Colours_in_the_Dark

Ihr gefährlichster Konkurrent: Die NSA

„The NSA means business“ – die NSA meint es ernst oder auch: Die NSA operiert wie ein Konzern. Ein globaler Konzern, der die Interessen seiner Kunden vertritt (ja, die NSA nennt sie tatsächlich „Customers“). Zu den Kunden gehört ganz sicher auch das U.S.-Finanzsystem. Um es zu stärken, wird die NSA ihre Mittel natürlich auch gegen europäische Banken und deren Kunden einsetzen. Aktuelle Berichte in der FAZ und der NY Times belegen den Wirtschaftscharakter der NSA-Aktivitäten. Wir müssen jetzt den Schutz der Banken und Bankkunden verbessern!

Frank Schirrmacher betitelt seinen Weckruf in der FAZ „Europas Sputnik-Schock“. Wenn sogar die FAZ Amerika mit der Sowjetunion des kalten Kriegs vergleicht, dann ist es ernst. Im Wortlaut:

„Die amerikanischen Spähprogramme folgen in ihrer Logik der Markt-Überwachung von Konzernen. […] Wer Terroristen überwacht, will Verluste vermeiden. Wer die Bundeskanzlerin und ganze Gesellschaften abhört, will Profit machen. Auf diese einfache Formel muss man augenblicklich die Moral der Überwachungsaffäre reduzieren. […] Den Maschinen, die die Arbeit der Überwachung organisieren, ist es egal, ob sie Katastrophen voraussagen oder Anlagechancen. Die Ausspähung der Bundeskanzlerin in Zeiten der Euro-Krise ist jedenfalls näher an einem Insider-Geschäft als an einer Terror-Vermeidungsstrategie.

Ähnlich sieht es die NY Times in ihrem Bericht. Sie sieht die NSA als ‚The Amazon of Intelligence Agencies‚ (siehe auch diese Zusammenfassung):

The corporate analogy continues throughout the report, as one document states that the agency’s „business processes need to promote data-driven decision-making.” […] Shane notes that it’s disingenuous when government officials defend the NSA by saying it prevents terrorist attacks because „the focus on counterterrorism is a misleadingly narrow sales pitch for an agency with an almost unlimited agenda. Its scale and aggressiveness are breathtaking.“

Was passiert, wenn fortgesetztes Quantitative Easing die Vormachtstellung des Dollar in der Welt beschädigt? Wir können sicher sein, dass die NSA dann auch gegen europäische Banken und Finanzmärkte eingesetzt wird, im nationalen Interesse der USA und der Wall Street. Besonders die Deutschen gelten ohnehin als Störenfriede der Weltkonjunktur. (Paul Krugman bringt die Kritik schön auf den Punkt: „Those depressing germans.„)

Die NSA ist unser aller gefährlichster Konkurrent. Sie ist ein Operational Risk der besonderen Art. Der Umgang mit der NSA gehört auf die Tagesordnung der Bankvorstände, der BaFin und der Rechenzentralen. Und natürlich auf die Agenda von GI und BITKOM, über deren Schweigen sich auch die FAZ empört. Die FAZ erklärt es sich damit, dass in der BITKOM eben große IT-Konzerne aktiv sind, die ja selbst Daten sammeln, wo sie nur können.

Auch für die Bankkunden ist der NSA-Skandal keine gute Botschaft. Die Tracfin Collection der NSA sammelt Kreditkartenzahlungen. SSL-Verbindungen stellen Berichten zufolge ebenfalls kein Hindernis dar, so dass die NSA Online Finance einsehen kann. Allein die Berichterstattung darüber ist ein Schlag ins Kontor für alle Next Generation Finance Initiativen: Derzeit nutzen gut 45% der Deutschen Online Banking, etwa ein Viertel lehnt es grundsätzlich ab. Die 30% dazwischen, die wollen wir ja noch überzeugen. Eine mitlesende übermächtige NSA ist dabei nicht hilfreich, gelinge gesagt.

