CS-Informatik im Stresstest

Abstürze häufen sich – Seit Tagen können erfasste Zahlungen nicht mehr mutiert werden – Auch bei Migros Bank Black-out.

Lukas Hässig 32 32 Kommentare

Steht der Computer still, ist die Bank nach 48 Stunden am Ende. So lautet eine verbreitete Weisheit im Banking.

Bei der Credit Suisse ist das System nicht am Boden. Doch es zeigt sich immer wieder anfällig für Fehler und Unterbrüche.

Seit Tagen können die Kunden im E-Banking der CS, das den Namen Directnet trägt, einmal erfasste Zahlungen nicht mehr anschauen.

Und damit können sie sie auch nicht mehr anpassen. Ist eine Überweisung mal erfasst, dann bleibt sie im System so drin – auch wenn der Kunden sie vielleicht löschen oder verändern will.

Statt dessen erscheint eine Meldung. „Aus technischen Gründen ist die Funktion E-Rechnungen nur eingeschränkt verfügbar“ lautet sie.

Und weiter: „Neue Rechnungen können bearbeitet werden. Bearbeitete Rechnungen und An- oder Abmeldung stehen bis zum 21. Februar 2018 nicht zur Verfügung.“

Die Bank bestätigt das Problem, das seit über einer Woche besteht. Man habe sich entschieden, den Fehler mittels eines nächsten Releases zu lösen.

Dieser soll gemäss der Mitteilung an die betroffenen Kunden morgen erfolgen.

Auch bei der Migros Bank steht das E-Banking oft nicht im gewünschten Umfang zur Verfügung. Dort hapert es oft am Anmeldeprozess.

Ein kryptische Meldung erscheint, wenn man sich ins System einloggen will. „Die SSL-Zertifikatsprüfung ist fehlgeschlagen“, lautet sie.

Dann wird an eine Zentrale verwiesen. „Bitte kontaktieren Sie die E-Banking-Hotline.“

Wer das versucht, der muss sich in Geduld üben. Unter der angegeben Nummer warten man vergebens auf die Stimme eines Support-Mitarbeiters.

Ein Sprecher bestätigt die Probleme, betont aber, dass der Anmeldeprozess trotzdem funktioniere.

„Die erwähnte Fehlermeldung kann derzeit bei einzelnen Kundinnen und Kunden der Migros Bank auftreten. Die Analyse hat gezeigt, wo das Problem liegt, und seine Behebung ist in Arbeit.

„Die Fehlermeldung ist insofern nicht korrekt, als bei diesen Kundinnen und Kunden kein Sicherheitsproblem vorliegt. Die Meldung kann daher einfach durch den Kunden bestätigt werden, und anschliessend kann er wie gewohnt seine Transaktionen ausführen.“

Es handle sich um eine „unschöne“ Fehlermeldung. Dass die Hotline nicht erreichbar gewesen sei, sei nicht gut.

Wie stark Image und Betrieb der Banken von einer funktionierenden Informatik abhängig sind, zeigte sich kürzlich am Beispiel der „Erfolgsbank“ Swissquote.

Dort stürzte eines Nachmittags das ganze System ab. Der Zeitpunkt war besonders ungünstig, passierte das Unglück doch just am 31. Januar, sprich zum Monatsultimo, wenn viele Kunden noch rasch ihre Positionen bereinigen möchten.

Auch in den Folgetagen kam es zu Problemen. Swissquote-Chef Marc Bürki verwies damals auf ein völlig neues System. Dieses wollte er über das vergangene Wochenende in Betrieb nehmen.

Ob der Start mit der rundum erneuerten Plattform geklappt hat, ist offen. Bürki hat bisher auf SMS-Anfragen nicht reagiert, während er zuvor, als es zum Absturz gekommen war, stets rasch reagierte.

