Archive for December, 2009

Bei Schweizer Grossbanken UBS und Credit Suisse surft Google mit

Monday, December 7th, 2009
Mehrere Schweizer Banken empfangen E-Mails über eine Google-Tochter. Sicherheitsexperten sind erstaunt, dass ausgerechnet Grossbanken einen so sensiblen Bereich ausser Haus geben.

Von Christian Bütikofer
Wer Kunde von UBS, Credit Suisse oder Vontobel ist und seiner Hausbank eine E-Mail schickt, dessen Post wird zuerst mit einem Code der US-Firma Postini geprüft, bevor sie beim Schweizer Banker landet. Postini checkt, ob es sich dabei um Spam handelt.

Spam ist nicht nur für jeden Privatnutzer eine Plage. Für Firmen ist das auch ein Kostenfaktor und ein Sicherheitsrisiko. Firmen, die dazu eine effektive Lösung anbieten, waren lange sehr gesucht.

Postini aus Kalifornien hatte eine und wurde bald zum Star am Anti-Spam-Himmel. 1999 in Kalifornien gegründet, machte die Firma schon nach wenigen Jahren Gewinn; in Europa war sie aber lange unbekannt. Ende 2005 gründete Postini in der Schweiz eine Niederlassung und verkündete, man hätte jetzt in Genf und Zürich zwei Datacenter eröffnet. Die Amerikaner hatten zwei Schweizer Banken als Kunden an Land gezogen. 2007 schluckte Datenriese Google die Spambekämpfer für 625 Millionen Dollar. Durch die Übernahme wurden Schweizer Banken unversehens zu Kunden von Google.

Dass ausgerechnet die zwei grössten Schweizer Banken mit ihrem eigenen teuren IT-Wissen einen sicherheitsrelevanten Dienst wie die Spam-Bekämpfung ausser Haus geben und sich damit letztlich in die Hände von Google begeben, irritiert Sicherheitsexperten.

Auslagerung bedroht Sicherheit

Darunter sind solche, die für Schweizer Banken regelmässig sogenannte Audits durchführen, also Sicherheitstests, wo auch Hackerangriffe simuliert werden. Marc Ruef von der Zürcher Firma Scip sagt, dass er nur schon wegen Sicherheitsbedenken jeder Schweizer Bank raten würde, keine solchen Dienste auszulagern. Er weiss warum: Einige Banken sind spätestens seit dem Skandal der LGT aus Liechtenstein sensibilisiert. Dort hatte ein langjähriger LGT-Mitarbeiter Tausende von Kundendaten deutschen Behörden verkauft. Damit brachte er die Bank in enorme Schwierigkeiten und nahm letztlich die aktuelle Diskussion über Steuerbetrüger vorweg.

Ruef erinnert sich: «Als der LGT-Fall bekannt wurde, hatten wir einen Zürcher Bankkunden. Der dortige IT-Chef fragte sich darauf, ob ein Fall wie LGT auch bei ihm möglich sei. Er kam zum Schluss: Durchaus, und falls er das Outsourcing verwirklicht hätte, würde er womöglich nicht einmal etwas davon bemerken.» Diese Bank sei damals voll im Outsourcing-Prozess gestanden. Sie habe deshalb interne IT-Spezialisten entlassen. «Noch während des Outsourcing-Prozesses haben die das alles wieder rückgängig gemacht.»

Ruef ist kein strikter Gegner von Outsourcing, aber: «CS und UBS sind keine Kleinfirmen. Für ein KMU extra einen eigenen Server zu betreiben, das macht eher weniger Sinn. Bei einer Grossbank liegt der Fall jedoch ganz anders.»

Neben den Sicherheitsaspekten gibt es noch ein weiteres Thema: Wie sieht die Sache juristisch aus? Was passiert, wenn US-Behörden den E-Mail-Verkehr von Schweizer Banken überwachen möchten? Machen sich Schweizer Banken erpressbar, zum Beispiel, wenn die US-Steuerbehörde bei Google anklopft und den E-Mail-Verkehr überwachen möchte? Sind die Kunden dann sicher, bloss weil die Schweizer Banken bei einem rechtlich autonomen Google-Ableger in der Schweiz Kunden sind?

