Datenklau von Bankkundendaten- Lessons Learned? Roman Haltinner Head Information Protection and Business Resilience IT Advisory, KPMG Schweiz Bern, 1. Juli 2014
Einführung I 1
Einführung II 2
Fragestellungen? Wie ist Datendiebstahl rechtlich einzuordnen?? Was sind die kriminalistischen Aspekte des Datendiebstahls?? Wer sind die Täter?? Welche Verantwortung trifft die Bank bei Datendiebstahl und welche präventiven Massnahmen muss eine Bank treffen, um auf einen Datendiebstahl reagieren zu können? 3
Agenda 1. Strafbarkeit des Datendiebstahls 2. Modus Operandi (Datendiebstahl) 3. Täter, Motive und Motivation 4. Reaktion auf solche Vorfälle 5. Schlussbetrachtung 4
Strafbarkeit des Datendiebstahls I Computerkriminalität im weiteren Sinne Delikte, bei welchen Computer betroffen wurden (Tatmittel, Angriffsziel). Computerkriminalität im engeren Sinne Computer-Tatbestände (CT) gemäss StGB (143-147, 150) CT sind den entsprechenden Tatbeständen des Vermögensrechts nachgebaut. Unbefugte Datenbeschaffung -... Datenbeschädigung -... Betrügerischer Missbrauch einer Datenverarbeitungsanlage - Erschleichen von Computerleistung Digitale Urkunde Tatobjekt keine körperliche Sache (wie beim Diebstahltatbestand) sondern ein unkörperlicher Wert Geschützt ist das Vermögensrecht und das Verfügungsrecht - Immateriellen Gutes 5
Strafbarkeit des Datendiebstahls II Datenklau ist oft kein Datendiebstahl im Sinne des Gesetzes. Computerstraftatbestände erfassen den Innentäter nicht. Vorbereitungshandlungen zu Art.143 nicht strafbar (Hacking Verkauf von Zugangsdaten). Strafrechtlicher Schutz des Bank- und Geschäftsgeheimnisses Schutz der Privatsphäre, bestraft die Geheimnisverletzung, Anstiftung, den Anstiftungsversuch und die Gehilfenschaft, nicht aber die Weitergabe, Verwendung und Publikation der gestohlenen Bankdaten in Kenntnis ihrer widerrechtlichen Beschaffung Der Straftatbestand der Hehlerei (Art. 160 StGB) umfasst nur körperliche Sachen, nicht aber elektronische Daten Nutzniesser und Mittelsmänner bleiben heute oft straflos 6
Strafbarkeit des Datendiebstahls III Straftatbestände mit Datenbezug Straftatbestand Objektiver Tatbestand Subjektiver Tatbestand Täterprofil Tatbestand des Art. 47 BankG Pflichtwidrige Verletzung der ihm bekannten Geheimhaltungs- und Sorgfaltspflicht oder zu einer solchen Verletzung des Berufsgeheimnisses verleitet. wissentlich ein Geheimnis offenbaren. Innentäter Verletzung des Fabrikations- oder Geschäftsgeheimnisses Art. 162 StGB Zwei verschiedene Verhaltensweisen: Verrat eines Fabrikations- oder Geschäftsgeheimnis, infolge er in seiner gesetzlichen oder vertraglichen Pflicht bewahren sollte oder sich den Verrat zu nutzen machen. im Bewusstsein seiner Geheimhaltungspflicht handeln. Innentäter Wirtschaftlicher Nachrichtendienst Art. 273 StGB Auskundschaften eines Fabrikationsoder Geschäftsgeheimnisses oder zugänglichmachen eines Fabrikationsoder Geschäftsgeheimnisses. Auskundschaften erfordert die Absicht, das Geheimnis einem Adressaten zugänglich zu machen. Innentäter Unbefugte Datenbeschaffung Art. 143 StGB Beschafft sich gegen seinen unbefugten Zugriff besonders geschützte Daten, die einem Anderen zustehen, und die zu verfügen er nicht berechtigt ist. Wissen, dass die Daten einem anderen zustehen und besonders geschützt sind. Wille bzw. Inkaufnehmen sich die Daten zu beschaffen. Externe Täter Unbefugtes Eindringen in ein Datenverarbeitungssystem Art. 143bis StGB Dringt auf dem Wege von Datenübertragungseinrichtungen in eine gegen seinen Zugriff besonders geschützte fremde Datenverarebitungsanalge ein. Wissen, dass es sich um eine geschützte Datenverarbeitungsanlage handelt. Wille bzw. Inkaufnahme in eine Anlage einzudringen. Externe Täter 7
