UBS verletzt seit Jahren Bankgeheimnis

Schweizer Kundendaten landen offen bei Indien-IT-Firmen, COO Stephan Zimmermann verantwortlich.

Das Zauberwort heisst „Swiss Secure Zone“. Mit einem Schutzwall um Schweizer Kundendaten will die UBS sicherstellen, dass Informationen, die durch das Bankgeheimnis geschützt sind, ohne Risiko von Rechtsverstössen im Ausland und bei Externen verarbeitet werden können.

Die angestrebte „Swiss Secure Zone“ funktioniert auch nach über 10 Jahren nur lückenhaft. Sie ist damit zu einem der grössten Einfallstore für Klagen von Kunden geworden.

Die Grossbank UBS riskiert im vollen Wissen um die Tragweite des Problems und die undichten Stellen in ihrer Schweizer Sicherzeitszone Verstösse gegen geltendes Recht.

Ein Sprecher der Bank bestätigt, dass es vor 3 Jahren zu einem UBS-intern Aufsehen erregenden Vorfall gekommen ist, spricht aber von einem beschränkten Schaden.

„Der Vorfall von 2009 betraf glücklicherweise nur wenige Dutzend inaktive Stammnummern bei einem externen Serviceprovider im Ausland“, sagt UBS-Kommunikationschef Michael Willi.

Die UBS habe umgehend reagiert. „Der Vorfall war für uns aber ein Anlass, allfällige externe Datenverarbeitung im Ausland von den Kunden konsequent bewilligen zu lassen. Und wir arbeiteten intensiv an der Verbesserung der Daten-Sicherheit.“

Eine Sprecherin des Eidgenössischen Datenschützers warnt die Bank davor, das Problem auf die leichte Schulter zu nehmen.

„Wenn dem tatsächlich so wäre, müsste die UBS die Datenbearbeitungen den Vorgaben des Datenschutzgesetzes anpassen“, sagt Eliane Schmid, Informationsverantwortliche der Bundesstelle. „Strafrechtliche Konsequenzen bietet das Gesetz nicht, jedoch könnten bankspezifische Bestimmungen solche beinhalten.“

UBS-Sprecher Willi bestätigt mit seiner Aussage, die Bank arbeite „intensiv an der Verbesserung“, dass die UBS das Problem nach wie vor nicht im Griff hat.

Insider, die an exponierter Stelle bei der Bank tätig und mit den Gefahren rund um das Offshoring und Outsourcing von Bankgeheimnis-geschützten Kundendaten vertraut sind, bestätigen, dass es laufend neue Vorfälle gibt.

Es entsteht das Bild, dass die „Swiss Secure Zone“ der UBS ein löchriger Emmentaler ist.

Deren Ursprung geht zurück auf eine Weichenstellung um die Jahrtausendwende.

Stephan Zimmermann, ein hoher Manager des innersten Führungszirkels der Bank, sass an entscheidender Stelle, um das Offshoring und Outsourcing, das für die UBS unabsehbare rechtliche Folgen haben könnte, zuzulassen.

Ein UBS-Insider, der mit dem Thema vertraut ist, bestätigt die Rolle von Zimmermann.

„Stephan Zimmermann war wichtig beim Offshoring-Entscheid, da er als damaliger Operations-Chef im Wealth Management letztendlich dafür zuständig war“, sagt der hochrangige UBS-Manager.

Die Quelle nimmt den UBS-Strippenzieher aber in Schutz, indem sie Zimmermann als verantwortungsbewussten Schweizer Kadermann beschreibt.

„Zimmermann drückte sicher nicht aufs Tempo, ganz im Gegenteil, er ist bekannt als Warner und gilt als vorsichtig, was ihm manchmal den Ruf eines Bremsers einbrachte.“

Zimmermann ist einer der wenigen Entscheidungsträger der Bank, die alle Stürme der letzten Jahrzehnte überlebt haben.

Zusammen mit dem unverwüstlichen Ex-Risiko-Chef Walter Stürzinger, der über 50 Milliarden Subprime-Abschreiber überstand und sich inzwischen im Corporate Center eine neue Machtposition aufgebaut hat, lenkt Zimmermann faktisch die Geschicke der UBS. Er  ist seit 37 Jahren an Bord und gilt als graue Eminenz.

Seine Lebenspartnerin, Ex-Bundesrätin Ruth Metzler, erlebt derzeit in der Finanzbranche ihren zweiten Karriere-Frühling.

