Bank&compliance-Monatsbrief - Ausgabe 07/2018 Inhaltsverzeichnis - bank and compliance
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
bank&compliance-Monatsbrief
Ausgabe 07/2018
Inhaltsverzeichnis Cybersicherheit in Banken: Die „Hausaufgaben“
erledigen 2
News 5
Personalia 13
Termine/Impressum 14
Autoren: Anja U. Kraus, Stefan Lange, Akane Otani u. a.
FACHBEITRAG
Cybersicherheit in Banken
Die „Hausaufgaben“ erledigen
In den letzten Jahren haben die Finanzdienstleister lange
und sehr hart daran gearbeitet, ihr Cyberrisikomanagement zu
verbessern. Der jüngste Bericht der Bank of England zeigt jedoch
einen Anstieg jenes Anteils an Banken, die sagen, dass ein Cyber-
angriff das Risiko sei, das sie am schwierigsten bewältigen könnten.
Das liegt unter anderem daran, dass sich die Technologie in diesem
Sektor rasant entwickelt und dabei noch an Tempo zunimmt. Das nutzen
Kriminelle auf der Suche nach finanziellem Gewinn aus. Durch die Digita-
lisierung von immer mehr Finanzprozessen werde der Weg zu kriminellen
Einnahmen kürzer und die „Renditen“ wachsen, warnt das Sicherheitsun-
ternehmen Palo Alto Networks. Dabei gelte es auch, die Auswirkungen
eines immer komplexeren und sich weiterentwickelnden FinTech-Umfelds
zu berücksichtigen.
Die Zahlungsdiensterichtlinie PSD2 zielt be- Mangel an Fachkräften und Expertenwissen im
kanntlich darauf ab, die Lieferkette für viele Bereich der Cybersicherheit.
weitere Finanzdienstleister zu öffnen. Hinzu Damit sich etwas ändert, ist nach Meinung der
kommt die bestehende technische Infrastruktur Sicherheitsexperten eine Reihe von Maßnah-
© iStockPhoto.com/nerudol
des Bankensektors. Die IT-Anbieter entwickeln men erforderlich: Zunächst einmal müssten Fi-
ihre Technologie immer schneller weiter, aber nanzdienstleister ihre komplexen digitalen Pro-
selbst finanzkräftige Banken können nicht im zesse in Echtzeit sichtbar machen. Allzu oft gebe
gleichen Tempo auf immer neue Plattformen es eine Trennung zwischen Technologie und
migrieren. Und schließlich ist da auch noch der Geschäft. Ohne eine ganzheitliche Ausrichtung
„Faktor Mensch“, der mit mangelndem Prob- lasse sich aber nicht definieren, ob Aktivitäten
lembewusstsein selbst zum Risiko wird – zu- im Netzwerk regulär erfolgen oder einen bösar-
sätzlich noch beeinflusst von einem generellen tigen Hintergrund haben.
bank&compliance-Monatsbrief • Ausgabe 07/2018 2
FACHBEITRAG
Cybersicherheitsmaßnahmen bei Finanzinsti- Last but not least empfehlen die Sicherheits-
tuten sollten schneller freigegeben werden. Der experten eine stärkere Automatisierung der
Begriff, der in diesem Zusammenhang meist Cybersicherheit. Angesichts der zunehmenden
fällt, ist „Agile“. Doch während DevOps-Teams Vernetzung der Banksysteme sei ein klar defi-
heute Cloud-Computing-Ressourcen in Milli- nierter Veränderungsprozess nötig, also eine
sekunden kaufen können, würden die meisten „einzige Quelle der Wahrheit“, an der alle ar-
Sicherheitsfunktionen in festen Mehrjahresver- beiten. DevOps-Strategien im Banken- und Fi-
trägen erworben. Im Bereich der Cybersicher- nanzdienstleistungsbereich bedeuteten, dass
heit müsse berücksichtigt werden, dass eine täglich oder wöchentlich Hunderte oder Tau-
Bank Anwendungen und digitale Dienste heute sende von kleinen Änderungen vorgenommen
über mehrere Kanäle hinweg erstelle. Mit einem werden. Solche Modelle erfordern einen hohen
Cloud-first-Sicherheitsansatz könnten sich Ban- Automatisierungsgrad, und Sicherheit sollte in
ken besser darauf konzentrieren, mit der digita- jeden dieser Prozesse nativ eingebettet werden.
len Transformation Schritt zu halten. Darüber hinaus sollte ein Übergang zu DevSe-
cOps vollzogen werden. Dies erfordere sowohl
Drittens gelte es, die Angriffsflächen zu verrin- die richtigen nativen Integrationspunkte in
gern. „Für Banken ist es nur allzu leicht, sehr die digitalisierten Geschäftssysteme als auch
offene, vernetzte Systeme zu nutzen, da die- Automatisierung, um diese in die Änderungs-
se schneller und einfacher zu implementieren prozesssteuerung zu integrieren. Die Cyber-
sind“, heißt es in dem Bericht von Palo Alto. sicherheit im Bankensektor erfordere eine au-
Die Herausforderung bestehe darin, nicht zu tomatisierte Betriebsplattform und präventive
wissen, woher das nächste Risiko kommt oder Maßnahmen.
wie weit es sich auswirken könnte. Durch eine (Red.)
bessere Abstimmung zwischen Geschäftspro-
zessen und Technologie lasse sich sicherstellen,
dass stets nur der erforderliche Zugriff gewährt
werde, was die Auswirkungen im Falle eines
Sicherheitsvorfalls reduziere.