Strafbarkeit des Datendiebstahls IV Weitere Tatbestände gegen Datendiebe Verbotene Handlungen für einen fremden Staat Art. 271 StGB Urheberrecht und verwandte Schutzrechte Erpressung Art. 156 StGB Verletzung von Fabrikations- und Geschäftsgeheimnissen Art. 6 UWG Unbefugtes Verwerten von Informationen Art. 50 FMG Straftat gegen den Geheim- oder Privatbereich Datenschutzgesetz DSG 8
Agenda 1. Strafbarkeit des Datendiebstahls 2. Modus Operandi (Datendiebstahl) 3. Täter, Motive und Motivation 4. Reaktion auf solche Vorfälle 5. Schlussbetrachtung 9
FALL 1 Hin und Weg 0 10
FALL 1 Hin und Weg 1 Mitarbeiter Geschädigte: Bank A Täter: Herr B Mitarbeiter im Personalverleih IT Spezialist (Datenbanken) Verheiratet, keine Kinder Mittäter: Herr D Tatort: Arbeitsplatzrechner 11
FALL 1 Hin und Weg 2 nutzt Mitarbeiter kopiert sucht CRM Datenbank 12
FALL 1 Hin und Weg 3 13
FALL 1 Hin und Weg 4 nutzt Mitarbeiter sendet an kopiert sucht CRM Datenbank 14
FALL 1 Hin und Weg 5 nutzt Mitarbeiter sendet an extrahiert Kundennamen abgespeichert auf kopiert sucht CRM Datenbank 15
FALL 1 Hin und Weg 6 nutzt Mitarbeiter sendet an extrahiert Kundennamen abgespeichert auf kopiert sucht kopiert auf sendet CRM Datenbank an 16
FALL 1 Hin und Weg 7 nutzt Mitarbeiter sendet an extrahiert Kundennamen abgespeichert auf kopiert sucht kopiert auf sendet CRM Datenbank an 17
FALL 1 Hin und Weg 8 nutzt Mitarbeiter sendet an extrahiert Kundennamen abgespeichert auf kopiert sucht kopiert auf sendet sendet CRM Datenbank an sendet verkauft Daten an verkauft Daten an 18
FALL 2 Matrjoschka 0 19
FALL 2 Matrjoschka 1 Mitarbeiter nutzt Geschädigte: Bank A Täterschaft: B (unbekannt) Kundenberater: Herr D Tatort: Arbeitsplatzrechner 20
FALL 2 Matrjoschka 2 Mitarbeiter erhält nutzt 21
FALL Matrjoschka 3 22
FALL Matrjoschka 4 23
FALL 2 Matrjoschka 5 Mitarbeiter erhält verweist auf downloaded nutzt 24
FALL 2 Matrjoschka 6 Mitarbeiter erhält verweist auf downloaded nutzt erhält stattdessen infiziert infiziert mit 25
FALL 2 Matrjoschka 7 Mitarbeiter erhält verweist auf downloaded nutzt erhält stattdessen infiziert infiziert mit infiziert mit übermittelt 26
FALL 2 Matrjoschka 8 Mitarbeiter erhält verweist auf downloaded nutzt erhält stattdessen infiziert infiziert mit erstellt periodisch infiziert mit übermittelt an übermittelt 27
FALL 2 Matrjoschka 9 Mitarbeiter erhält verweist auf downloaded nutzt erhält stattdessen infiziert sucht nach Kundennamen auf den Netzwerkshares:F:/;e;/ infiziert mit erstellt periodisch infiziert mit übermittelt an übermittelt 28
FALL 2 Matrjoschka 10 Mitarbeiter erhält verweist auf downloaded nutzt erhält stattdessen infiziert sucht nach Kundennamen auf den Netzwerkshares:F:/;e;/ infiziert mit übermittelt von erstellt periodisch infiziert mit übermittelt an übermittelt an übermittelt 29
Agenda 1. Strafbarkeit des Datendiebstahls 2. Modus Operandi (Datendiebstahl) 3. Täter, Motive und Motivation 4. Reaktion auf solche Vorfälle 5. Schlussbetrachtung 30
Wer sind die Täter? I Die potentiellen Datendiebe können anhand ihrer Motivation unterschieden werden: Externe Täter Innentäter Whistleblower Quelle: Zur Psychologie von Datendieben, Dr. med. Thomas Knecht 2013. 31
