bei den im System eingebauten
periodischen Saldenabklärungen nicht auf. Und selbst wenn sie aufgefallen wären, hätte es noch eine
Weile gedauert, bis man ihm auf die Schliche gekommen wäre, denn für alle diese Transaktionen
benutzte er die Passwörter von Systemadministratoren oder Mitarbeitern der
Reklamationsabteilung.
Dieses Systemgemauschel ist heute nur deshalb möglich, weil in den weltweiten Finanzplätzen
alles per Computer in Echtzeit abgewickelt wird. Früher gab es in der Nacht eine Saldenabstimmung
zwischen allen Banken und dem Clearing-Haus, sodass dort jede falsche Buchung sofort auffiel. Doch
heute wird von den Trading-Systemen jede Transaktion in Echtzeit sofort über das Clearing-Haus
abgewickelt. Was Kerviel mit dem System gemacht hat, gleicht dem Vorgehen, mit großer
Geschwindigkeit einen Haben-Posten zwischen verschiedenen Girokonten zu verschieben, sodass alle
Konten dadurch stets im Plus erscheinen.
Verschiedene Sicherheitsexperten sehen deshalb jetzt viel Arbeit auf die Systemanbieter
hinzukommen. "Trader und Manager haben inzwischen einen blinden Glauben in die Ergebnisse der
Computer. Das liegt vor allem daran, dass keiner mehr genau weiß, wie diese Systeme im Detail
funktionieren", so Chris Rexworthy von der britischen Security-Beratungsfirma IMS. Seiner Ansicht
nach fehlt es an wirksamen Kontrolleinrichtungen sowohl bei der Technik als auch beim Management. "
Risk-Management hat keine Priorität bei den IT-Systemen", beklagt er und verweist dabei auf eine
Untersuchung des Security-Anbieters Celent, nach der Risk-Management erst auf dem neunten Platz bei
den Prioritäten der CIOs anzutreffen ist.
Harald Weiss/wg
Lesen Sie mehr zum Thema