Auch „generelle Hausaufgaben“ werden ange-
mahnt, die in den Bereich „Grundlagen guter
Cyberhygiene“ fallen. Die Hälfte der in Unter-
nehmen verwendeten Geschäftspasswörter in
Public-Cloud-Bereichen würden schlecht defi-
niert und verwaltet.
bank&compliance-Monatsbrief • Ausgabe 07/2018 3
• Gefährdungsanalyse
• Know Your Customer
• Geldwäschebekämpfung
• Verhinderung von Terrorismus-
finanzierung
• Tax Compliance & Reporting
Unser Fokus ist die nachhaltige Bekämpfung von Finanz- und Wirtschaftskriminalität. Wir helfen Banken,
Versicherungen und Industrieunternehmen, Compliance-Pflichten zu erfüllen und Reputationsschäden zu
vermeiden. Unsere Siron® Anti-Financial Crime Solutions Suite umfasst ein komplettes, modulares
Lösungsangebot mit hoher Funktionstiefe. Es folgt konsequent dem risikobasierten Ansatz und unterstützt
alle Phasen des Compliance-Prozesses mit integrierten Lösungsmodulen: von der individuellen
Gefährdungsanalyse und kontinuierlichen Risikokategorisierung über das Monitoring von Transaktionen und
Verhaltensmustern bis hin zum zentralen Case Management inklusive Risiko- und Compliance-Dashboards.
FICO TONBELLER ist eine Tochtergesellschaft der Fair Isaac Corporation (FICO), dem weltweit führenden
Anbieter von Predictive Analytics und Softwarelösungen für Entscheidungsmanagement.
www.tonbeller.com | www.fico.com
NEWS
Geldwäsche: Bis zu Sensibilisierung für
100 Mrd. Euro Cyber-Sicherheit
Das Gesamtvolumen der Geldwäsche in Jeder sechste Mitarbeiter würde auf eine ge-
Deutschland soll sich zwischen 50 und 100 fälschte E-Mail der Chefetage antworten und
Mrd. Euro jährlich belaufen. Dies berichtet die sensible Unternehmensinformationen preisge-
Bundesregierung in ihrer Antwort (19/3818) ben. Das hat eine Befragung des Bundesamts
auf eine Kleine Anfrage der Fraktion Die Linke für Sicherheit in der Informationstechnik (BSI)
unter Berufung auf diverse Studien. Zur Auf- ergeben. Informationen über Zuständigkeiten
gliederung nach Sektoren, Branchen und Jahren im Unternehmen, zur Zusammensetzung von
würden keine Informationen vorliegen, so die Abteilungen, internen Prozessen oder Orga-
Regierung laut einer Nachricht des Informati- nisationsstrukturen, die über das sogenannte
onsdienstes „heute im Bundestag“ (hib Nr. 610). Social Engineering gewonnen werden, sind für
Unter anderem beruft sich die Bundesregie- Cyber-Kriminelle wertvolle Grundlage zur Vor-
rung auf eine Dunkelfeldstudie von Professor bereitung von gezielten Angriffen auf das Un-
Dr. Kai Bussmann („Dunkelfeldstudie über ternehmen.
den Umfang der Geldwäsche in Deutschland „Mit den richtigen Informationen können Cy-
und über die Geldwäscherisiken in einzelnen ber-Angreifer erheblichen Schaden anrichten,
Wirtschaftssektoren“, Martin-Luther-University etwa durch CEO-Fraud. Dabei werden E-Mails
Halle-Wittenberg, August 2015). Demnach be- der Chefetage fingiert, in denen dazu befug-
wegt sich das gesamte Geldwäschevolumen im te Mitarbeiter angewiesen werden, dringliche
Finanz- und Nicht-Finanzsektor Deutschlands Überweisungen hoher Geldsummen zu tätigen.
deutlich oberhalb der 50 Mrd. Euro und wahr- Wenn der Angreifer weiß, wen er anschreiben
scheinlich in der Größenordnung der Schätzung muss und wie die Prozesse im Haus ablaufen,
der ECOLEF-Studie in Höhe von über 100 Mrd. kann er erheblichen Druck ausüben. Die Ma-
Euro jährlich. Das Projekt ECOLEF – The Eco- sche funktioniert, es geht dabei um Millionen-
nomic and Legal Effectiveness of Anti-Money summen. Auch deswegen ist die Zahl derjeni-
Laundering and Combating Terrorist Financing gen, die sensible Informationen preisgeben, viel
– (Utrecht Univesity, 2013, S. 43) beschäftigt sich zu hoch“, so BSI-Vizepräsident Dr. Gerhard
mit dem Ausmaß der Geldwäsche und organi- Schabhüser.
