zurück zur Übersicht

Zum Versäumnis der Banken, die Geldwäsche zu verhindern.

Geldwäsche. Machen die Banken zu wenig?In dieser Woche wurden zwei große westeuropäische Banken, Danske und ING, aus ähnlichen Gründen mit Geldbußen von fast einer Milliarde Euro abgestraft. Sie haben es nicht geschafft, große Geldwäschereibetriebe zu bekämpfen. In einer Erklärung des ING-CEOs ist er reumütig, während er härtere Kontrollen ankündigt. Ist das so einfach, wie es scheint? Oder sollte man mehr zu Geldwäsche & Bankgeschäften wissen? In diesem Artikel spreche ich nicht von bestimmten Banken, sondern nutze die Erfahrungen aus 4 Kontinenten.

Kontext

Die Nachrichten über ING & Danske sind zwar die aktuellsten, aber es sind viele weitere, ähnliche Fälle bekannt. Die Australian Comonwealth Bank und die indische Canara Bank, wurden vor wenigen Monaten mit ähnlichen Geldbußen belegt. Die Deutsche Bank erging es im Jahr 2017 ebenfalls so und die Liste geht weiter. Groß angelegte Geldwäsche scheint überall zu passieren. Wenn überhaupt, scheinen nur die Berichte über Geldbußen zu steigen.

Timing

Die Geldbußen für Danske bezogen sich Berichten zufolge auf die Aktivitäten von 2007 bis 2015.  Für ING war dies 2010 bis 2015. Dies ist ein interessanter Ausschnitt aus Informationen, die wir im Hinterkopf behalten sollten. Der Zeitraum fällt mit der digitalen Transformation der globalen Banken zusammen, als die Banken die Backstein- und Mörtelbüros schlossen und durch Online-Kanäle ersetzten.

Geldwäsche, Betrug und Cyberkriminalität

Allgemein gab es in den Banken vor 2010 Anti-Betrugs- und Anti-Geldwäsche Teams. Als Cyberkriminelle begannen, Online-Kanäle ins Visier zu nehmen, lagen die ersten jährlichen Schäden in Tonnen von Euro (um genau zu sein: das ist nicht viel für eine Bank). Bankenverbände sprachen bekanntlich von einem trivialen Thema, und Kriminelle wechselten von automatisierten Angriffen zu automatisiertem Phishing und Social Engineering. In Europa erreichten die Verluste an Cyberkriminalität für Banken um 2012 ihren Höhepunkt. In dieser Zeit sammelten sich die Banken, um Cyberkriminalitätsabteilungen aufzubauen. Diese sollten dieses Problem bekämpfen. In vielen größeren Banken wurden die Abteilungen für Geldwäsche, Betrug und Cyberkriminalität separat geführt.

In Bearbeitung

Bei der Erkennung von Geldwäsche geht es in der Regel darum, zufällige, seltsame große Finanzströme zu finden, die in bestimmte Richtungen gehen. Beim Betrug ging es in der Regel darum, mittelgroße und merkwürdige Transaktionen zu erkennen. Bei der Cyberkriminalität ging es damals darum, Tausende von kleinen Transaktionen im Bereich von mehreren tausend Euro zu erkennen, meist nahezu in Echtzeit. Es gab keine Software, die all dies tat. So verwendeten die drei getrennten Teams separate Tools, Workflows und wurden manchmal sogar in verschiedenen Geschäftseinheiten eingesetzt.

Skalenverschiebung

Als die Cyberkriminalität plötzlich zügellos wurde und Malware Betrug unterstützte, der den Bösewichten Hunderte von Millionen einbrachte, mussten die Banken handeln. Der Anreiz war nie der finanzielle Verlust, sondern immer der Erhalt des Vertrauens in die neu eröffneten digitalen Kanäle. Deshalb haben die Banken ihr Augenmerk auf Online-Betrug und Cyberkriminalität gerichtet. Bei groß angelegten Malware-Angriffen, wie bei ZeuS, Citadel oder Dridex, hieß es buchstäblich „alle Mann an Deck“, da größere Banken von Tausenden von Betrugsversuchen heimgesucht wurden. Nun, der Zeitraum, in dem all dies geschah, war, wenig überraschend, ungefähr um 2008 bis 2014. Die Fokussierung der Banken hat sich ausgezahlt. Die Teams wurden immer größer und besser. Die Verluste gingen drastisch zurück. Heute ist es, im Vergleich zu den Hochjahren, ein Bruchteil. Die Banken waren siegreich.

Das Schlupflöcher in der Rückwand

Aber es gibt noch andere Verbrechen als Cyberkriminalität. Und die letzte Phase der Handlungskette ist immer die Geldwäsche. Kriminelle müssen das Geld waschen, um es nutzen zu können, egal ob es aus Drogen, Waffen, Prostitution, Cyberkriminalität oder Steuerhinterziehung stammt. Die Aufmerksamkeit der Banken hat sich jedoch immer mehr auf diese Handlungsfelder verlagert, während die Geldwäsche ein Prozess im Hintergrund ist und blieb. Diese Verschiebung scheint mit der wahrgenommenen Nachlässigkeit der Banken zu korrelieren. Als sie alle Augen auf das Schlosstor richteten, ermöglichten sie unbewusst das Eindringen durch Risse in der Rückwand.

Sorgfaltspflicht?

Offensichtlich wird dies durch ein anderes Thema verstärkt. Die Vertriebsmitarbeiter werden durch Zielvorgaben motiviert.  Also wenden sich Kriminelle an die Banken. Und lassen sich selbst gut aussehen. Eifrige Bankverkäufer werden mit Erleichterung aufatmen, wenn sie das gesetzliche Minimum an Papierkram erhalten. Wer kann einem schönen großen Konto mit den richtigen Zugangsdaten widerstehen?

Banken sind Geldverdiener. Kriminelle brauchen Banken, um seriös Geld zu waschen. Elektronische Währung reduziert das nicht, weil man stets seine Coins letztlich in Dollar umwandelt, wenn man sie ausgeben möchte. Die Banken zu bitten, die Torwächter zu sein, während sie durch Profit motiviert werden, ist das gleiche Paradoxon wie die Casinos: Sie bieten Anti-Sucht Programme für Kunden an, die zu viel spielen.

Im Nachhinein ist man immer schlauer

Geldwäsche, Betrug und Cyberkriminalität werden immer da sein. Sie bestehen aus verschiedenen Prozessen und müssen unterschiedlich angegangen werden. Für große Unternehmen wie Banken ist es schwierig, diese komplexen Prozesse aufeinander abzustimmen. Als infosec-Profis neigen wir dazu, einen Tunnelblick auf den technologischen Aspekt von Angriffen zu haben. In Wirklichkeit passt es zu einem ganzheitlichen Prozess, bei dem Geldwäsche die letzte Phase eines Verbrechens ist, sei es Steuerhinterziehung oder Drogen. Der historische Kontext lässt uns die Probleme der Banken etwas besser verstehen – aber am Ende verdienen unsere Finanznetzwerke etwas Besseres, um uns und unsere Gesellschaften zu schützen.

Mehr Informationen:
https://www.bloomberg.com/news/articles/2018-07-11/danske-fine-may-be-670-million-as-analysts-look-at-new-evidence
https://www.bbc.com/news/business-45406007
https://money.cnn.com/2018/06/04/investing/cba-fine-money-laundering/index.html


Foto: © GettyImages-467287994-AlexSava

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer