Management und Wissen

Strafverfolgung

Gratwanderung automatische Auskunft

Von Thomas Stürznickel, Essen

Mit § 24 c Kreditwesengesetz (KWG) sieht ein weiteres Gesetz zur Strafverfolgung eine automatisierte Auskunft von Bestandsdaten vor. Wie lässt sich bei solchen Auskunftsersuchen die Gratwanderung zwischen Datenschutz und effizienter Verbrechensbekämpfung bewältigen?

Welche Konten und Depots führt welches Kreditinstitut? Diese Information war bisher für Strafverfolgungsbehörden nur sehr schwer zu ermitteln, ist aber im Rahmen der Terror- und Geldwäschebekämpfung von besonderer Bedeutung. Zwar haben die so genannten Bedarfsträger jederzeit die Möglichkeit, im Verdachtsfall bei den Kreditinstituten Informationen einzuholen, diese Suche blieb allerdings aufgrund des hierzu bislang per Fax durchzuführenden Prozesses auf einzelne, gezielte Anfragen begrenzt. Fragwürdige Konten bei einer kleineren Bankfiliale blieben bisher in der Regel unentdeckt.

Mit Inkrafttreten des vierten Finanzmarktförderungsgesetzes am 1.7.2002 sind nun jedoch alle Kreditinstitute verpflichtet, den neuen § 24 c des Kreditwesengesetzes (KWG, [1]) umzusetzen. Demzufolge sind Kundendateien mit klar definierten Inhalten zu führen, die von der Bundesanstalt für Finanzdienstleistungsaufsicht (BAFin, [2]) jederzeit elektronisch und automatisiert abzurufen sein müssen.

Die neue Regelung lässt naturgemäß Bedenken aufkommen, dass ein "gläserner Bankkunde" geschaffen werden könnte. Diese Angst ist jedoch unbegründet, da die von der BAFin angefragten Informationen ausnahmslos Kontostammdaten sind und keine Details über Transaktionen enthalten. Die im Bedarfsfall gewünschten Auskünfte über Transaktionen sind nach wie vor ausschließlich auf Basis eines richterlichen Beschlusses einholbar oder werden durch eine Anzeige des Geldwäschebeauftragten des Kreditinstitutes an die Bedarfsträger übermittelt (gem. § 25a KWG).

Im Einzelnen verpflichtet der § 24 c KWG die Banken, folgende Daten zu ihren Konten und Depots zum Abruf bereitzuhalten:

Veränderungen dieser Daten müssen die Kreditinstitute inklusive dem jeweiligen Änderungsdatum für einen Zeitraum von drei Jahren vorhalten.

Eine weitere Frage zum Schutz der Kunden war zu klären: Besteht die Gefahr, dass die Bank eine wiederholte Anfrage der Bedarfsträger bemerkt und daraufhin womöglich versucht, sich von einem Kunden zu trennen oder Konten zu kündigen? Die Antwort ist ein klares Nein: Das Gesetz schiebt der beschriebenen Möglichkeit einen Riegel vor, indem die BAFin ihre Abfrage ohne Wissen des Finanzinstituts vornehmen kann. Damit wird der Datenschutz für die Bankkunden in besonderem Maße berücksichtigt.

----------Anfang Textkasten----------

[Kasten überspringen]