Man kann es aber auch positiv sehen: Auf der Finance2.0-Konferenz in Zürich habe ich zur Podiumsdiskussion die Frage gestellt, welche Auswirkung die NSA-Affäre auf Finance 2.0 haben wird. Antwort: Die Schweiz steht immer noch für Sicherheit, es müsse doch mit dem Teufel zugehen, wenn sich daraus nicht ein Wettbewerbsvorteil gegenüber US-Banken mache ließe. Gut, dann fangen wir mal an:

Erste Schritte zum Schutz der Bankkunden vor der NSA

  • Daten werden nur in der EU gespeichert, das ist ohnehin klar.
  • Es dürfen nur Certification Authorities aus der EU verwendet werden. Damit die NSA die SSL-Verbindungen wenigstens selbst hacken muss, und nicht einfach den Private Key des Root-Zertifikats vom Anbieter bekommt.
  • TAN-Verfahren müssen über nicht-vernetzte TAN-Generatoren realisiert werden, um sie möglichst schwer angreifbar zu machen.
  • Open Source Software (und deren Prüfung auf Hintertüren) muss noch viel mehr gefördert werden. In der Bank-IT und als einfach nutzbarer Client für die Bankkunden.
  • Mobile Banking muss Smartphones mit Secure Elements (Spezialchips für Sicherheitsfunktionen) einsetzen, bei denen die Programmierung und Personalisierung in der EU erfolgt. Damit die USA nicht z.B. Samsung zwingen, gleich von Anfang an eine Hintertür ins Chipdesign zu integrieren.
  • Verbindungen zum Datenaustausch, etwa zwischen Banken und Rechenzentralen, aber auch von großen Internet-Providern zur Bank, sollen nur über terrestrische Netze im europäischen Festland geleitet werden. Tja, da wird’s schon schwierig in der Umsetzung.
  • Datenaustausch zwischen Banken, etwa im Zahlungsverkehr und bei Kreditkartenzahlungen, sind so zu organisieren, dass Datenflüsse nicht unnötig terrestrische Netze in der EU verlassen. Denn unabhängig davon, ob die EU den USA nun das Mitlesen bei SWIFT gestattet oder nicht: Die NSA tut es sowieso.

Wenn ich von EU spreche, muss man die Briten leider ausnehmen. In Sache NSA stehen sie weitestgehend auf Seiten der Lauscher, nicht der Belauschten.

Was denken Sie? Welche Maßnahmen machen Sinn? Wer kann etwas bewegen?

Die FAZ spricht vom „Sputnik Schock“. Damals reagierten die USA, indem sie voller Energie ein eigenes Weltraumprogramm auflegten und die Russen überholten. Das hat viele Dollar gekostet, aber den Stolz der Nation wiederhergestellt. Wenn Europa will, kann es das auch. Die NSA operiert mit 11 Milliarden Dollar Budget pro Jahr – mit dem gleichen Budget ließe sich wohl auch eine brauchbare Abwehr organisieren. Und Europa braucht ohnehin Konjunkturprogramme…

Elmar Borgmeier

Gestaltet Online Finance seit 1997. Glaubt an die Symbiose von Finance und IT. Ist Mitgründer und Chief Innovation Officer der syngenio AG. Moderator des JAX Finance Day. Berater für Next Generation Finance. Philosophiert gern über IT und realisiert noch lieber konkrete Lösungen.

Kommentare (2) Schreibe einen Kommentar

  1. Ein guter Anfang wäre z.B. eine Art Code of Conduct, wie er sich in anderen Bereichen (z.B. Journalismus, PR/IR) bewährt hat. Würden sich IT-Dienstleister, Banken, Provider, etc. öffentlich selbst verpflichten, nicht wissentlich oder gegen Geld Daten an Dritte weiterzugeben und sich öffentlich dazu bekennen – es mag naiv klingen – aber es wäre ein wichtiges Zeichen und ein wichtiges Unterscheidungskriterium für Konsumenten, Bankkunden, IT-Auftraggeber. So, wie man sich für Ökostrom frei und gegen andere Arten entscheiden kann, könnte man sich dann wenigstens wissentlich gegen das Unwissen (ob Spitzel unterstützt werden) entscheiden. Ein Stück mehr Wahlfreiheit, an der jedes Unternehmen von sich aus etwas tun kann, das in derlei sensiblen Bereichen irgendwie aktiv ist. Eine Regierung, die in einem so wichtigen Anliegen der Bürger nichts unternimmt ist ja immer auch eine Chance für die Wirtschaft, die so entstandene Lücke zu füllen.

    Antworten

  2. Der letzte Punkt bei den „ersten Schritten“ ist interessant:
    Es kümmert ja noch niemand, dass bei 3DS Arcot mit im Loop ist. Jedes Mal. Meine Anfragen dazu liefen bisher ins Leere.

    Antworten

Schreib einen Kommentar

Pflichtfelder sind mit * markiert.


Top