24.02.2009

Biometrische Sicherheitssysteme für Banken

Von: Paul Sheldon Foote und Reena Hora, California State University, Fullerton, USA

Für die weltweite Finanzkrise gibt es zahlreiche Ursachen. Zwei davon sind interne Betrügereien und gravierende Fehler in den Kontrollsystemen von Banken. Beides könnte durch die Einführung von biometrischen Sicherheitssystemen vermieden werden.

Biometrisches Authentifizierungs-System bioLock der Firma realtime (Foto: realtime North America Inc.)

Biometrische Sicherheitssysteme erschweren es unehrlichen Mitarbeitern vor Gericht deutlich, ihr illegales Handeln beweiskräftig zu widerlegen. Unternehmen brauchen daher Verfahren, mit denen sie Personen identifizieren können, die gegen Sicherheitsauflagen verstoßen und interne Kontrollsysteme umgehen.

Unehrliche oder verantwortungslose Mitarbeiter verursachen Verluste in Höhe von mehreren Milliarden Dollar. Investoren sollten daher in Zukunft misstrauisch werden, wenn Führungskräfte oder Rechnungsprüfer behaupten, das Unternehmen könne sich keine besseren Sicherheitssysteme leisten.

Biometrische Authentifizierung: zuverlässige Lösung für Datensicherheit

Für sichere Geschäftsabschlüsse im Finanzsektor hat die Internationale Organisation für Normung (ISO) den Internationalen Standard 19092:2008 veröffentlicht. Er legt die Sicherheitsanforderungen für die Einführung und Abwicklung moderner biometrischer Erkennungstechnologien in der Finanzbranche fest. (Quellenachweis 1)

Die zertifizierte biometrische Lösung bioLock unterstützt SAP-Anwender dabei, das Betrugsrisiko zu vermindern. Die Lösung der Firma realtime arbeitet mit Fingerabdrücken, so dass auch die passenden Passwörter potentielle Betrüger nicht weiterbringen. Das biometrische Authentifizierungs-System verweigert auch mit den Log-in-Daten den Abschluss von Geschäften.

Für biometrische Lösungen ist es auch keine Hürde, wenn einem Anwender im ERP-System mehrere Passwörter zugeordnet sind, um den Zugang zu speziellen Modulen zu kontrollieren. Sie sind in der Lage, den Zugriff auf einzelne Geschäftsvorgänge, Feld- und Datenebenen zu steuern. Bekommen Mitarbeiter im Unternehmen neue Verantwortungsbereiche zugeteilt, ist der biometrische Ansatz wichtig für die Aufgabenabgrenzung.

Fallbeispiel: die Großbank Société Générale

Der Betrugsfall bei der französischen Großbank Société Générale ist ein klassisches Beispiel dafür, wie einfach ein Betrug mit Hilfe von SAP und einem biometrischen System wie bioLock hätte verhindert werden können.

Der Mitarbeiter Jerome Kerviel arbeitete von 2000 bis 2005 im Back Office und in der Organisationseinheit zur Risikobewertung von Finanz- und Investitionsprojekten bei der Société Générale. Anschließend stieg er zum Wertpapierhändler auf. Daher verfügte er über detaillierte Kenntnisse über die Systeme und Prozesse der Bank. (Quellennachweis 2 und 3)

Damit seine betrügerischen Machenschaften unentdeckt blieben, nahm Jerome Kerviel einige Mühen auf sich. Er nutzte:

• Gefälschte E-Mails, um seine fehlenden Geschäfte zu rechtfertigen. (Quellennachweis 4)
• Log-in-Berechtigungen seiner Kollegen, indem er mit Hilfe ihrer Passwörter Geschäfte in deren Namen abwickelte.
• Gefälschte Dokumente. Er erstellte eine fiktive Ertragsrechnung für 2007, die seine Scheingeschäfte in diesem Zeitraum verschleierten.
• Er umging die bankinternen Kontrollmechanismen, indem er Geschäftsvorgänge stornierte und sie nach dem Kontenabgleich wieder aktivierte.