Als der Offshoring-/Outsourcing-Entscheid anstand, habe sich Zimmermann nicht in den Dienst der Schweizer Vermögensverwaltung gestellt, sondern sei zum Handlanger der UBS-Investmentbank geworden, sagt eine andere Quelle.

Die mächtigen angelsächsischen Dealer und Wheeler innerhalb des globalen Finanzmultis wollten damals Zugriff auf durch Schweizer Gesetze geschützte und auf Schweizer Servern liegende Kundendaten.

Der Grund ist einfach: Für die Investmentbanker bedeuten Schweizer Kundendaten Big Business. Sie wollen diese nutzen, ohne teure Investitionen in die eigene IT zu tätigen. Denn höhere Kosten bedeuten weniger Boni.

Der legendäre UBS-Kulturkonflikt brach beim Daten-Offshoring exemplarisch auf.

Hier die Schweizer Vermögensverwalter in Zürich, die um den Wert des Bankgeheimnisses mit absoluter Datensicherheit wussten; dort die angelsächsischen Investmentbanker in London und New York, die Bedenken um den Datenschutz als altmodisch und ineffizient zur Seite wischten.

Mit Zimmermann soll es ausgerechnet ein hoher Schweizer gewesen sein, der den Angelsachsen der UBS-Investmentbank zum Sieg im internen Ringen verholfen habe, sagt die Quelle.

Nach dem Jahrhundertwechsel trieb die Grossbank in Hyderabad und an anderen aufstrebenden Offshore-Plätzen die Verarbeitung von Kundendaten durch externe Serviceanbieter voran. Die UBS tat dies, ohne sicher sein zu können, dass sie den Schutz dieser Informationen garantieren konnte.

Dass die Verantwortlichen um die Brisanz der Verarbeitung in Indien und anderswo wussten, zeigt eine Aussage von UBS-Sprecher Willi.

„Der Entscheid, Kundendaten aus der Schweiz im Ausland und bei externen Serviceprovidern verarbeiten zu lassen, wurde nicht leichtfertig gefällt“, sagt der hohe UBS-Manager. „Ihm ging eine intensive Überprüfung des Projektes voraus, auch durch ein von operativen Einheiten unabhängiges Governance Board.“

Kernidee eines dafür initiierten Sicherheitsprojektes (Client Data Confidentiality Programm, CDC) ist die Anonymisierung der Kundendaten.

Aus echten Stammnummern mit direktem Link zu Namen und Kontodaten generiert das System einen künstlichen Schlüssel, der eindeutig auf den jeweiligen Kunden hinwies, ohne diesen zu nennen. Eine scheinbar perfekte Verschlüsselung.

In der Praxis schwirren trotzdem immer wieder „scharfe“ Kundendaten herum. So wie beim Vorfall von 2009, als UBS-Kontrolleure auf echte statt verschlüsselte Daten stiessen.

Laut der hohen internen Quelle hatte der Vorfall das Potenzial, dass Millionen von tatsächlichen Kundendaten offen bei Drittanbietern im Ausland „herumliegen“ würden.

In der Zentrale schrillten die Alarmglocken. Doch statt die Übung grundsätzlich zu überdenken, weil der absolute Datenschutz nicht garantiert werden konnte, griffen Zimmermann und die übrigen UBS-Spitzenleute zur Pflästerlipolitik.

Mit sogenannten Waivern wurden die Kunden auf die Verarbeitung im Ausland und bei externen Firmen hingewiesen. Teilweise stimmten die Kunden dem Vorhaben explizit zu, teilweise wurde stilles Einverständnis angenommen.

Damit ist die UBS nicht fein raus. Hohe Kader monieren, dass die Waiver-Lösung das Kernproblem nicht behebt. Auch in der UBS-Rechtsabteilung herrsche Unbehagen, sagen sie.

Erstens sei vielen Kunden gar nicht klar, was sie unterzeichnen würden. Zweitens seien Waiver, bei denen die Kunden von sich aus aktiv werden müssten, um eine Datenverarbeitung im Ausland explizit zu verbieten, rechtlich umstritten.

Der Eidgenössische Datenschützer sagt, dass der Waiver-Weg grundsätzlich möglich sei. Doch blieben „die Sorgfaltspflichten der Bank in Sachen Sicherheit und auch bankspezifische Regelungen“ vorbehalten.