Kommentare

Kommentieren

Bitte beachten Sie unsere Regeln. Ihre E-Mail Adresse wird nicht veröffentlicht. Benötigte Felder sind markiert. *

Die beliebtesten Kommentare

  1. Das SecureSign "Sicherheits"-Verfahren des CS eBankings ist in knapp 10 Minuten locker hackbar. Der CTO der CS hat es versäumt,…

    Lesen

  3. Die IT wird von den Banken nur als Kostenfaktor wahrgenommen. Deshalb sind in den vergangenen Jahren diverse Abläufe outgesourct worden…

    Lesen

  1. Warum soll im Grossen klappen, was im kleinen schon nicht funktioniert ? Es vergeht doch kaum ein Tag, wo nicht in einem PC-programm ein Bug entdeckt wurde, ein Flick veröffentlicht wird oder gar ein Fehler in der CPU aufgedeckt wird. Horden von Zeitschriften gibt es darüber, was es wo alles zu verbessern gibt. Und es wird täglich komplexer.
    Wenn man wenigstens die IT noch im eigenen Hause hätte, könnte man noch schnell reagieren. Aber wenn erst lange Telefonate mit der ausgelagerten IT geführt werden müssen, muss man sich nicht wundern, wenn es harzig vorangeht.

    Antworten

  2. Zum Glück wurde die Informatik grossteils nach Indien ausgelagert. Dort wird schnell der nächste Flick (offiziell Release) hergestellt und dann ist wieder gut. Der nöchste Ausfall kommt bestimmt.

    Antworten

  3. Die IT wird von den Banken nur als Kostenfaktor wahrgenommen. Deshalb sind in den vergangenen Jahren diverse Abläufe outgesourct worden und die Stellen, die sich nicht outsourcen liess, hat man mit günstigen Ausländern aus Indien oder sonst einem fernen Land besetzt. Schweizer Informatiker sind dem Management zu teuer.

    Antworten

  7. Auch die UBS hat Probleme in ihrer IT. Falsche Entscheidung auf Stufe Architektur und Unwissenheit von Entwicklung (vieles ist Ausgelagert) sind dabei nur die Spitze des Eisbergs.

    Die Komplexität hat eine Stufe erreicht, die fast nicht mehr zu bewältigen ist. Dokumentation ist schlecht oder unklar beschreiben. Der Druck der Front ist gewaltig. Liefer um jeden Preis…

    Antworten

    • Wie man Komplexität auf Stufe Software managed ist seit Urzeiten bekannt. Man muss sich nur alle Anti-Patterns auf Wikipedia anschauen. Das Buch „Clean Code“ hilft weiter.

      Firmen mit chaotischer Software sind schon bankrottgegangen. Aber Geschichte wiederholt sich trotzdem.

    • Es wird noch öfters knallen in der IT der Banken. Nach fünf Jahren bei UBS IT kann ich resümieren: Durch den Spardruck werden Standards und Best Practices ignoriert, Architektur nach politischer Willkür geplant, Wissen vernichtet (und später wundert man sich warum es fehlt), Mitarbeiterratings nicht objektiv vergeben, Ressourcenbedarf durch unfähige externe Mitarbeiter/Outsourcing/Low Cost Nearshoring gedeckt, Reorganisationen finden alle 3 Monate statt, die nicht greifen usw.
      Gute Leistung der eigenen Mitarbeiter wird nicht honoriert, die all das wett macht.
      Schon lange zahlen die Banken nicht mehr als andere, sodass das Schmerzensgeld den Stress und fehlender Sinn in der Arbeit das gut machen. Man sieht es auch an der Anzahl der Bewerber. Schweizer bewerben sich kaum mehr.
      Ich wechsle jedenfalls die Branche.

    • Die Komplexität ist immer noch zu bewältigen, aber es ist so, dass es für externe und neue Mitarbeiter nicht ganz einfach ist. Die Dokumentation ist das IT Thema schlecht hin und man kann dieses bei jeder Firma finden.

      „Unwissenheit von Entwicklung“ – Dies ist auch kein neues oder UBS spezifisches Problem. Business und Entwicklung haben noch nie dieselbe Sprache gesprochen. Die Diletanten im Projekt Management tragen deshalb nicht wirklich zum gelingen bei und der Erfolg hängt an wenigen Mitarbeitern. Es ist natürlich korrekt, dass die Auslagerung den Schwierigkeitsgrad noch weiter erhöht haben.

  8. E-Banking der CS: habe gestern und heute Vormittag Zahlungen mit dem CLX PayPen erfasst. Fehlerfrei. Dann Sichtkontrolle VOR dem Abschluss.