§ 24c KWG: Automatisierter Abruf von Kontoinformationen

  1. Ein Kreditinstitut hat eine Datei zu führen, in der unverzüglich folgende Daten zu speichern sind:
    1. die Nummer eines Kontos, das der Verpflichtung zur Legitimationsprüfung im Sinne des § 154 Abs. 2 Satz 1 der Abgabenordnung unterliegt, oder eines Depots sowie der Tag der Errichtung und der Tag der Auflösung,
    2. der Name, sowie bei natürlichen Personen der Tag der Geburt, des Inhabers und eines Verfügungsberechtigten sowie der Name und die Anschrift eines abweichend wirtschaftlich Berechtigten (§ 8 Abs 1 des Gesetzes über das Aufspüren von Gewinnen aus schweren Straftaten).
      Bei jeder Änderung einer Angabe nach Satz 1 ist unverzüglich ein neuer Datensatz anzulegen. Die Daten sind nach Ablauf von drei jahren nach der Auflösung des Kontos oder Depots zu löschen. Im Falle des Satzes 2 ist der alte Datensatz nach Ablauf von drei Jahren nach Anlegung des neuen Datensatzes zu löschen. Das Kreditinstitut hat zu gewährleisten, dass die Bundesanstalt jederzeit Daten aus der Datei nach Satz 1 in einem von ihr bestimmten Verfahren automatisiert abrufen kann. Es hat durch technische und organisatorische Maßnahmen sicherzustellen, dass ihm Abrufe nicht zur Kenntnis gelangen.
  2. Die Bundesanstalt darf einzelne Daten aus der Datei nach Absatz 1 Satz 1 abrufen, soweit dies zur Erfüllung ihrer aufsichtlichen Aufgaben nach diesem Gesetz oder dem Gesetz über das Aufspüren von Gewinnen aus schweren Straftaten, insbesondere im Hinblick auf unerlaubte Bankgeschäfte oder Finanzdienstleistungen oder den Missbrauch der Institute durch Geldwäsche oder betrügerische Handlungen zu Lasten der Institute erforderlich ist und besondere Eilbedürftigkeit im Einzelfall vorliegt.
  3. Die Bundesanstalt erteilt auf Ersuchen Auskunft aus der Datei nach Absatz 1 Satz 1
    1. den Aufsichtsbehörden gemäß § 9 Abs. 1 Satz 3 Nr. 2, soweit dies zur Erfüllung ihrer aufsichtlichen Aufgaben unter den Voraussetzungen des Absatzes 2 Satz 1 erforderlich ist,
    2. den für die Leistung der internationalen Rechtshilfe in Strafsachen sowie im Übrigen für die Verfolgung und Ahndung von Straftaten zuständigen Behörden oder Gerichten, soweit dies für die Erfüllung ihrer gesetzlichen Aufgaben erforderlich ist,
    3. der für die Beschränkungen des Kapital- und Zahlungsverkehrs nach dem Außenwirtschaftsgesetz zuständigen nationalen Behörde, soweit dies für die Erfüllung ihrer sich aus dem Außenwirtschaftsgesetz oder Rechtsakten der Europäischen Gemeinschaften im Zusammenhang mit der Einschränkung von Wirtschafts- oder Finanzbeziehungen ergebenden Aufgaben erforderlich ist.
      Die Bundesanstalt hat die in den Dateien gespeicherten Daten im automatisierten Verfahren abzurufen und sie an die ersuchende Stelle weiter zu übermitteln. Die Bundesanstalt prüft die Zulässigkeit der Übermittlung nur, soweit hierzu besonderer Anlass besteht. Die Verantwortung für die Zulässigkeit der Übermittlung trägt die ersuchende Stelle. Die Bundesanstalt darf zu den in Satz 1 genannten Zwecken ausländischen Stellen Auskunft aus der Datei nach Absatz 1 Satz 1 nach Maßgabe des § 4b des Bundesdatenschutzgesetzes erteilen. § 9 Abs. 1 Satz 5, 6 und Abs. 2 gilt entsprechend. Die Regelungen über die internationale Rechtshilfe in Strafsachen bleiben unberührt.
  4. Die Bundesanstalt protokolliert für Zwecke der Datenschutzkontrolle durch die jeweils zuständige Stelle bei jedem Abruf den Zeitpunkt, die bei der Durchführung des Abrufs verwendeten Daten, die abgerufenen Daten, die Person, die den Abruf durchgeführt hat, das Aktenzeichen sowie bei Abrufen auf Ersuchen die ersuchende Stelle und deren Aktenzeichen. Eine Verwendung der Protokolldaten für andere Zwecke ist unzulässig. Die Protokolldaten sind mindestens 18 Monate aufzubewahren und spätestens nach zwei Jahren zu löschen.
  5. Das Kreditinstitut hat in seinem Verantwortungsbereich auf seine Kosten alle Vorkehrungen zu treffen, die für den automatisierten Abruf erforderlich sind. Dazu gehören auch, jeweils nach Vorgaben der Bundesanstalt, die Anschaffung der zur Sicherstellung der Vertraulichkeit und des Schutzes vor unberechtigten Zugriffen erforderlichen Geräte, die Einrichtung eines geeigneten Telekommunikationsanschlusses und die Teilnahme an dem geschlossenen Benutzersystem sowie die laufende Bereitstellung dieser Vorkehrungen.
  6. Das Kreditinstitut und die Bundesanstalt haben dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit zu treffen, die insbesondere die Vertraulichkeit und Unversehrtheit der abgerufenen und weiter übermittelten Daten gewährleisten. Den Stand der Technik stellt die Bundesanstalt im Benehmen mit dem Bundesamt für Sicherheit in der Informationstechnik in einem von ihr bestimmten Verfahren fest.
  7. Das Bundesministerium der Finanzen kann durch Rechtsverordnung Ausnahmen von der Verpflichtung zur Übermittlung im automatisierten Verfahren zulassen. Es kann die Ermächtigung durch Rechtsverordnung auf die Bundesanstalt übertragen.
  8. Soweit die Deutsche Bundesbank Konten für Dritte führt, gilt sie als Kreditinstitut im Sinne der Absätze 1, 5 und 6.

