Von Peter Hossli (Text) und Nik Hunger (Foto)
Ein Banker soll Kundendaten von 1500 steuersäumigen Deutschen geklaut und der deutschen Steuerbehörde angeboten haben. Überrascht Sie das?
Elmar Mäder: Nein. Es war nicht der erste und es wird nicht der letzte Fall gewesen sein. Verschiedenen Mandanten sind Daten geklaut worden. Hehler bieten sie zum Rückkauf an. Wir prüfen die Relevanz der Daten und die Hintergründe. Geschädigte Banken entscheiden dann, ob es sich lohnt, sie zurückzukaufen.
Deutschland will 2,5 Millionen Euro für 1500 Steuersünder zahlen. Ein guter Preis?
Mäder: Die betroffene Bank hätte bestimmt mehr bezahlt. Sie würde verhindern wollen, dass die Daten und der Fall öffentlich werden. Der Reputationsschaden für die Bank ist ja riesig und somit mehr als 2,5 Millionen Euro wert.
Wie entsteht ein solcher Preis?
Mäder: Ein Datendieb wägt die Risiken ab und wie viel welcher Kunde zahlt. Sein Entscheid, zum Staat zu gehen, drückt den Preis. Statt vielleicht zehn Millionen kriegt er jetzt 2,5.
Wie oft sind angebotene Bankdaten echt?
Mäder: Schaltet uns eine Bank ein, überprüfen wir die Daten und die Personen, welche sie anbieten. Oft sind es Trittbrettfahrer. Sie hören von einem Datenklau und bieten dann irgendeine wertlose CD herum. Dann raten wir der Bank, sofort die Staatsanwaltschaft einzuschalten.
Bei Wirtschaftskriminellen gewinnt oft derjenige, der am schnellsten zahlt. Zahlen Sie ebenfalls für gestohlene Daten?
Mäder: Wir betreiben keine Hehlerei. Unsere Mandanten kaufen Daten, wir aber nicht. Zumal wir uns strafbar machen würden. Von uns besorgte Informationen müssen legal erworben sein, sonst sind sie vor Gericht wertlos.
Wie klaut man einer Schweizer Bank denn die Daten ihrer Kunden?
Mäder: Hacker schaffen das kaum. Es sind meist interne Personen mit Zugang zur IT-Abteilung. Dort ziehen sie dann Kopien.
Das tönt einfach. Schweizer Banken sagen, ihre technischen Schranken seien gut und ein Datenklau kaum möglich.
Mäder: Das ist blauäugig. Systemadministratoren haben jederzeit zu allem Zugriff. Manipulationen sind bei jedem System möglich. Kaum zu kontrollieren ist der Faktor Mensch.
Datenklau scheint sich zu lohnen. Wie viele Datendiebe gibt es in der Schweiz?
Mäder: Es handelt sich beim Datenklau nicht um organisierte Kriminalität. Es sind frustrierte Einzelpersonen, die Loyalitätsbruch begehen.
Dann kann sich ein Konzern gar nicht mit Technologie vor Dieben schützen?
Mäder: Es gibt keine hundertprozentige Sicherheit. Wir helfen Firmen, die Integrität der Mitarbeiter vor der Anstellung zu prüfen. Je höher eine Position ist, umso wichtiger ist die Abklärung.
Eine Google-Suche reicht da kaum aus.
Mäder: Spezialisten interviewen Bewerber nach kriminalistischen Methoden. Sie achten auf ihre Antworten und auf das nonverbale Verhalten. Daraus erstellen wir ein Profil über das kriminelle Potenzial einer Person.
Das hilft bei der Einstellung. Derzeit werden Banker vor allem entlassen. Was, wenn ein 60-jähriger Angestellter nach 30 Jahren seinen Job verliert und zuvor noch ein paar Daten klauen will?
Mäder: Wir raten Konzernen bei einer Kündigung, jeweils die Sicherheitsabteilung einzubeziehen, den Zugang zum Computer sofort zu sperren und dem entlassenen Mitarbeiter freundlich mitzuteilen, er müsse morgen nicht mehr ins Büro kommen.
Wie kann man verhindern, dass jemand über Jahre Daten zusammenklaut?
Mäder: Wir sind in der Lage, moderne IT-Systeme so zu konfigurieren, dass sich digitale Aktivitäten eines Mitarbeiters bei Bedarf über Jahre zurückverfolgen lassen. Angestellte werden zwar nicht ständig überwacht. Bei einem Verdacht muss man aber schnell handeln können.
Erhöht die Krise das Gefahrenpotenzial?