sierter Kriminalität über den Zeitraum 2007 bis Mit Social Engineering werden menschliche Ei-
2009/2010. Unger et al. (2013) schätzen in der genschaften wie Hilfsbereitschaft und Vertrau-
Studie das Potenzial an zu waschenden Gel- en ausgenutzt, um Mitarbeiterinnen und Mitar-
dern in Deutschland (alle Sektoren, Finanz- und beiter geschickt zu manipulieren. Der Angreifer
Nicht-Finanzsektoren) auf 29,381 Mrd. Euro verleitet das Opfer beispielsweise dazu, ver-
(Unger et al., 2013, Tabelle 2.3, S. 39). trauliche Informationen preiszugeben, Sicher-
heitsfunktionen auszuhebeln, Überweisungen
zu tätigen oder Schadsoftware auf dem privaten
Gerät oder einem Computer im Firmennetz-
werk zu installieren. Die Sensibilisierung der
Angestellten für diese Art der Betrugsversuche
sollte daher eine wichtige Rolle spielen und fest
bank&compliance-Monatsbrief • Ausgabe 07/2018 5
NEWS
zum Weiterbildungskonzept eines Unterneh- Tesla und die Nasdaq:
mens gehören. Fragen zur Kontrolle der
Mehr als die Hälfte der befragten Arbeitneh-
merinnen und Arbeitnehmer hören sich selbst US-Finanzmärkte
aktiv zum Thema IT-Sicherheit am Arbeits-
platz (58 Prozent) um. Gleichzeitig gaben fast Nach der Ankündigung von Tesla-Chef Elon
42 Prozent der Befragten an, nicht selbst aktiv Musk, sein Unternehmen von der Börse nehmen
zu werden. Rund 18 Prozent der Befragten ver- zu wollen, stellt sich eine bohrende Frage: Wa-
lassen sich darauf, dass der Arbeitgeber das Fir- rum ließ die Nasdaq den Handel mit der Aktie
mennetzwerk ausreichend absichert und dass sie noch mehr als eine Stunde lang weiterlaufen?
selbst keine zusätzlichen Maßnahmen ergreifen Musk hatte am vergangenen Dienstag um 12:48
müssen. Weitere 13 Prozent gehen davon aus, Uhr per Twitter gemeldet, er habe eine Finan-
dass das Unternehmen sie darauf hinweist, wenn zierung für einen Buy-out zu einem Kurs von
Sicherheitsmaßnahmen ergriffen werden sollten. 420 US-$ zusammen. Das entsprach zu jenem
Die übrigen Befragten informieren sich gar nicht Zeitpunkt einem Aufschlag von 16 Prozent. Da-
und erhalten auch keine Informationen seitens nach kam es zu einem Ansturm auf die Aktie,
des Arbeitgebers (10 Prozent). Auf dem Informa- bis der Handel um 14:08 Uhr ausgesetzt wurde.
tionsportal „BSI für Bürger“ werden viele prakti- Doch in den 80 Minuten davor haben kaufende
sche Tipps und Empfehlungen zur „IT-Sicherheit oder verkaufende Anleger womöglich mangels
am Arbeitsplatz“ bereitgestellt. eindeutiger Informationen einen Nachteil hin-
nehmen müssen.
Typischerweise wird der Handel mit einer Aktie
unterbrochen, wenn es kursrelevante Neuigkei-
Strafen für Crédit Agricole ten gibt. Im Regelfall bleibt der Handel so lange
ausgesetzt, bis sich die Neuigkeit ausreichend
klar herauskristallisiert hat. Andere Investoren
Das war ein teurer Tag für die französische fragen, warum die Unterbrechung um 15:45
Großbank Crédit Agricole: Die Europäische Uhr plötzlich wieder aufgehoben wurde. Die
Zentralbank (EZB) hat gegen die Crédit Agri- Nasdaq-Episode ist nur ein weiteres Kapitel, das
cole S.A. eine Verwaltungsgeldbuße in Höhe Fragen zur Kontrolle an den US-Finanzmärkten
von 4,3 Mio. € erlassen. Die Bank habe Kapi- aufkommen lässt. "Wir wissen nicht, wie sich
talinstrumente ohne vorherige Genehmigung die Nasdaq darum bemüht hat, ein klareres Bild
der zuständigen Behörde als Kernkapital-Inst- der Vorgänge zu erhalten", springt der frühere
rumente (CET1) eingestuft, teilte die EZB mit. Chairman der US-Börsenaufsicht, Harvey Pitt,
Die Beanstandungen beziehen sich auf mehrere für die Nasdaq in die Bresche. Doch er meint
Quartalsberichte aus den Jahren 2015 und 2016. auch: So etwas habe es noch nicht gegeben und
Mit der gleichen Begründung müssen auch die sei hochproblematisch.