    Nach „Enter“ waren die Beträge sofort auf meinem Konto als Belastung verbucht – und bei der Gegenpartei (Postfinance) maximal 2 Minuten später als Gutschrift verbucht! Das nenne ich „real time processing“. Genial.

    Also, wo liegt das Problem?

    Antworten

  9. Meine Erfahrung in Sachen digitalem Banking und Zahlungsverkehr bringt mich immer wieder auf den Punkt: Nur Bares … ist Wahres…

    1990 bis 2000 hatten wir stabile, effiziente und hoch sichere Zahlungs- und E-Banking Systeme – das hatte richtig Spass gemacht und wir haben damit viel Geld verdient.

    2000 – 2010 musste Alles noch „besser“ und hipper und webber werden; Spielzeug auf dem Mobile Phone, Zahlungsverkehr und E-Banking made by Google Play Store, Made Offshore by IT-Dummies und aus dem Nirvana – Hunderte von Applikationen und „Releases“ mit Patches over Patches …. und grossartigen Systemausfällen.

    Und ab 2010 … der digitale Angriff auf den Kunden und sein Portemonnaie: E-Banking und Zahlungsverkehr immer wieder massiv gestört, komplexer E-Banking-Spielzeug-Code den keiner mehr versteht und dem nur noch mit AI beizukommen ist – was Tage dauert – die Hacker tummeln sich in den IB Systemen weltweit, chaotische Zustände und die Banken starten den digitalen Angriff auf die Kleinkinder: DigiPigi shit lässt grüssen und die Hacker-Chaos-Gemeinde freut’s.

    Ab 2020 werden wir wohl wieder auf Bargeld, Papierdruck und die bankunabhängigen Direktzahlungs-Systeme aus der Blockchain Technologie zurückgreifen. Und damit haben wir die Finanzwelt wieder demokratisiert und anonymisiert!

    Antworten

  12. Es geht noch weiter. Zahlungen, welche via Paymaker übermittelt werden, verschwinden oft im Nirwana. Man kann sich auf die Kombination Paymaker/CS nicht mehr verlassen und muss nach jeder Uebermittlung in Directnet nachsehen, ob die Zahlungen auch wirklich durch die CS gespeichert und verarbeitet wurden

    Antworten

    • Wenn CS und Konsorten weiterhin auf System die teilweise aus 1990 stammen arbeiten, könnte das durchaus passieren. Sollten die Jungs mal über den eigenen Schatten springen und sich überlegen was eigentlich alles möglich ist mit modernster Technologie, wird das kaum passieren.

    • umgekehrt, sie läuft 3-4 Tage, die anderen Tage wird ums Technische- und Finanzielle Überleben gekämpft

  14. Das SecureSign „Sicherheits“-Verfahren des CS eBankings ist in knapp 10 Minuten locker hackbar. Der CTO der CS hat es versäumt, das System durch Profis prüfen zu lassen. Er meinte wohl, die eigenen Leute und die externer CyberSec-Firmen genügen – falsch gedacht. Somit sind die Kundenkonten der CS alles andere als sicher. Es ist nur eine Frage der Zeit, bis es passiert und das war’s dann für den CTO und den Riskchef der Bank. Diese Ignoranz wird noch böse bestraft.

    Antworten

    • Ja klar, 10 Minuten für Secure Sign. Dann hätten die meisten Kantonalbanken, Raiffeisen und noch verschiedene Kleinstbanken ein Problem resp. hohe Betrugsfälle zu verzeichnen.
      Eine solche Aussage ist einfach nur lächerlich.

    • Wenn Du meinst, Beni. Ich habe ja gesagt, dass die Schweizer IT-Menschen nicht gut genug sind und sich das nicht vorstellen können. Wir allerdings haben gesehen, dass es geht – es waren knapp 10 Minuten.

    • Genau, in 10min gehackt.

      Darum liest man auch täglich auf IP über CS-Kunden die gehackt wurden und ihr Geld verloren haben.

      Wenns so einfach wäre, dann kann Hack-Täschli ja den Beweis erbringen *smile*

    • Wahrscheinlich ist das Hack-Tätschli zu schnell durch den Wolf gezogen worden.
      Meine Erfahrung zeigt, dass die Kundendaten der CS sehr sicher sind. Chapeau für das IT Team.

