Wie man eine Großbank ohne Identity Management um Milliarden betrügt

27.01.2008

Einem einfachen Bankangestellten namens Jérome Kerviel ist es zu verdanken, dass der französischen Großbank Société Générale knapp 5 Mrd. Euro in der Kasse fehlen.
Milliardenbetrüger oder Opfer?

Kein großes Tier, kein übermächtiger Finanzmanager ist dieses mal für den wohl größten Finanzskandal der letzen Jahre verantwortlich. Fast 13 Jahre liegt ein ähnlicher Fall zurück, als 1995 der britische Finanzjongleur Nick Leeson die Barings Bank ruinierte. Der Finanzblog fragt bezogen auf den aktuellen Betrugsfall zurecht, wie es sein kann, dass ein einzelner Händler mit solchen Summen jongliert – ohne überwacht zu werden.

Laut Medienberichten soll der 31 jährige Franzose sämtliche Kontrollmechanismen ausgehebelt haben um die risikoreichen Börsengeschäfte abzuwickeln. Zumindest muss er sehr gut über die existierenden Sicherheitslücken informiert gewesen sein.

Milliardeneinsparung mit Identity Management?

Jetzt könnte man natürlich ketzerisch behaupten, dass dies mit einem existierenden Identity Management niemals passiert wäre. Doch jeder, der sich im Bankenumfeld ein wenig auskennt, weiß dass eine fast undurchschaubare Vielfalt an Geschäftsvorfällen, IT-Systemen und Software existiert. Aus meiner Beratertätigkeit bei der Deutschen Bank weiß ich, dass ein wasserdichtes Benutzer- und Rechtemanagement in diesem Umfeld eine erhebliche Herausforderung darstellen kann.Error bei der Bank

Vorausgesetzt die Société Générale hätte ein solches umfassendes Berechtigungsmanagement, so wäre dort hinterlegt welcher Mitarbeiter welche Transaktionen bis zu welcher definierten Höhe ausführen darf. In der sogenannten Rollen-, Gruppen- und Rechtemodellierung werden dafür gerne auch Regeln verwendet. Im Finanz- und Bankenumfeld ist z.B. das sogenannte Vier Augen Prinzip gängig. Dies bedeutet, dass nur zwei Personen gemeinsam eine Transaktion ausführen dürfen. Alleine schon diese Regel, hätte den Alleingang des Milliardenzockers vermutlich verhindert.

Zurück zur Übersicht

5 Kommentare zu “Wie man eine Großbank ohne Identity Management um Milliarden betrügt

  1. Hallo Hr. Hild,

    ich wage zu behaupten, dass Softwaresysteme generell gegen interne HACKER unzureichend geschützt sind.
    Mit Rules, SoD, Sessions, Events etc. kann gearbeitet werden, wenn diese (technisch) nicht untergraben werden (können). Dann können klar unregelmäßige Verhaltensweisen aufgedeckt werden. Was jedoch wenn er selbst in der Lage ist Least Privileges oder SoD-Policies zu verändern oder zu unterlaufen? Es wird ihm unterstellt, dies nicht unabsichtlich getan zu haben. Er hatte also ein massives Interesse, dass eben kein alarmierender Event ausgelöst wird.

    Er war offensichtlich ein echter Insider, der die Transaktionsabläufe und die zugehörige IT-Technik bestens verstand. Vermutlich wird es nie wirklich gelingen unter wirtschaftlich sinnvollen Gesichtspunkten solche Fälle komplett zu unterbinden.

  2. Ich sehe das auch so, dass ein vernünftiges Rechtekonzept mit erheblichem Aufwand verbunden ist. Das ist aber genau der Grund, warum Dinge wie SoD (Segregation of Duties) oder Eventkontrolle gefordert wurden. SoD kann beispielsweise mit einem Rollenmanagement umgesetzt werden. Ich bin mir sicher, das so etwas bei Société Générale zumindest nicht gelebt wurde.
    Weiterhin ist in diesem Umfeld eine Eventkontrolle durchaus üblich. Events = jedes mögliche Ereignis im Netz werden miteinander korreliert und auf Statthaftigkeit geprüft. Offensichtlich ist auch das der Société Générale fremd (oder zu teuer – wird auch gerne genommen :-)).
    Im Idealfall werden beide Anwendungen miteinander verknüpft. D.h. ein nicht gewollter Event, oder eine Folge solcher, hat direkte Auswirkung auf die zugeteilte Rolle. So hätte die Société Générale Herrn Kerviel schon nach einer Milliarde dingfest gemacht :-). Weniger wäre doch „Peanuts“…

  3. Ich vermute, dass man sich den Vorgang nicht wie beim Homebanking „Oh, falscher Knopf gedrückt“ vorstellen darf. Derartige Transaktionen werden in der Regel selbst über einen definierten Workflow angestoßen, verifiziert und dann beendet. Da er offensichtlich echtes Insiderwissen hatte, ist es möglich dass er sich die Ausnahme von der Regel zu nutzen machte. Jedenfalls ein enormer Vorgang und ein unglaublicher Schaden, wie er nur im militärischen Bereich größer sein könnte.

    Als wahrscheinlich halte ich auch, dass Kerviel seinen Kopf als Bauernopfer für strategische Fehlentscheidungen des Managements herhalten muss – auch ein beliebtes Spiel.

  4. Ich kann mir nicht vorstellen das Kerviel als Alleinschuldiger gelten soll.
    Ein anderes Szenario wäre auch das Andere in seinem Namen (also mit Kerviel´s Login) Geschäfte getätigt haben und so der Verlust zustande gekommen ist.

    Igor

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*Pflichtfelder

*