zum Konzern gehörende Investmentbank (Cré- Es geht auch nicht nur um den Entscheidungs-
dit Agricole Corporate and Investment Bank) prozess hinter der Handelsunterbrechung. Die
und die CA Consumer Finance Strafen in Höhe SEC untersucht aktuell vor allem den Wahr-
von 300.000 bzw. 200.000 € zahlen. Gegen den Be- heitsgehalt der Aussagen von Musk, wie das
schluss kann die Bank vor dem Gerichtshof der "Wall Street Journal" berichtete. Eigentlich muss
Europäischen Union noch Einspruch erheben. eine im Nasdaq gelistete Firma über ein elekt-
bank&compliance-Monatsbrief • Ausgabe 07/2018 6NEWS
ronisches System den Börsenbetreiber zehn Mi- SWIFT-Zugang zu TIPS vom
nuten vor wichtigen Nachrichten informieren. Eurosystem zertifiziert
Dann kann sich die Nasdaq mit dem Unterneh-
men abstimmen und über eine Handelsunter-
brechung entscheiden. Ein solches Vorgehen TIPS (TARGET Instant Payment Settlement ),
sorge für faire Regeln für die Anleger an der das harmonisierte und standardisierte Ange-
Börse, meinen Compliance-Experten. bot des Eurosystems zur Verrechnung von In-
stant-Payment-Überweisungen, startet am 30.
Nasdaq hätte schneller handeln sollen November, und SWIFT ist dabei. Der Transak-
Doch offenbar war die Nasdaq über Musks tions- und Nachrichtenverkehrsdienstleister hat
Tweet überhaupt nicht im Bilde. Das wäre laut die Compliance-Prüfungen des Eurosystems
mehreren Händlern und Regulierungsexperten für die Konnektivität zu TIPS bestanden und
ein klarer Verstoß gegen die Regeln. Ein Tesla- wurde nun entsprechend zertifiziert. SWIFT-
Sprecher schwieg sich dazu aus, ob sein Unter- Net Instant wird im November 2018 im Markt
nehmen vor dem Tweet die Börse informiert eingeführt und bietet nahtlose Konnektivität
hatte. Auch die Nasdaq wollte sich zu der An- zu verschiedenen Clearing- und Settlement-
gelegenheit nicht äußern. Bei einem Verstoß ge- Mechanismen. Die Kunden müssen also keine
gen die Nasdaq-Regeln droht einem Delinquen- individuellen Verbindungen zu jedem einzel-
ten eine öffentliche Maßregelung oder gar ein nen System aufbauen, sondern haben über eine
De-Listing. Manche meinen, die Nasdaq hätte einheitliche Schnittstelle Zugang zu mehreren
schneller agieren sollen. Zudem seien im Ver- Instant-Payment-Systemen in Europa. Zunächst
lauf des Tages auch noch Nachrichten durch- gilt dies für TIPS und RT 1, die vom Eurosys-
gesickert, wonach ein saudischer Staatsfonds tem bzw. EBA-Clearing angebotenen Sofortzah-
ein 2 Mrd. $ schweres Paket von Tesla-Aktien lungsdienste.
erwirbt. Die Nasdaq hätte den Handel gar nicht Die Nutzer können im Rahmen des Einsatzes
wieder so schnell anfahren lassen dürfen, argu- bestehender Infrastrukturen reibungslos auf
mentieren deswegen andere. Sofortzahlungen umstellen und dabei bewährte
Früher waren Börsen einmal nicht-profitori- Arbeitsabläufe beibehalten. Die SWIFT-Lösung
entierte Unternehmen, was sich in den 2000er- für TIPS sei als ein zentraler Baustein für den
Jahren änderte. Deshalb habe der Druck zuge- Zugang zu ESMIG, dem künftigen „Eurosystem
nommen, Firmen auf die eigenen Kurszettel zu Single Market Infrastructure Gateway“ konzi-
bekommen. Von daher seien die Börsenbetrei- piert. Der nächste große Meilenstein hin zu ES-
ber inzwischen ein wenig Geiseln der Konzerne MIG werde die Konsolidierung von TARGET2
geworden, die bei ihnen gelistet seien, monie- und TARGET2-Securities im Jahr 2021 sein, er-
ren Kritiker. Für den als vorbildlich geltenden läuterte Chief Executive Alain Raes. (Red.)
US-Finanzmarkt geht es um viel. Sollten Anle-
ger das Vertrauen verlieren, würde der Handel
an andere Finanzplätze abwandern, erläutert
Finanzprofessorin Reena Aggarwal von der
Georgetown-Universität.
bank&compliance-Monatsbrief • Ausgabe 07/2018 7NEWS
Berlin will Lösung für nen Datensätze nach Deutschland übermittelt
Iran-Zahlungsverkehr bis worden. Der zwischen Deutschland und 49
Staaten erfolgte Austausch soll im kommenden
November finden September erneut vorgenommen werden. Dies-
mal erfolge der Austausch mit insgesamt 102
Nach dem Wiederaufleben der US-Sanktionen Staaten beziehungsweise Gebieten, so der Infor-
gegen den Iran hat die Bundesregierung laut mationsdienst „heute im Bundestag“ über eine
eigener Einschätzung noch einige Wochen Zeit, Stellungnahme der Bundesregierung (19/3630)
um für die Aufrechterhaltung des Zahlungsver- zu einer Kleinen Anfrage der Fraktion der FDP.