    • Genau das meine ich. Der Login Master glaubt wirklich, er sein ein Master in IT. Bist Du eben ganz offensichtlich nicht. Ich wars ja nicht, der die Übung gezeigt hat. Eure Überheblichkeit ist grenzenlos aber die wahren Experten überlisten Euch im Schlaf. Macht doch eine Ausschreibung: Wer unser Online-Banking überlistet kriegt chf 1 Mio. Spart ihr ein paar Bonis für IT-Mitarbeiter, die bei der CS sowieso nichts taugen und holt Euch dafür einen echten Profi. Wäre eher peinlich für Euch Kleinkrämer, mit übergrossem Ego.

    • @Gehackter Braten. Ich bin Handmade, nicht Maschinemade. Vermutlich hast Du Freunde bei der CS-IT und klopfst denen deshalb auf die Schulter. Genau das ist das Problem in der Welt der Schweizer Durchschnitts-ITler, die sich für die Grössten halten und sich gegenseitig schützen, dass die Unfähigkeit nicht ans Licht kommt. Das Grösste bei den meisten Banke-CTOs ist der 911er in der Garage und die monatlichen Kosten für die Frau, um sie bei Laune zu halten, weil sie ausser Geld und IT nicht viel kennen. Kenne das aus meinem erweiterten Umfeld. Sind fast alle gleich und zum Gähnen langweilig.

    • @Hack-Tätschli
      Es ist bemerkenswert, wie du über die Qualität von Swiss-IT berichtest; ich glaube, da stimmt nicht alles … Auch wenn nicht alle IT-Spezis und SE’s in den Banken Super-Cracks sind, gibt es doch tadellose SW-Ingenieure in unserem Land, die den Job im Sicherheitsbereich beherrschen. Siehe z.B. die Leute am CERN mit protonmail.ch … Swiss Made Security von Weltklasse oder ein paar Kollegen von Crypto AG in Steinhausen …

      Also gib uns doch einfach einen klaren, fachlichen Hinweis, WER, WELCHE Organisation oder WELCHER Hackerz so gute Methoden (und welche?) im Bereich *SecureSign“ hat? Dann werden Deine Aussagen etwas fassbarer …. und besser!

    • @Hack-Tätschli:
      Ob jetzt 10 Minuten reichen um das SecureSing zu knacken, könnte man prüften, jedoch eines ist sicher: sicher ist Nichts! Schlussendlich ist es nur eine Frage der verfügbaren Rechenleistung, um auch die kompliziertesten Krypto-Algorithmen zu knacken.

      Man möchte uns global Glauben schenken, dass elektronisches Geld sicher ist. Vergleicht man jedoch die jährlichen Deliktsummen zw. Bar- und E-Geld, stellt man fest, dass die Deliktsummen beim E-Geld um FAKTOREN höher liegen!

  15. Die e-Banking-Software der Migrosbank hat dieses Problem nur auf der Mac-Platform. Gemäss Hotline soll dies bald behoben werden.

    Tatsächlich kann man sich einloggen.

    Mir ist kein Update des Mac-Betriebssystems bekannt, welches urplötzlich etwas verändert hat.

    Eher vermute ich, dass ein SSL-Zertifikat der Migrosbank abgelaufen ist, so wie es mal bei der CS zum Jahreswechsel in Österreich geschah.

    Jemand hat also schlichtweg geschlafen.

    Antworten

    • Ich vermute auch, dass nur das Zertifikat abgelaufen ist. Das kommt leider immer wieder auch bei grossen Firmen vor. Das zeugt aber auch von unprofessionellem Zertifikatsmanagement. Dagegen gibt es Lösungen (Verfahren und Tools). Doch dazu müsste man (Management) eben auch ein bisschen Ahnung von IT haben und sich auch darum kümmern (IT Governance).

    • Der Zertifikatsmanagement liegt bei den Betreibern der Rechenzentren und Infrastruktur, auf der die Bankensoftware läuft. Leider haben viele Betreiber in der Tat keinen solchen Zertifikatsmanagement-Prozess, so dass dann beim Bankensoftware-Hersteller Tickets eingereicht werden im Stil von „hhm, unser Internet Banking zeigt plötzlich SSL Fehler an, was tun?“ Es ist eine Schande.

© 2024 Inside Paradeplatz
G