Kommentare

Kommentieren

Ihre E-Mail Adresse wird nicht veröffentlicht. Benötigte Felder sind markiert. *

  1. Alles no brainer. Interessiert niemanden, wird zu keinem Kundenabgang führen und wird der oberen Riege weiterhin problemlos zu ihrem unverdienten Bonus verhelfen. UBS hat ihr Gesellenstück 2008 geliefert zum Preis von lumpigen USD 780 Mio., s’Oschpili und ein paar andre nahmen den Hut gegen fürstliche Appanagen…und, who cares. Die Karawane zieht weiter. Gut gemacht UBS. Der CH Steuerzahler ist stiller Gehülfe.

  2. Und die Credit Suisse lagert gewisse Sachen nach Polen aus. Mit dem entsprechenden Resultat von schlechter Qualität und wochenlangem Warten.

  3. Der Bericht ist löchrig und unwahr: Der vermeintliche Outsourcer in Hydrebat war zu diesem Zeitpunkt eine UBS-eigene Niederlassung (Delivery-Center) und hat nichts mit externen Outsourcern zu tun. Später ging das Center an Cognizant, übrigens eine Amerikanische Firma, dabei wurden aber alle kritischen Daten zurück in die Schweiz gezogen.
    Zudem sind die Banken gezwungen gewisse Dinge auszulagern, weil unsere Politiker (oder ein Teil davon) gegen die Zuwanderung von ausländischen Fachspezialisten sind..Zitat eines ex-it-Chefs einer Schweizer Grossbank: “ wenn wir die Leute nicht zur Arbeit hirher bringen, müssen wir die Arbeit zu den Leuten geben…!“

    • …nice try….entspricht leider auch nicht vollständig den Tatsachen. Filiale in Indien war tatsächlich eine UBS Tochter. Ging an Cognizant über – auch korrekt. Doch es gehen weiterhin CH-Daten nach Indien – die globale Investment Bank lässt grüssen…

  4. Hauptsache man kann einen „teueren“ Schweizer Informatiker der mehr als 120’000 CHF kostet durch einen billigen offshore Contractor Mitarbeiter ersezten, der kostet nur 140 CHF / Stunde, super !

    • Ein Offshore Mitarbeiter in Indien kostet 300-400 CHF am Tag. Das koennte sich rechnen, wenn man nicht drei Leute statt einer Person braeuchte und die lokale Betreung noch dazu.

      Ich war dabei, als das Indien-Offshoring fuer die CRM-Plattform der CS PB aufgesetzt wurde: Das Middle Management (Schweizer) war nicht an serioeser inhaltlicher Analyse interessiert, es wollte einfach irgend etwas, mit dem man vordergruendig die Wuensche des Senior Management (Schweizer) befriedigen kann, um gut dazustehen.

      Entspreched wurden die Business Cases ganz einfach gefaelscht (zum Beispiel ganze Kostenbloecke wie Steuern einfach unterschlagen).

  5. Bei der expliziten offshore Vergabe von Aufträgen weiss die Bank ja noch um ihr Risiko, und könnte selber entscheiden. Interessanter ist die Problemstellung bei onshore Beratungsaufträgen an die grossen, international tätigen & dominierten Big-Names der Beratungsindustrie. Deren Partner (und Mitarbeiter) unterschreiben zwar im Vertrag die Verpflichtungen zum Bankkundengeheimnis, haben aber intern oft nur (noch) im Ausland administrierte und global zugängliche Datenspeicher (i.e. können die Einhaltung des Bankkundengeheimnis gar nicht garantieren).
    Eine wirksame Gegenmassnahme (in Kombination mit Data Loss Prevention auf technischer Ebene) wäre, die Berater zu zwingen, nur auf bankinterner Infrastruktur zu arbeiten. Davon sind (und waren) viele Banken (heute und über die vergangenen Jahre) weit entfernt.

    PS: Diese Situation trifft auf einige, aber nicht alle der grossen internationalen Berater zu. Zusätzlich werden in den meisten Projekten keine Kundendaten verarbeitet. Trotzdem sind mehr Bankkundendaten aus dem Ausland zugreifbar, als dass den Banken wirklich bewusst und lieb ist.