kehrs Lösungen zu finden. Die US-Sanktionen Die Bundesregierung ist demnach sehr zufrie-
im Bereich Finanzen sollen erst am 5. November den mit der Zuordnung der übermittelten Da-
greifen, wie eine Sprecherin des Wirtschaftsmi- ten zu den jeweiligen Steuerpflichtigen durch
nisteriums in Berlin erklärte. Bis dahin laufe die das Bundeszentralamt für Steuern. Die Ergeb-
Suche nach Alternativen auf nationaler und eu- nisse lägen weit über dem Durchschnitt sonst
ropäischer Ebene. Details wollte die Sprecherin üblicher Ergebnisse bei automatisierten Zuord-
noch nicht nennen. nungsläufen.
Das Thema sei auf der Agenda, sagte ein Spre- Mit der Auswertung der Daten in den Lan-
cher des Auswärtigen Amts dazu. Es gebe unter- desfinanzbehörden soll Mitte 2020 begonnen
schiedliche Ideen, die man im laufenden Prozess werden. In den Datensätzen sei ein Volumen
aber nicht bewerten wolle. "Das Problem ist of- von Einkünften in Höhe von 58 Mrd. € sowie
fensichtlich, und das Problem wird angegangen." von Kontoständen in Höhe von 85 Mrd. € ent-
Er betonte, es gehe bei den Bemühungen aus- halten. Die Daten enthielten allerdings keine
schließlich darum, das Atomabkommen mit dem Bemessungsgrundlage für die Besteuerung in
Iran zu erhalten. Man wolle die Finanzströme Deutschland, sondern seien lediglich ein An-
retten, weil dies der Bevölkerung im Iran zugu- haltspunkt für die Veranlagung von Kapitaler-
tekomme. Es gehe nicht darum, "der deutschen trägen aus dem Ausland und Ausgangspunkt
Wirtschaft Gutes zu tun", sondern vielmehr um für weitere Prüfungen. Die Bundesregierung
sicherheitspolitische Interessen Deutschlands, weist darauf hin, aufgrund des Informations-
Europas und der Menschen in der Region. Eine austausches bestehe ein "hohes Entdeckungsri-
Sprecherin des Finanzministeriums bekräftigte, siko für Steuerpflichtige, die nicht alle entspre-
dass gemeinsam mit den europäischen Partnern chenden Einkünfte in ihrer Steuererklärung
über Wege gesprochen werde. „Diese Gespräche angeben." (Textquelle: hib 569 / 2018)
sind in Arbeit". Über Ergebnisse könne man erst
nach Abschluss der Gespräche berichten.
Rekordwert bei mobilen
Hohes Entdeckungsrisiko Banking-Trojanern
für Steuerpflichtige Mobile Banking-Trojaner werden zu einer im-
mer größeren Gefahr und standen im zweiten
Beim automatischen Informationsaustausch Quartal 2018 auf der Liste der Cyberbedrohun-
über Finanzkonten (AIA) sind im September gen ganz oben. 61.000 Installationspakete mit
2017 von ausländischen Behörden 1,5 Millio- Modifikationen von mobilen Banking-Troja-
bank&compliance-Monatsbrief • Ausgabe 07/2018 9NEWS
nern registrierte Kaspersky Lab zwischen April Vorwurf der Kunden
und Juni – ein neuer Spitzenwert; die Zahl hat täuschung belastet Amex
sich gegenüber dem ersten Quartal mehr als
verdreifacht. In Deutschland grassiere zudem
Banking-Malware, die sich gegen stationäre Die Aktien von American Express sind an der
Rechner richtet. Laut dem Cybersicherheitsun- New Yorker Börse um 2,7 Prozent gefallen und
ternehmen wurde in Deutschland mit 2,7 Pro- notieren damit als schwächster Wert im Dow.
zent der höchste Anteil an attackierten Nutzern Im Sog von Amex gaben auch die Papiere von
gezählt. Visa knapp 2 Prozent nach. Hintergrund dieses
Mobile Banking-Trojaner zielen direkt auf die Abschwungs sind Vorwürfe, die ehemalige und
mobil verwalteten Bankkonten ihrer Opfer ab. derzeitige Mitarbeiter von American Express er-
Typischerweise tarnt sich diese Malware als le- heben. Demnach soll die Fremdwährungssparte
gitime App, die von arglosen Nutzern installiert von Amex Unternehmenskunden seit mehr als
wird. Statt der regulären Nutzeroberfläche der zehn Jahren mit niedrigen Umtauschgebühren
aufgerufenen Banking-App wird auf mobilen geködert, dann aber die Gebühren erhöht ha-
Geräten dann allerdings die Oberfläche des ben, ohne die Kunden zu informieren, berichten
Trojaners angezeigt (Overlay), der so die ein- informierte Kreise. Auf diesem Wege sollten der
gegebenen Zugangsdaten abfangen kann. Kas- Umsatz und die Provisionen der Mitarbeiter ge-
persky Lab zählte im zweiten Quartal 61.045 steigert werden.
