Mitte der 2000er kostete Jérôme Kerviel die französische Großbank Société Générale durch unerlaubte Spekulationen rund 4,9 Milliarden Euro – obwohl er angeblich allein als Junior Trader agiert hatte.
Nach jahrelangem Streit kamen die Gerichte zu dem Schluss, dass Kerviel nur eine Teilschuld treffe: natürlich hatte er seine Befugnisse überschritten und dabei sogar das Computersystem der Bank manipuliert. Der Kern des Problems sei aber, dass er überhaupt die Möglichkeit hatte das System zu manipulieren und monatelang unentdeckt Spekulationen in Milliardenhöhe, weit über seinem Risikorahmen, durchzuführen. Und die Schuld dafür liege bei der Bank.
Anders ausgedrückt: die Bank hatte Teilschuld, weil sie über kein ausgereiftes IAM-System verfügte.
Vier Augen sehen mehr als null
IAM steht dabei für „Identity und Access Management“. Ein IAM-System sorgt dafür, dass jede Aktion, die einem technischen oder persönlichen User zugeschrieben wird, auch tatsächlich von diesem ausgeführt werden darf. Das heißt, dass jeder User nur Zugriff auf die Dateien und Handlungsmöglichkeiten hat, auf die der User Zugriff haben soll.
Kerviel hätte niemals in der Lage sein dürfen, unautorisierte Spekulationen durchführen zu können. Spielen wir doch einmal den Fall Kerviel in einem modernen IAM-System durch: Kerviel betätigt den Button zum Kauf für ein Vielfaches seines Risikorahmens. Bevor dieser Kauf ausgeführt wird, durchläuft der Auftrag das Freigabesystem. Nach BAIT müssen nun, abhängig vom Risikograd der Transaktion und den damit verbundenen Rechten der Rolle, zwei weitere Personen unabhängig voneinander die Freigabe geben, damit die Transaktion durchgeführt werden kann. Im Idealfall weiß Kerviel dabei nicht einmal, wer diese beiden Personen sind. Und die beiden Personen wissen nicht, wer die jeweils andere für diese Transaktion zuständige Person ist.
Das Überziehen des Risikorahmens fällt sofort auf. Der Kauf wird abgebrochen und Kerviel in das berüchtigte Hinterzimmer des Chefs eingeladen, um seinen Gedankengang zu erklären.
Der Fall Jérôme Kerviel beweist, wie teuer ein mangelhaftes oder – bewahre! – fehlendes IAM-System werden kann. Hier muss frühzeitig vorgesorgt werden. Das gilt besonders bei Eigenlösungen: die können sehr gut funktionieren… bis zu einem gewissen Punkt. Im Idealfall skaliert die Bank – und mit ihr die Anforderungen an das IAM-Tool.
Überdies begünstigen Eigenlösungen Kopfmonopole. Bei Standardlösungen kann die einzige kompetente Person nicht aus dem Unternehmen ausscheiden. Daher ist es einfacher und oft billiger, früher als später auf ein professionelles, spezialisiertes Tool umzusteigen.
Es gibt nur einen Rudi Völler! IAM-Tools dagegen…
Der Schritt zu einem neuen IAM-System sollte wohl durchdacht sein; schlussendlich schützt es nicht nur vor betrügerische Maschen der Mitarbeitenden, sondern auch vor menschlichen Fehlern. Das richtige Tool muss die stetig wachsenden Rollen und Rechte in einem Institut bewältigen, die ebenfalls ständig wandelnden regulatorischen Vorschriften erfüllen können und vor allem verlässlich sein. Gleichzeitig darf das Geflecht an Mehr-Faktor-Autorisierungen, doppelter Freigabe und Sicherheitsüberprüfungen nicht so weit gehen, dass es die Arbeit der Bankmitarbeiter behindert.
In einem guten IAM-System kann sogar das Gegenteil der Fall sein: durch Selfservice-Implementierungen, die Mitarbeiter befähigen bestimmte Aufgaben (z.B. das Ändern eines Passworts) selbstständig durchzuführen, können Systemadministratoren entlastet und Prozesse sogar beschleunigt werden.
Doch der Blick auf die Tool-Auswahl gleicht dem Blick in eine deutsche Bäckerei: siebenundzwanzig Laibe Schwarzbrot und alle sehen erstmal gleich aus. Die einen kosten aber weniger, die anderen mehr, die einen nutzen Weizenmehl, die anderen Roggen, manche haben Sonnenblumenkerne auf der Kruste und weitere sind kantig anstatt rund, auf Wunsch bekommt man aber beides auch vorgeschnitten eingepackt.
Verzwickte Situation: Wo findet eine Bank nur Beratung?
Die meisten Deutschen essen Brot (beinahe) täglich. Dennoch fällt nicht jede Entscheidung beim Bäcker unbedingt leicht, besonders wenn für Gäste eingekauft werden soll. Es gibt eben nicht das eine Schwarzbrot, das immer jedem am besten schmeckt.
Der individuelle Geschmack ist subjektiv. Glücklicherweise gilt das für das individuell geeignetste IAM-Tool für eine Bank nicht. Hier kann bspw. die Kompatibilität mit anderen Anwendungen (SAP, Oracle) entscheidend sein. In manchen am Markt verfügbaren Lösungen finden sich außerdem Lizenzen für andere Anwendungen, wodurch die Bank zusätzlich Geld sparen kann.
Wenn Kerviel in Ihrer Bank kein Chaos anrichten können soll, wird es Zeit, ein umfassendes IAM-System einzurichten oder das bestehende aufzubessern bzw. die Eigenlösung durch am Markt erhältliche Systeme zu ersetzen. Bei der Auswahl und Umsetzung beraten wir Sie gerne – unsere Empfehlung für den Bäckereinkauf ist übrigens Sauerteigbrot.
Autoren: Hüseyin Akdere und Damla Kocar