  9. ----------Ende Textkasten----------

Anforderungen

Die BAFin wurde vom Gesetzgeber beauftragt, den § 24 c KWG umzusetzen, der "dem jeweiligen Stand der Technik entsprechende Maßnahmen zur Sicherstellung von Datenschutz und Datensicherheit" fordert. Die BAFin hat in Zusammenarbeit mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zahlreiche Sicherheitsanforderungen aufgestellt, die sowohl den Datenschutz als auch die Sicherheit in der Bank und eine hohe Verfügbarkeit gewährleisten. Dazu hat die BAFin Anfang September 2002 eine Spezifikation zur Umsetzung des Verfahrens herausgegeben und alle Kreditinstitute verpflichtet, spätestens zum 1.4.2003 eine entsprechende Lösung anzubieten (vgl. Abb. 1).

[graf. Darstellung der Kommunikation zwischen BAFin und Kreditinstituten]
Abb. 1: Architektur und Kommunikationswege zum Abfrageverfahren nach § 24 c KWG

Verfügbarkeit

Die Auskunftssysteme der Kreditinstitute müssen jederzeit zur Verfügung stehen. Die maximale Antwortzeit auch bei einer Störung beträgt 12 Stunden. Im Jahresdurchschnitt darf die Antwortzeit höchstens 30 Minuten betragen. Je nach Datenvolumen sind diese Forderungen nur durch vollständig redundant ausgelegte Systeme erfüllbar, da ein Hardwareaustausch mit nachfolgendem Recovery der Daten die maximale Antwortzeit erheblich überschreiten würde. Die Einbindung in ein Netzwerkmanagementsystem, das fortlaufend die Lebenszeichen des Auskunftssystems überwacht, ist unerlässlich. Ferner wird die Verfügbarkeit der Kommunikation über einen separaten ISDN-Anschluss gesichert, sofern die Internet-Verbindung nicht zur Verfügung steht.

Vertraulichkeit der Abfrage

Um zu verhindern, dass die Inhalte der Abfragen dem Kreditinstitut zur Kenntnis gelangen, sind sowohl die Abfragen selbst als auch die Inhalte der Abfragedatenbank verschlüsselt. Das Kreditinstitut verschlüsselt die Kontoinformationen mit einem von der BAFin beigestellten Modul, ohne in Besitz des dabei verwendeten geheimen Schlüssels zu kommen. Dies verhindert selbst Rückschlüsse auf die Abfrageinhalte durch eine ansonsten mögliche Auswertung der internen Datenbankprozesse. Die Kommunikationswege zwischen BAFin und Kreditinstitut werden durch VPN-Gateways (SINA-Boxen) gesichert (vgl. KES 2001/5, S. 43). Die SINA-Box wurde von der secunet Security Networks AG im Auftrag des BSI für die sichere Kommunikation im Internet entwickelt und ist zurzeit bis zur Stufe "VS VERTRAULICH" zertifiziert.

Das System bietet die Möglichkeit zum Schlüsselwechsel. Alle vorhandenen Daten müssen in diesem Fall zu einem definierten Termin "umgeschlüsselt" werden ohne die Verfügbarkeit zu gefährden.

Netzwerk- und Systemsicherheit

Die Anforderungen an die Netzwerk- und Betriebssystemsicherheit dienen zum einen der Abschottung der bankinternen Systeme gegen jeden Zugriff von außen und zum anderen der Sicherheit des Abfragesystems gegen jegliche Dritte, die entweder von außen oder von innen Zugriff auf das System erlangen wollen. Sowohl die Netzanbindung als auch die Einrichtung des Betriebssystems ("Härtung") müssen mindestens den Anforderungen des mittleren bis hohen Schuztzbedarfs gemäß IT-Grundschutz genügen [3].

Weitere Anforderungen

Die an die Kreditinstitute ausgegebene Spezifikation enthält zudem zahlreiche weitere Vorgaben für das Datenformat und die Inhalte sowie organisatorische Vorgaben für Test, Abnahme und Betrieb einer Lösung: Die Kontodaten müssen alle Änderungen für einen Zeitraum von genau drei Jahren enthalten – drei Jahre nach Löschung eines Kontos wird der Datensatz auch in der Abfragekomponente gelöscht. Die Datenbank enthält außerdem definierte Testdatensätze, mit denen die BAFin jederzeit die Verfügbarkeit und Korrektheit des Auskunftsverfahrens überprüfen kann.