Ausprägungen dieses Trojaner-Typus. Etwa die Um die Gebührenänderungen bemerken zu
Hälfte der neu entdeckten Modifikationen ent- können, hätten sich die Kunden in ihr Konto
fiel auf den Trojaner Hqwar, an zweiter Stelle einloggen und den von American Express ge-
stand der Trojaner Agent. Und dieser Trend botenen Wechselkurs mit dem Marktkurs zum
werde sich fortsetzen, warnen die Experten. Zeitpunkt der jeweiligen Transaktion verglei-
Um das Infektionsrisiko zu verringern, raten sie chen müssen. American Express teilte mit, man
dazu, Apps nur aus sicheren Quellen, wie den habe mit den meisten der betreffenden Kunden
offiziellen App-Stores, zu beziehen. Dazu soll- keine vertraglichen Vereinbarungen bezüglich
ten die Rechte überprüft werden, die von einer der Gebühren. Zudem gebe es Schulungen und
App eingefordert werden. Passen diese nicht Kontrollmechanismen. Daher glaube man, dass
zu den Aufgaben der App, kann dies auf eine die Transaktionen fair und transparent abge-
Schadsoftware hindeuten. Sicherheitslösungen rechnet worden seien, sagte eine Unterneh-
vor Schadsoftware und ihren Folgen sollten ge- menssprecherin.
rade für Android-Nutzer ohnehin obligatorisch
sein. Darüber hinaus gilt natürlich auch auf mo-
bilen Geräten die Warnung, nicht auf Links in
Mails zu klicken. Außerdem sollten die Geräte
Weniger Beschwerden
nicht gerootet werden, das gebe Cyberkriminel- über Anlageberater
len grenzenlosen Zugang.
Im Mitarbeiter- und Beschwerderegister der
Bundesanstalt für Finanzdienstleistungsauf-
sicht (BaFin) werden aktuell 129.034 aktiv tä-
bank&compliance-Monatsbrief • Ausgabe 07/2018 10NEWS
tige Anlageberater geführt. Das berichtet der Steuerzahler überstehen konnte – im Unter-
Informationsdienst „heute im bundestag“ (hib schied zu Wettbewerbern wie Lloyds oder der
548) im Bezug auf eine Kleine Anfrage der FDP- Royal Bank of Scotland. Barclays hatte dem
Fraktion im Bundestag. Über diese Berater seien Emirat Katar kurz vor der zweiten Kapitalerhö-
im Zeitraum von November 2012 bis Ende Juni hung einen Kredit über 3 Mrd. US-$ gewährt.
2018 insgesamt 34.925 Beschwerden eingegan- Später kam die Vermutung auf, dass dieses
gen, so die Antwort der Bundesregierung. Geld in Form von Finanzspritzen an die Bank
Der Höchststand der Beschwerden lag demnach zurückgeflossen sein könnte.
im Jahr 2013 mit 9.720 Beschwerden, seither sei
die Zahl immer weiter zurückgegangen. Im
Jahr 2017 waren es noch 4.353. Die BaFin ver-
hängte in diesem Zusammenhang Bußgelder in
ADR-Verstöße kosten
Höhe von zusammen 138.000 €. Laut Antwort 75 Mio. Dollar
der Bundesregierung wurde es bisher nicht not-
wendig, Anlageberatern ihre Tätigkeit zu unter- Verstöße in der Handhabung von Hinterle-
sagen. gungsscheinen (American Depositary Receipts,
kurz ADR) haben der Deutschen Bank eine Stra-
fe in den USA eingebracht. Wie die US-Börsen-
Betrugsanklage gegen aufsicht SEC mitteilte, zahlen zwei Tochtergesell-
schaften der Deutschen Bank zusammen knapp
Barclays soll wieder 75 Mio. US-$, um die Vorwürfe beizulegen.
belebt werden Die SEC beschuldigt die Deutsche Bank, unzu-
lässigerweise von bestimmten ADR-Transaktio-
nen profitiert zu haben. Wie die Behörde weiter
Die britische Anti-Betrugsbehörde Serious mitteilte, werden die Vorwürfe von den beiden
Fraud Office (SFO) will eine Betrugsanklage Gesellschaften weder bestritten noch zugegeben.
gegen das Finanzinstitut Barclays wieder auf- American Depositary Receipts sind US-Wertpa-
greifen. Erst im Mai hatte der Strafgerichtshof piere, die ausländische Aktien repräsentieren.
