Für Banker kann die blosse Installation von Whatsapp auf einem ungeschützten Mobiltelefon schwere Folgen zeitigen. Fernarbeit und der Mangel an Standards sorgen für neue Unsicherheiten.
Auch ohne Roaming kann telefonieren im Banking ganz schön ins Geld gehen. Das musste die grösste amerikanische Bank J.P. Morgan unlängst erfahren, als sie mit 200 Millionen Dollar für die fehlende Dokumentation von Gesprächen auf privaten Handys ihrer Banker gebüsst wurde.
Solche Strafen hatte wohl auch die Credit Suisse (CS) im Auge, als sie ihre Angestellten jüngst dazu verpflichten wollte, private Mobiltelefone im geschäftlichen Gebrauch bei Bedarf zur Untersuchung vorzugelegen.
Auf die Kombination kommt es an
Und selbst beim Schweizer Militär, einst die Kaderschmiede des Swiss Banking, sind die privaten Smartphones ein heisses Thema: Angehörigen der Armee ist es künftig verboten, die Messenger-Dienste Whatsapp, Telegram oder Signal zu nutzen, wie die Zeitung «Tages-Anzeiger» (Artikel bezahlpflichtig) berichtete. Stattdessen sind sie per Befehl gehalten, ausschliesslich die Schweizer App Threema zu verwenden.
Kurz: Die Gefahren der Nutzung von privaten Handys im Dienst machen Schlagzeilen und treiben zusehends auch das Swiss Banking um, dass seit jeher höchsten Sicherheitsansprüchen genügen muss. Wie sich zeigt, erweisen sich die Gefahrenquellen aber als vielschichtig.
«Die Kombination von Hardware, Betriebssystem und Apps, die auf unseren Telefonen installiert sind, bestimmt, wie sicher unsere persönlichen Geräte sind», erklärt Urs Küderli, Leiter Cybersicherheit und Datenschutz bei der Beratungsfirma Pricewaterhouse Coopers (PwC) Schweiz auf Anfrage von finews.ch.
Zugriff aus den USA?
Eine Übertretung ist hingegen schnell geschehen, wie er weiter ausführt. «Für jemanden, der in einer Bank arbeitet, kann die blosse Installation von Whatsapp auf einem ungeschützten Telefon mehr als nur eine Datenverletzung darstellen.»
Da der Messenger-Dienst das gesamte Telefonbuch eines Benutzers durchsucht und alle Kontakte – möglicherweise auch die Kontaktdaten von Kunden — auf einen Server im Ausland hochlädt, kann die Installation der App einen Verstoss gegen das Bankengesetz und das Bankkunden-Geheimnis darstellen. Die Abspeicherung von Daten auf US-Servern, auf die amerikanische Behörden zugreifen können, war auch mit Grund für den kürzlichen Entscheid der Schweizer Armee.
«Chinese walls» in der Hostentasche
Arbeitgeber können Abhilfe schaffen, erklärt Küderli. Unternehmen sollten dafür sorgen, dass Mitarbeiter privat genutzte Funktionalitäten und Daten von den geschäftlich genutzten trennen können, indem sie Geräteverwaltungs-Systeme wie Microsoft Intune, MobileIron oder Blackberrywork einsetzen, die über sogenannte Container-Lösungen verfügen. Diese böten zwar keine hundertprozentige Garantie, aber ein gutes Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit, urteilt der PwC-Cyber-Experte.
Und dann gibt es noch die «Chinese walls» in der Hostentasche: Nämlich die Möglichkeit, zwei Geräte mit sich zu führen – eines für die Arbeit und eines für den privaten Gebrauch. Das ist zwar nicht unbedingt die bequemste Variante, aber sie bietet mehr Datensicherheit.
Banken in der Pflicht
Letzteres könnte auch eine Ausweichsmöglichkeit für jene CS-Banker sein, die den Zugriff ihres Arbeitgebers auf ihre privaten Mobiltelefone als Eingriff in die Privatsphäre empfinden. Laut einem Bericht der «Financial Times», der Problematik beschrieb, nutzen Mitarbeitende der Grossbank in der Regel kein zusätzliches Arbeitstelefon, sondern erhalten eine monatliche Rückerstattung, um Arbeitsanrufe auf ihren privaten Mobiltelefonen abzudecken. Die CS wollte sich zur Thematik auf Anfrage nicht äussern.
Gut möglich, dass hier ein weiterer Regulierungsschub auf das Banking zukommt – bisher sind die geltenden Vorschriften bezüglich Mobiltelefon-Gebrauch und Messenger-Diensten relativ weit gefasst.
So schreibt die Eidgenössische Finanzmarktaufsicht (Finma) zwar vor, dass sämtliche Kommunikation im Zusammenhang mit dem Wertschriftenhandel oder mit aufsichtsrelevanten Informationen zwei Jahre lang aufgezeichnet werden muss. Die Behörde überlässt es aber den Banken selbst, ihre Kommunikations-Politik festzulegen.
«Es gibt immer noch Lücken»
Die Behörde überwacht derweil die Einhaltung der internen Vorschriften. «Verstösse gegen interne Bestimmungen können auch aufsichtsrechtlich relevant sein», hält die Finma fest. Das gilt in erster Linie für die Institute, die diese Richtlinien bei ihren Mitarbeitenden durchzusetzen haben. Stellt die Finma fest, dass eine Person gegen die Richtlinien eines Arbeitgebers verstossen hat, kann sie sowohl gegen die Bank als auch gegen die Person vorgehen.
Seit dem ersten Corona-Shutdown im Frühling 2020 ist die Branche in der Überwachung selber deutlich aktiver geworden, wie Beobachter nun feststellen. Die Finanzinstitute haben ihre Prozesse an die neue Arbeitsweise angepasst, und auch ihre Bemühungen um die Datensicherheit verbessert. «Doch es gibt immer noch Lücken, und die fehlende Standardisierung in der Branche ist nicht hilfreich», mahnt Küderli.
