Terrorbekämpfung

Alle Konten unter zentraler Kontrolle

03.03.2003 von Horst Ellermann
Ab April müssen Banken Namen und Geburtsdaten ihrer Kunden in einer gesonderten Datenbank speichern. Steuerfahnder und Geheimdienste können so unbemerkt abfragen, wer zu welchen der rund 500 Millionen Konten in Deutschland Zugang hat.

Volker Essler hat seit Ende August keine Ruhe mehr. Damals ist dem Postbank-Projektleiter klar geworden, was sich hinter Paragraph 24c des Kreditwesengesetzes verbirgt. Bis August hatte Essler die Gesetzesänderungen im Kampf gegen Terror und Geldwäsche nur am Rande wahrgenommen. Seit einem halben Jahr arbeitet er jetzt unter Hochdruck am „automatisierten Abruf von Kontoinformationen“ (§ 24c) für die zehn Millionen Kunden der Postbank. Namen und Geburtsdaten sämtlicher Kontoinhaber und Zugriffsberechtigter - also die Kontostammdaten, nicht die Transaktionsdaten - müssen bis April in einer gesonderten Datenbank außerhalb des Hauses gespeichert werden. „Die Bankenaufsicht geht sehr sportlich an dieses Thema heran“, sagt Essler.

Die Bankenaufsicht, das ist die neu geschaffene Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die seit Mai vergangenen Jahres über die 2700 Kredit-institute, 800 Finanzdienstleister und 700 Versicherungen in Deutschland wacht. Die rund 1000 Mitarbeiter in Bonn und Frankfurt am Main kümmern sich um Kundenschutz, Solvenzaufsicht und Anfragen, die in- und ausländische Terror- und Geldwäschebekämpfer zu Kontostammdaten in Deutschland haben. Bei 500 Millionen Konten war das bislang ein mühseliges Geschäft. Terroristen und Mafiosi verfügen wie jeder andere über Zugriff auf Konten und Depots bei mehreren Banken. Die Verflechtungen lassen sich erst jetzt mit einem vertretbarem Aufwand aufdecken, da alle Stammdaten in einem einzigen Pool zur Verfügung stehen.

Antworten innerhalb von 30 Minuten

Die Banken schicken dazu die Kontostammdaten verschlüsselt an externe Rechenzentren, auf die die BaFin mit verschlüsselten Anfragen zugreift. Neu eingerichtete Konten oder veränderte Zugriffsrechte müssen die Geldinstitute täglich nachmelden, sodass nach und nach Kontenhistorien mit allen Stammdatenänderungen in den vergangenen drei Jahren entstehen. Fragen dazu will die BaFin in durchschnittlich 30 Minuten beantwortet wissen; nie darf eine Antwort länger als zwölf Stunden auf sich warten lassen. Weitere Anforderungen sind auf www.bankenfachverband.de unter dem Stichwort „24c“ genauestens aufgelistet. Die Kosten für das dort beschriebene Prozedere - von einer Sprecherin der BaFin liebevoll „Rüsselverfahren“ genannt - tragen die Geldinstitute selbst. 15000 Euro verlangt beispielsweise die Fiducia für die Systeminstallation bei Banken mit mehr als 250000 Konten; 34 Euro pro 1000 Konten kommen an jährlichen Kosten für die Datenpflege hinzu. Und auch EDS und T-Systems wollen am neuen Markt partizipieren.

Die vier großen Dachverbände von Banken und Sparkassen haben zwar pflichtgemäß gegen diese zusätzliche Belastung protestiert, konnten allerdings nicht mehr für ihre Mitglieder tun, als ihnen Hilfe durch die eigenen IT-Tochterfirmen anzubieten. Postbank-Projektleiter Essler hat dieses Angebot angenommen. Die IT-Tochter des Bundesverbands Öffentlicher Banken Deutschlands (VÖB-ZVD) speichert für ihn die verschlüsselten Daten, pflegt neue oder veränderte Kontozugriffsrechte ein und betreibt die Software, die aus den XML-Dateien der BaFin die Suchanfragen für die Datenbank generiert. 1,5 Terabyte hält Bereichsleiter Hermann Beckers in einem SAN (Storage Area Network) bereit, auf das zwei x-440-Server von IBM zugreifen; mehr als die Hälfte der Speicherkapazität ist der Postbank vorbehalten. Da diese und die ebenfalls in Bonn ansässige VÖB-ZVD bereits an anderen Stellen kooperieren, müssen sie für den zusätzlichen Daten-Traffic auch keine neuen Telefonverbindungen aufbauen. Die Kosten dafür wären ebenfalls an der Postbank kleben geblieben.

Abgetrennt vom täglichen Bankgeschäft

Dass die Banken die Kontostammdaten verschlüsselt und gesondert vom operativen Geschäft bereitstellen müssen, erklärt die BaFin mit dem Datenschutz. Die Banken sollen nicht wissen, welche Personen gerade von staatlichen Ermittlern der Geldwäsche oder des Terrorismus verdächtigt werden. Diese erwarten offensichtlich, dass sie auch viele Unschuldige ins Visier nehmen werden, denen man grundlose Verdächtigungen durch ihre Hausbank ersparen möchte. Mit bis zu 250 Anfragen pro Stunde rechnet Beckers vom IT-Dienstleister VÖB-ZVD, der neben der Postbank noch 20 weitere Geldinstitute in Sachen 24c betreut. „Genau wissen wir natürlich nicht, wie viele Anfragen kommen werden“, ergänzt Beckers. Auch die BaFin kann nur erahnen, wie oft in- und ausländische Bedarfsträger anklopfen werden.