Crown Court eine entsprechende Klage des Die SEC hat eine branchenweite Untersuchung
SFO im Zusammenhang mit Kapitalspritzen durchgeführt.
katarischer Investoren noch abgewiesen. Nun
habe das SFO Klageschriften gegen die Barclays
plc und die Barclays Bank plc eingereicht, um
sämtliche Anklagepunkte wieder in Kraft zu
Schutz Kritischer Infra
setzen, teilte die britische Bank mit. strukturen gemeinsam
Die SFO hatte im Juni vergangenen Jahres Er- intensivieren
mittlungen wegen Betrugsverdacht gegen die
Bank und vier frühere Top-Manager aufgenom-
men, darunter auch den damals amtierenden Bislang gab es in Deutschland keine IT-Sicher-
CEO John Varley. Unter die Lupe genommen heitsvorfälle, die eine Versorgung der Bevölke-
wurden dabei Kapitalspritzen aus Katar im Jahr rung gefährdet hätten. Diese positive Bilanz zieht
2008, mit deren Hilfe die britische Bank die Fi- Arne Schönbohm, Präsident des BSI (Bundesamt
nanzkrise ohne Unterstützung der britischen für Sicherheit in der Informationstechnik.) Das
bank&compliance-Monatsbrief • Ausgabe 07/2018 11NEWS
soll natürlich auch so bleiben. Beispielhaft da- Hospitationen von Mitarbeitern beider Behörden
für hat das BSI nun mit dem Land Berlin einen sowie qualifizierte Aus- und Weiterbildungs-
engeren Austausch und mehr Zusammenar- maßnahmen. Außerdem soll die IT-Sicherheit in
beit in Fragen der Cyber-Sicherheit vereinbart, der Wirtschaft im Rahmen der Allianz für Cyber-
damit speziell die Kritischen Infrastrukturen Sicherheit (ACS) gestärkt werden. Die Berliner
wie Strom- und Wasserversorgung, Zugang zu Senatsverwaltung will als Multiplikator der ACS
Telekommunikationsdiensten oder auch Bar- deren Ziele verstärkt kommunizieren, geplant
geldversorgung gesichert sind. Angesichts einer sind zum Beispiel gemeinsame Veranstaltungen
„dynamischen Gefährdungslage“, so der Amts- und Informationskampagnen, von denen spe-
chef, dürfe die Gesellschaft nicht nachlassen, ziell kleine und mittelständische Unternehmen
die Bemühungen um eine stabile und erfolgrei- profitieren.
che Cyber-Abwehr zu verstärken. Als nationale Für Schönbohm ist die künftig noch engere Zu-
Cyber-Sicherheitsbehörde unterstützt das BSI die sammenarbeit mit dem Land Berlin ein wichtiger
Länder und stellt ihnen Know-how und Dienst- Schritt zur Sicherung des Standorts Deutschland.
leistungen zur Verfügung. Berlins Innensenator Andreas Geisel sagte dazu,
Konkret stehen auf der Absichtserklärung Cyber-Bedrohungen machten nicht an Länder-
Punkte wie der Austausch zu Prozessen des IT- grenzen halt, deshalb seien Eifersüchteleien
Krisenmanagements und der Prävention von zwischen den Ländern und dem Bund fehl am
Cyber-Angriffen, die Stärkung der Resilienz Platz. Den Cyber-Raum zu schützen und wider-
bestehender IT-Lösungen zum Beispiel durch standsfähige Infrastrukturen zu stärken sei eine
Web-Checks oder Penetrationstests, gegenseitige gesamtstaatliche Aufgabe.
Jetzt n
n me lde
a
Zertifikatslehrgang
Geldwäschebeauftragte/r (GWB) für
Kreditinstitute
8. bis 11. Oktober 2018, in den Räumen der Bank-Verlag GmbH in Köln
bank&compliance-Monatsbrief • Ausgabe 07/2018 12
www.compliance-fachtagung.dePERSONALIA
Verstärkung für die Praxisgruppe
Steuer- und Wirtschafts-
strafrecht
PwC Legal baut seine Praxisgruppe für Steuer- Christina Hüschemenger (38), Steuerberaterin
und Wirtschaftsstrafrecht am Standort Frank- und Fachanwältin für Steuerrecht, hat sich bei
furt wieder auf. Durch personelle und organi- der Vorgängerkanzlei zuletzt als Local Partner
satorische Veränderungen war dieser Bereich auf die Prozessführung bei Finanzbehörden
im Frankfurter Büro seit 2016 nicht besetzt, und Finanzgerichten, die steuerliche Beratung
die Beratung wurde federführend durch das bei Unternehmensumstrukturierungen und
Düsseldorfer Büro übernommen. Jetzt konnte -sanierungen, aber auch die Begleitung steu-
Dr. Thorsten Zumwinkel, der die Praxisgruppe erstrafrechtlicher Situationen spezialisiert. Sie
leitet, drei Neuzugänge in dem nun elfköpfigen steigt als Senior Managerin bei der Pricewater-
Team begrüßen, das an den Standorten Düssel- houseCoopers GmbH Wirtschaftsprüfungsge-
dorf, Berlin, München und Frankfurt agiert. Die sellschaft ein und wird u. a. das Team der PwC
neuen Experten waren bislang alle für die Kanz- Legal im Bereich des klassischen Steuer- und
lei White & Case LLP in Frankfurt tätig. Zollstrafrechts unterstützen.
Tobias Gans (35) steigt als Senior Manager bei
PwC Legal ein, was dem Status eines Salary
Partners in anderen Kanzleien entspricht. Gans
war seit 2012 als Rechtsanwalt mit dem Schwer-
punkt Wirtschaftsstrafrecht bei White Case tä-
tig, hat dort unter anderem unternehmensinter-
ne und forensische Ermittlungen koordiniert,
sich um den Aufbau und die Überwachung von
Compliance-Management-Systemen geküm-
mert und zu internationalen Sanktions- und
Embargobestimmungen beraten.