    • Ds ist so, zum Glück weiss nicht immer jeder alles was nicht gut läuft, sonst würde man zumindest in dieser Beziehung wohl nicht mehr ruhig schlafen können. Es ist aber bei vielen Unternehmen davon auszugehen, dass sie keinerlei Kontrolle darüber haben wo ihre elektronischen Daten gelagert werden oder sonstwie gespeichert sind. Ich denke, dass dies einfach Fakt ist und die auf grund ihrer Datenbewirtschaftung betroffenen Unternehmen davon ausgehen können, dass genügend Einfallstore in die Datensicherheit bestehen, deren Zutrittspfade beim schwächsten Glied in der Kette beginnen (dies ist nicht das zentrale Datenarchiv in der Schweiz).

  6. Der Kunde muss endlich merken, dass die Grossbanken nicht mehr in seinem Interesse arbeiten. Wenn sich der Markt, sprich die Kunden gegen diese Outsourcing-Aktivitäten wehren würden so würden sie die Grossbanken verlassen und zu Banken wechseln welche ihre Arbeiten in der Schweiz erledigen.

  7. Korrektur!

    Eine Schweiz. Bankkundengeheimnisverletzung ist ein Offzialdelikt und muss damit von gesetzeswegen durch die Staatsanwaltschaft Zürich verfolgt werden. Aufgrund dieses Artikels liegt wohl ein Tatverdacht oder sogar ein dringender Tatverdacht einer schweiz. Bankkundengeheimnisverletzung durch die UBS vor. Ich wette, dass dies die Staatsanwaltschaft nicht interessiert! Ist ja die UBS, da gelten andere Regeln und “willful blindness” ist in der Schweiz nicht strafbar!

    • Auch ein Pfeifenblaser sollte sich an die Fakten halten. Es liegen überhaupt keine Hinweise vor, dass geheime Kundendaten nach aussen drangen. Die Verletzung des Bankgeheimnisses ist rein hypothetisch.

    • Lieber Herr Lugosi, bitte fragen Sie einmal ein paar ausländische Bankkunden. Ich kann Ihnen versichern, die sehen dies nicht als rein hypothetische Bankgeheimnisverletzung, wenn ihre Kundendaten die Schweiz verlassen! Dann haben Sie dann Ihre Fakten!

  8. Eine Schweiz. Bankkundengeheimnisverletzung ist ein Offzialdelikt und muss damit von Gesetzeswegen durch die Staatsanwaltschaft Zürich verfolgt werden. Aufgrund dieses Artikels liegt wohl ein Tatverdacht oder sogar ein dringender Tatverdacht vor, einer schweiz. Bankkundengeheimnisverletzung durch die UBS. Ich wette, dass dies die Staatsanwaltschaft sich dafür interessiert! Ist ja die UBS, da gelten andere Regeln und „willful blindness“ ist in der Schweiz nicht strafbar!

  9. Das Problem ist nicht nur ein UBS Problem. Ich habe von einem IT Datenschutzspezialisten mal gehört wie erschreckend die Zustände bei vermeintlich „günstigen“ Datawarehouses sind. Da stehen Server irgendwo in einem Elendsviertel in der 3. Welt relativ ungeschützt, aber mit billigem, unökologisch erzeugtem Strom geküht, in einem schäbigen Raum, weil die Offshore Datenverarbeiter wiederum an noch günstigere Standorte offshoren, um die tiefen Preise der Konkurrenten unterbieten zu können. Wir sollten uns wieder mehr auf Erträge als auf eingesparte Kosten konzentrieren, sonst wird das nichts mehr in der Schweiz und WIR verarbeiten in Zukunft die Daten der Chinesen als Billiglohnland

    • So ist es. Wir werden leider von Blinden und bestenfalls Einäugigen geführt. Das kann nicht gut kommen.

    • „Konzentration auf Ergräge“ braucht Visionen und Strategien – beides Fehlt im Schweizer Banking. Es ist als ob ein Velo schnurstracks auf einen Baum zu fährt und der Fahrer „auf keinen Fall in den Baum fahren will“ – raten Sie mal, wo die Reise endet… …wenn es nicht so tragisch wäre, dann hatte die Sache das Potential zum Running-Gag!

    • Stimme dem zu. Schaut mal die CS an… Datenverarbeitung in Indien und immer mehr in Osteuropa. Mitarbeiterdaten werden im Ausland gehortet und verarbeitet. Ein CS Mitarbeiter bekommt sein Arbeitszeugnis aus Polen, man stelle sich das mal vor!