Es gab 75 Warnungen in Bezug auf Kerviels skrupellose Geschäfte. Dennoch gelang es den Behörden nicht, seine Machenschaften aufzudecken – bis die Situation eskalierte. (Quellennachweis 5)

Maßnahmen zur Begrenzung des Risikos

Laut der Unternehmensberatung Diamond Management and Technology Consultants war der Betrug die Folge eines Defizits im Risikomanagement der Société Générale. Die Einführung automatisierter Prozesse, eines innerbetrieblichen Kontrollsystems sowie von IT-Zugangskontrollen sollen eine solche Situation künftig vermeiden. (Quellennachweis 6)

Banken und Finanzinstitute müssen generell ein innerbetriebliches Kontrollsystem schaffen, das alle Geschäftsprozesse umspannt und sich über alle Abteilungen erstreckt. Konkreter Verbesserungsbedarf besteht in:

• der Kontrolle von gelöschten und modifizierten Geschäftsvorgängen;
• der Kontrolle von Geschäftsabschlüssen, die ein bestimmtes Finanzvolumen überschreiten;
• sowie bei standardisierten Reaktionen auf Warnmeldungen.

Mehr Sicherheit: SAP und biometrische Systeme

Um Machenschaften wie jene von Jerome Kerviel in Zukunft zu vermeiden, können Finanzinstitute ihr ERP-System mit einem biometrischen Verfahren ergänzen oder ihr Altsystem mit SAP und bioLock ersetzen. Die meisten biometrischen Systeme werden zur Zugangskontrolle verwendet. Darüber hinaus erlaubt bioLock die gezielte Sperre einzelner Bereiche, Funktionalitäten und Werte innerhalb des ERP-Systems. Das gilt auch für die Höhe des Betrags bei Geldüberweisungen.

Die biometrische Technik ermöglicht die Kontrolle von Änderungen an Geschäftsvorgängen innerhalb von SAP ERP und verhindert unautorisierte Eingriffe. Die mit der Untersuchung des Betrugsfalles bei der Société Générale beauftragte Kommission empfahl der Bank ein strengeres biometrisches Authentifizierungs-System. Dies halte Wertpapierhändler davon ab, Konten und Zugänge anderer Händler zu benutzen.

Vorteile von Systemen wie bioLock am Beispiel des Falls Jerome Kerviel:

• Als Jerome Kerviel befördert wurde, hätte sein Zugang zum Backend von SAP ERP gelöscht werden können.
• Mit einem SAP-System, das biometrische Identifikation fordert, wäre es Jerome Kerviel nicht möglich gewesen, die Log-in-Daten seiner Kollegen zu nutzen, um in deren Namen illegale Geschäfte abzuwickeln.
• bioLock hätte Jerome Kerviel daran gehindert, Belege seiner Geschäftsabschlüsse vor dem Kontenabgleich aus dem System zu löschen.
• Der Haftungsumfang wäre höher. Denn mit Hilfe des biometrischen Systems ließe sich nachweisen, dass Kerviel versucht hatte, die Passwörter anderer zu nutzen, um in deren Namen Geschäfte abzuwickeln.
• Folglich könnte eine Technik wie bioLock Betrüger von ihren Machenschaften abhalten, da sie eindeutig identifiziert werden könnten.

Sicherung der ERP-Lösung alleine reicht nicht

Heutzutage sind Banken verpflichtet, bestimmte Regeln und Standards einzuhalten, um sich vor Betrug zu schützen. Dafür müssen sie ihre innerbetrieblichen Kontrollprozesse um eine biometrische Authentifizierung erweitern. Die Biometrie schützt vor Datenmissbrauch. Allein durch die Nutzung eines ERP-Systems werden illegale Aktionen jedoch nicht verhindert. Gesichert werden müssen das E-Mail-System sowie alle operativen Systeme, die mit der ERP-Anwendung verbunden sind.

Quellennachweise:

1. New ISO standard for state-of-the-art biometric authentication
2. How Did the Societe Generale Fraud Happen?
3. Poor IT security blamed for Societe Generale fraud
4. What SocGen Says About Its Risk Management
5. The soldier-monks of Societe Generale
6. Societe Generale Scandal Presents Lessons in Operational Risk Management

• Kommentieren
• Empfehlen
• Drucken