Dr. Jan-Lieven Stöcklein (37) kommt ebenfalls
als Senior Manager und war bislang im Bereich
Wirtschaftsstrafrecht tätig. Sein Schwerpunkt
lag dabei auf dem Kapitalmarktstrafrecht und
der Korruptions- und Geldwäschebekämpfung.
In dieser Rolle hat er unternehmensinterne
Untersuchungen geleitet, die Vertretung ge-
genüber Ermittlungsbehörden und Gerichten
übernommen und zur Implementierung und
Verbesserung von Compliance-Management-
Systemen beraten.
bank&compliance-Monatsbrief • Ausgabe 07/2018 13TERMINE / IMPRESSUM
Termine
Zertifikatslehrgang
„Geldwäschebeauftragte/r (GWB) für
Intensivseminar
Kreditinstitute”
„Bankaufsichtliche Anforderungen an die IT
Termin: 8. bis 11. Oktober 2018
(BAIT)“
Ort: Köln
Termin: 29. August 2018
Ort: Köln
Intensivseminar
„Risikomanagement und Risikoanalyse für Geld-
Webinar
wäschebeauftragte“
„Brexit ante portas: Implikationen für Vertrags-
Termin: 9. Oktober 2018
wesen, Recht und Markt“
Ort: Köln
Termin: 30. August 2018
Intensivseminar
Intensivseminar
„Rechtliche Risiken in der Abwehr von Geld
„Risikotragfähigkeit, ICAAP und ILAAP – To Dos
wäsche und Terrorismusfinanzierung“
für Less Significant Institutions“
Termin: 10. Oktober 2018
Termin: 3. September 2018
Ort: Köln
Ort: Köln
Fachkonferenz
Impressum
„Drittdienstleisterschnittstelle und Starke
Kundenauthentifizierung – Anforderungen der Verlag und Redaktion: Layout & Satz:
Aufsicht und Umsetzung in die Praxis“ Bank-Verlag GmbH Cathrin Schmitz
Postfach 450209, 50877 Köln Tel. 0221/54 90-132
Termin: 4. September 2018 Wendelinstraße 1, 50933 Köln E-Mail: cathrin.schmitz@
Ort: Köln bank-verlag.de
Tel. 0221/54 90-0
Fax 0221/54 90-315 Mediaberatung:
Zertifikatskurs
E-Mail: medien@bank-verlag.de Tel. 0221/54 90-0
„Datenschutzbeauftragter für Kreditinstitute“ E-Mail: medien@
Geschäftsführer:
Termin: 6. bis 7. September 2018 bank-verlag.de
Wilhelm Niehoff (Sprecher)
Michael Eichler Redaktion:
Intensivseminar Matthias Strobel Anja U. Kraus
„CRR II und Basel IV” Tel. 0221/54 90-542
Objektleitung:
Termin: 18. September 2018 Bernd Tretow
E-Mail: anja.kraus@
bank-verlag.de
Ort: Köln
Erscheinungsweise: 10 x jährlich
Intensivseminar Der nächste bank&compliance-Monatsbrief 08-2018 erscheint in
„Datenschutz-Reformen für Kreditinstitute 2018” der KW 40.
Termin: 19. September 2018
Ort: Köln ISSN: 2195-4488
Kein Teil dieser Zeitschrift darf ohne schriftliche Genehmigung des Verlags
vervielfältigt werden. Unter dieses Verbot fallen insbesondere die gewerbliche Ver-
1. Forum Bankaufsichtsrecht vielfältigung per Kopie, die Aufnahme in elektronische Datenbanken und die Verviel-
fältigung auf Datenträgern. Die Beiträge sind mit größtmöglicher Sorgfalt erstellt,
Termin: 26. September 2018 die Redaktion übernimmt jedoch kein Gewähr für die Richtigkeit, Vollständigkeit und
Aktualität der abgedruckten Inhalte. Mit Namen gekennzeichnete Beiträge geben
Ort: Köln nicht unbedingt die Meinung des Herausgebers wieder. Empfehlungen sind keine
Aufforderungen zum Kauf oder Verkauf von Wertpapieren sowie anderer Finanz- oder
Versicherungsprodukte. Eine Haftung für Vermögensschäden ist ausgeschlossen. Für
Fachtagung die Inhalte der Werbeanzeigen ist das jeweilige Unternehmen oder die Gesellschaft
Wertpapier-Compliance verantwortlich. Die Redaktion stützt sich neben der Eigenberichterstattung auch auf
international tätige Journalisten, insbesondere der Nachrichtenagentur Dow Jones
Termin: 27. September 2018 News GmbH. Meldungen werden mit journalistischer Sorgfalt erarbeitet. Für Ver-
Ort: Köln zögerungen, Irrtümer und Unterlassungen wird jedoch keine Haftung übernommen.
bank&compliance-Monatsbrief • Ausgabe 07/2018 14Sie können auch lesen