Die hohen Anforderungen an die Verfügbarkeit und Sicherheit des Systems bedingen auf Seiten der Kreditinstitute hohe Kosten, denen kein Mehrwert oder Ertrag gegenübersteht. Um die Kosten so gering wie möglich zu halten, erlaubt die BAFin, dass Auskunftssysteme mandantenfähig realisiert werden und durch Dienstleister der Kreditinstitute betrieben werden. Dazu bieten sich besonders die Rechenzentren an, die bereits zahlreiche Dienstleistungen für die angeschlossenen Institute übernehmen. Eine adäquate Lösung muss daher sowohl mandantenfähig sein als auch große Datenmengen sicher verwalten und bearbeiten. Systeme mit über 1 000 Mandanten und mehreren hundert Millionen Konten stellen höchste Ansprüche an Performance und Datenkonsistenz sowie einfache und sichere Administration. Auch hierfür steht eine Lösung bereit, die alle Anforderungen der BAFin und der beteiligten Kreditinstitute sowie deren Dienstleister erfüllt.

[graf. Darstellung der Systemkomponenten]
Abb. 2: Architektur eines mandantenfähigen Auskunftssystems

Die Anforderung einer vollständig verschlüsselten Abfragekomponente würde erhebliche Probleme bei der Wahrung der Datenkonsistenz erzeugen, denn eine Korrektur von verschlüsselten Daten ist ja nicht möglich. In der Regel sind zudem die kontoführenden Systeme der Kreditinstitute nicht in der Lage, Änderungsdaten über den Zeitraum von drei Jahren vorzuhalten, besonders dann, wenn das Konto bereits aufgelöst wurde. Die Suche in Archiven, die auf beliebigen Datenträgern gehalten werden, ist aufgrund der vollständigen Automatisierung des Verfahrens nicht einsetzbar.

Aus diesen Gründen wurde in der gezeigten Lösung eine zweite Datenbankinstanz (Importdatenbank) vorgesehen, die sowohl die "historischen" Änderungsdaten vorhält als auch die fortlaufende Konsistenz der Daten gewährleistet. Das dargestellte Modul DataCrypt wird von der BAFin mit einem für jeden Verpflichteten unterschiedlichen Schlüssel zur Verfügung gestellt. Es verschlüsselt die Kontostammdaten bei vollständigen oder inkrementellen Updates der Abfragekomponente. Eine Umschlüsselung des gesamten Datenbestandes ist ebenfalls möglich.

Die Antwort des Abfragesystems besteht aus einer Bestätigung, der Übermittlung der Trefferzahl (Anzahl an Konten für die jeweilige Abfrage) und den verschlüsselten Kontostammdaten.

Eine Abfrage mit Wildcards jeglicher Art erlaubt das System nicht. Sollte beispielsweise die Suche nach dem in Deutschland häufig und in unterschiedlichen Schreibweisen vorkommenden Kontoinhaber "Hans Meier" zu keinem Erfolg führen, ist der Bedarfsträger gezwungen, für alle möglichen Schreibweisen "Meyer", "Maier", "Mayer" usw. neue Abfragen zu formulieren. Allerdings werden die Daten durch das Modul DataCrypt normalisiert, um ausländische Zeichen und Umlaute auf eine einheitliche Form zu bringen.

Die dargestellte Firewall zur Abschottung der bankinternen Systeme kann auch zwischen die verschlüsselte Abfragedatenbank und die unverschlüsselte Importdatenbank gesetzt werden, um diese Daten ebenfalls vor dem Zugriff der Bedarfsträger zu schützen.

Resümee

Die Vorbereitungen bei den Kreditinstituten und bei der BAFin zur Erfüllung der gesetzlichen Vorgaben laufen zurzeit unter Hochdruck. Ein Großteil der Verpflichteten wird voraussichtlich mandantenfähige Systeme bei seinen Dienstleistern und angeschlossenen Rechenzentren nutzen. Die Bedarfsträger werden zunächst ihre Anfragen schriftlich an die BAFin senden und erst mittelfristig ein Online-System zur Verfügung haben. Es ist somit zu erwarten, dass erst dann die Anzahl der Abfragen so steigen wird, dass höchste Ansprüche an die Performance der Abfragesysteme bestehen. Die Wahrung des Datenschutzes und die Sicherheitsansprüche der Kreditinstitute zum Schutz ihrer Kunden und deren Daten müssen jedoch von Anfang an im Vordergrund stehen, werden aber durch die hohen Anforderungen an die Betreiber und Systeme gewährleistet.

Thomas Stürznickel ist Leiter Technik und Projekte bei der secunet Security Networks AG, Essen.

Literatur

[1]
Gesetz über das Kreditwesen (Kreditwesengesetz – KWG), [externer Link] www.bafin.de/gesetze/kwg.htm
[2]
Bundesanstalt für Finanzdienstleistungsaufsicht Homepage, [externer Link] www.bafin.de
[3]
BSI, IT-Grundschutzhandbuch, [externer Link] www.bsi.bund.de/gshb/

© SecuMedia-Verlags-GmbH, D-55205 Ingelheim,
KES 2002/6, Seite 2

Zurück zum Inhalt       Valid HTML 4.01! Valid CSS!