Wer sind die Täter? II GELEGENHEIT The Fraud Triangle MOTIVATION RECHTFERTIGUNG Gelegenheit macht Diebe (Deutsches Sprichwort) oder Die Gelegenheit macht, dass der Dieb stiehlt (Cesare Lambroso) 32
Merkmale der Datendiebe Merkmal Geschlecht Alter Sozialstatus Intelligenz Schulerfolg Berufsausbildung Zivilstand Soziale Einbettung Drogenkonsum Datendieb männlich älter hoch höher gut meist vollendet verheiratet/geschieden gut vernetzt selten Quelle: Zur Psychologie von Datendieben, Dr. med. Thomas Knecht 2012. 33
Die grössten Fälle von Datendiebstahl Die grössten, öffentlich bekannten Fälle von Datendiebstahl in der Schweiz oder gegen Schweizer Banken im Ausland Zeitraum: ca. 10 Jahre Quellen: Medienmitteilungen; Medienberichte; Gerichtsakten, Anklageschriften; (Bei noch nicht verurteilten Tatverdächtigen gilt die Unschuldsvermutung.) Schadensvolumen? Bank Datendieb Entdeckungsjahr Schaden/Deliktsumme Strafmass UBS Christoph Meili 1997 - Einstellung Strafuntersuchung mangels strafbaren Verhaltens Julius Bär Rudolf Elmer 2002 CD-Rom mit 169 MB Daten 2011:Bedingte Geldstrafe (7200 CHF); Weiterzug ans Obergericht. LGT Treuhand Heinrich Kieber 2002 5 Mio.. 2003:Freiheitsstrafe von 4 Jahren sowie Ersatz von CHF 30000 Verfahrenskosten. (flüchtig) Credit Suisse Sina L. 2007 1 Mio. 2011: 24 Monaten bedingt Busse von Fr. 3 500.-- HSBC Hervé Falciani 2009 3000 Datensätze? Julius Bär Olaf T. 2011 1.1 Mio. CHF 36 Monate (abgekürztes Verfahren) Safra/Sarasin Hermann Lei 2012? Verfahren ist noch hängig 34
Agenda 1. Strafbarkeit des Datendiebstahls 2. Modus Operandi (Datendiebstahl) 3. Täter, Motive und Motivation 4. Reaktion auf solche Vorfälle 5. Schlussbetrachtung 35
Reaktion auf solche Vorfälle I Arten und Wirkungsweise von Massnahmen Präventive Detektive Reaktive Effektivität Ereignis/Diebstahl Zugriffschutz Klassifizierung und Vertraulichkeitsstufen Personelle Massnahmen Technische Massnahmen (DLP) Monitoring Identifikation von Vorfällen Logging Kommunikation Schritt 2 Schritt 3 Schritt 1 Zeit Präventive Wirkung wirken um den Datendiebstahl zu verhindern Detektive Wirkung wirken im Moment des Datendiebstahls Reaktive Wirkung wirken nach dem erfolgten Datendiebstahl 36
Reaktion auf solche Vorfälle II Sofort zur Polizei oder doch nicht? Am Anfang steht meist nur ein Anfangsverdacht nicht überreagieren aber ernst nehmen. Anonyme Hinweise (Whistleblowing) Ist wirklich Fleisch am Knochen? Handelt es sich beim Hinweis allenfalls um ein Mobbing? Liegt überhaupt eine Unregelmässigkeit oder nur ein Fehler vor? Wer ist alles involviert? Ist überhaupt ein Schaden entstanden? Handelt es sich um eine Strafbare Handlung oder nur oder arbeits- oder vertragsrechtliche Pflichten verletzt? Wollen wir selber den Fall so lange wie möglich selber unter Kontrolle behalten? 37
Reaktion auf solche Vorfälle III Klassischer Untersuchungsablauf Zusammenstellung eines Untersuchungsteams mit internen und externen Spezialisten Beweismittelsicherung (inkl. IT) + andere Sofortmassnahmen Auswertung der Beweismittel Identifikation von mo glichen Ta tern Befragung (von Verda chtigen) und von Drittpersonen Laufende Schadensscha tzung Aufspu ren und Sicherstellung von Vermo genswerte Gerichtsverwertbarer Untersuchungsbericht mit Dokumentation Evtl. Einleitung von rechtlichen Schritten 38