Mäder: Steht der Arbeitsplatz auf dem Spiel, sinkt die Hemmschwelle für kriminelle Energie. 2009 war ein gutes Jahr für meine Firma Prevent – und somit auch für die Wirtschaftskriminalität.
Bei Bankern soll Alkohol und Kokain verbreitet sein. Das macht die Leute unberechenbar. Wie ist damit umzugehen?
Mäder: Viele Banker sind gestresst. Es ist die Aufgabe der Personalabteilung, Warnzeichen zu sehen und die Zugriffsberechtigung auf Daten anzupassen. Jeder Lebenswandel birgt Risiken. Wer ein Doppelleben führt und im Rotlichtmilieu verkehrt, ist rasch erpressbar.
Wie sieht das Profil eines Datendiebs aus?
Mäder: Es gibt Angestellte, die machen einen Job. Andere üben den Beruf leidenschaftlich aus. Wer bloss einen Job macht, ist weniger loyal und anfälliger für eine schädigende Handlung. Zu beachten sind beispielsweise Personen, die nie in die Ferien fahren – weil sie Angst haben, im Büro etwas Wichtiges zu verpassen.
Auf welcher Hierarchiestufe wird geklaut?
Mäder: Wirtschaftskriminelle Handlungen kommen häufiger in der Chefetage vor und richten so einen grösseren Schaden an. Chefs kennen die Abläufe und Sicherheitslücken ja am besten.
Grossbanken haben eigene IT-Abteilungen. Kleine und Privatbanken lagern diese aber aus. Das erhöht doch die Gefahren.
Mäder: Nicht unbedingt. Ein externes Unternehmen will seine Kunden nicht verlieren. Es ist egal, ob der Dieb intern oder extern tätig ist.
Sind es Datendiebe, die bei Banken den grössten Schaden anrichten?
Mäder: Illegale Geschäfte unter Mitarbeitern verursachen höheren Schaden. Solche haben sich in den letzten Jahren stark gehäuft.
Warum?
Mäder: Kadermitglieder sind selten 20 Jahre bei derselben Bank. Viele wechseln den Konzern alle paar Jahre. Ihre Loyalität liegt nicht mehr beim Arbeitgeber, sondern beim Netzwerk. Mit Ex-Kollegen drehen sie krumme Dinge.
Sie arbeiten weltweit. Lassen sich Wirtschaftsdelikte geografisch einordnen?
Mäder: Derzeit kämpft die Pharma-Industrie in Asien und Osteuropa gegen den Verkauf gefälschter Medikamente. Die Finanzbranche ist eher in den USA und Europa betroffen.
Es besteht ein schmaler Grad zwischen Wirtschaftsspionage und dem Schutz davor. Wie beschreiten Sie ihn?
Mäder: Unsere Methode ist ähnlich wie die eines Wirtschaftsspions. Allerdings beschaffen wir Informationen immer legal. Nur dann haben sie für den Mandanten einen Wert.
Nehmen Sie auch Staatsaufträge an?
Mäder: Teilweise analysieren wir für Staatsanwaltschaften den Inhalt von Festplatten.
Würden Sie für einen Staat Daten von Steuerflüchtlingen besorgen?
Mäder: Das wäre Spionage, was wir ablehnen.
Deutschland kauft gestohlene Daten von Steuersündern. Was halten Sie davon?
Mäder: Steuerbetrug ist kein Kavaliersdelikt. Allerdings muss ein Staat überlegen, ob er seine eigenen Gesetze bricht. Wird der Staat selbst zum Hehler, setzt er das ganze Rechtssystem aufs Spiel. Meines Erachtens geht das nur, wenn die Interessen wesentlich höher sind.
Sie haben den Papst beschützt. Nun jagen Sie Wirtschaftstäter. Was ist schwieriger?
Mäder: Als Kommandant der Schweizergarde bewachte ich Personen und Objekte. Das lief oft ähnlich ab. Jeder Wirtschaftskriminelle agiert aber anders, was komplexer ist.
Jurist, Gardist, Kriminalist
Der St. Galler Elmar Mäder, 46, beschützte von 2002 bis 2008 in Rom als Kommandant der Schweizergarde die Päpste Johannes Paul II. und Benedikt XVI. Er studierte in Freiburg und arbeitete als selbständiger Treuhänder mit Schwerpunkt Steuerberatung. Der vierfache Familienvater ist in der Armee Oberleutnant bei den Flugabwehrtruppen. Seit Frühling 2009 leitet Mäder das neu eröffnete Zürcher Büro der Prevent AG. Das 2001 gegründete deutsche Sicherheitsunternehmen berät Firmen im Kampf gegen interne und externe Wirtschaftskriminalität.