Reaktion auf solche Vorfälle IV Verantwortung der betroffenen Organisation Organisationsverschulden Pflicht zu Organisationsstruktur mit klarer personaler Zuständigkeit Pflicht zu organisatorischen Vorkehrungen zur Verhinderung der Anlasstat (Art. 102 Abs. 1 StGB) Vertragsverletzung Geheimhaltungspflichten Implizite vertragliche Schutzpflichten Datenschutzverletzungen Preisgabe als Bearbeitung für einen unbefugten, unverhältnismässigen Zweck und gegentreu und Glauben (Art. 4 Abs. 2 und 3 DSG) Preisgabe als fehlen angemessener technischer und organisatorischer Massnahmen zum Schutz gegen unbefugtes Bearbeiten (Art 7 DSG) Haftung nur bei Verschulden (mind. mangelnde Sorgfaltspflicht) 39
Reaktion auf solche Vorfälle V Verantwortung der betroffenen Organisation EU Datenschutz Richtlinie RL 95/46/EG Geldstrafen: Die Abgeordneten schlagen vor: eine schriftliche Warnung (unbeabsichtigt, zunächst nur Straftaten), regelmässige Audits und eine Geldstrafe von bis zu Euro 100 Mio. oder 5 % des jährlichen weltweiten Umsatzes, der grössere Wert gilt (Artikel 79.2c). Notifikation: Artikel 31 erfordert neu die Benachrichtigung Unverzu glich. Zudem wird eine Pflicht der Aufsichtsbehörden zur Einsetzung und Pflege eines öffentlichen Registers, welches die Arten der Verletzung mitteilt (Art. 31.4a), gefordert. Geltungsbereich für Datenverarbeitung im Ausland: Hoch umstritten ist der Passus, dass die EU-Datenschutzregelungen auch für Unternehmen gelten, die Daten von EU Bürgern ausserhalb der Europäischen Union verarbeiten oder die in der EU geschäftlich aktiv sind. European Parliament Committee on Civil Liberties, Justice and Home Affairs. 40
Reaktion auf solche Vorfälle VI Regulatorische Anforderungen für Banken Regulatorische Anforderungen in der Schweiz FINMA-RS 08/21 Operationelle Risiken Banken Data Leakage Protection Information on Best Practice by the Working Group Information Security of the Swiss Bankers Association Internationale regulatorische Anforderungen UK - FSA Data Security in Financial Services Singapore - MAS Technology Risk Management Guidelines 41
Agenda 1. Strafbarkeit des Datendiebstahls 2. Modus Operandi (Datendiebstahl) 3. Täter, Motive und Motivation 4. Reaktion auf solche Vorfälle 5. Schlussbetrachtung 42
Schlussbetrachtung Take away points 1 100 Prozent Schutz vor Datendiebstahl ist weder machbar noch das Ziel aber man muss vorbereitet sein! 2 Effektiver Schutz vor Datendiebstahl erfordert ein ganzheitliches Verständnis der Deliktsform 3 Die Sicherheitspolitik sollte in erster Linie von ihren Zielen, und nicht von den Datendieben bestimmt werden! 4 Bei der Prävention von Datendiebstahl geht es um die Fähigkeit zu lernen und ist genauso wichtig wie die Fähigkeit zur Überwachung! 5 Die Prävention dieser Form von Cyber Fraud ist nicht nur von einzelnen Funktionen sicherzustellen, sondern ist eine Haltung der ganzen Unternehmung! 43
Schlussbetrachtung Fragen 44
Besten Dank für Ihre Aufmerksamkeit! Roman Haltinner Head Information Protection and Business Resilience IT Advisory, KPMG Schweiz Badenerstrasse 172 8026 Zürich T: +41 58 249 42 56 M: +41 79 290 42 84 E: rhaltinner@kpmg.com
2014 KPMG AG/SA, a Swiss corporation, is a subsidiary of KPMG Holding AG/SA, which is a subsidiary of KPMG Europe LLP and a member of the KPMG network of independent firms affiliated with KPMG International Cooperative ( KPMG International ), a Swiss legal entity. All rights reserved. The KPMG name, logo and cutting through complexity are registered trademarks or trademarks of KPMG International.