Vorbehalte auch bei Blackberry

Der TA fragte ausgewiesene Kenner um ihre Einschätzung. Ein Pionier im Internetrecht einer renommierten Zürcher Rechtsanwaltskanzlei gab dem TA ausführlich Antwort. Er will aus Befangenheit anonym bleiben, denn er beriet Schweizer Firmen bei Verträgen mit Postini. Der Anwalt hat die Verträge für seine Klienten geprüft und sagt: «Rechtlich ist bei Postini alles in Ordnung.» Die Verträge seien sauber, dafür könne er garantieren.

Was aber passieren könnte, wenn massiver Druck auf Google USA ausgeübt werde, sei schwierig zu beurteilen, die Unsicherheit sei da. Darum wollten etliche international tätige Schweizer Unternehmen keine Kunden von RIM sein, der Firma, die die Blackberry-Handys herstellt.

Der Grund: Letztlich sei das eine Firma aus Nordamerika, die Datenübermittlungen liefen über Nordamerika. Die Firmen befürchten, die Kontrolle über die eigene Firmenkorrespondenz zu verlieren.

Riesiger Kostendruck

Die Banken stehen unter einem enormen Kostendruck. Was nicht zum Kerngeschäft gehört, wird an spezialisierte Firmen im Bankensektor ausgelagert. Selbst einer dieser Outsourcer nimmt Google in Anspruch: die Incore Bank aus Zürich. Sie gehört zur Holding der Privatbank Maerki Baumann. Auch diese ist Kunde von Googles Spamfilter.

Die Schweizer Incore ist rechtlich eigenständig und unterstützt andere Banken bei internen Prozessen bis hin zur Hacker-Abwehr im Web. Als Incore-Chef Jack Hertach vom Google-Spam-Filter bei UBS, Crédit Suisse und Vontobel erfuhr, konnte er das erst nicht glauben: «Das ist mir absolut rätselhaft.»

Auch IT-Sicherheitschef Peter Stalder von Finnova in Lenzburg sagte auf Anfrage: «Ich bin überrascht, dass das eine Bank macht. Ich hätte ein mulmiges Gefühl.» Die Finnova unterstützt diverse mittlere Schweizer Banken im Outsourcing, darunter auch diverse Kantonalbanken.

Banken sehen keine Probleme

Auf Anfrage des TA gaben Sprecher von UBS, CS und Vontobel praktisch immer die gleiche Antwort: Die Banken sehen kein Problem. Eine dieser Banken wollte nicht einmal bestätigen, dass sie Kunde von Google ist – wegen «Sicherheitsüberlegungen».

Auch bei Google gibt man sich wortkarg. Im Detail wolle man sich nicht zu den Banken äussern, weil man sonst Vertragsverletzungen begehe, meint ein leitender Google-Angestellter aus Deutschland. Er verweist auf die zufriedenen Kunden weltweit. Als Referenz-Firma gibt er den deutschen Chemieriesen BASF an. Auf die Frage, ob in der Schweiz tatsächlich Angestellte vor Ort die Postini-Dienste unterstützen würden, oder ob das zentral aus den USA geschehe, wie der Bericht «Googles take on e-mail security» des Branchendienstes Cnet.com vom Juli 2009 nahelegt, sagt er: «Der Support findet lokal statt.»

Google-Schweiz-Sprecher Matthias Meyer bestätigte, dass in Zürich knapp 500 Personen beschäftigt seien. Wie viele für die Postini-Dienste zuständig sind, konnte er nicht sagen.

© Tages-Anzeiger; 07.12.2009

Wikipedia: Wie auf einem Basar

Thursday, December 3rd, 2009

Von Christian Bütikofer

Vor 2001 war das Internet ein Minenfeld für Faktensucher. Welche Seiten im Internet zuverlässig informieren und welche Halbwissen verbreiten, war nicht einfach herauszufinden. Doch dann präsentierten der ehemalige Börsenhändler Jim Wales und sein Gefährte Larry Sanger mit Wikipedia eine Lösung für dieses Problem: Jeder soll sein Spezialwissen gratis auf Wikipedia zur Verfügung stellen. Und jeder, der sich im gleichen Thema auskennt, kann die Artikel ergänzen und korrigieren.

Der Gedanke erschien damals vielen absurd. Wer arbeitet schon gratis? Und schaut so auch Qualität heraus?

Heute enthält die englische Ausgabe von Wikipedia über drei Millionen Einträge. Die deutsche Version nähert sich der ersten Million. Die Inhalte, so zeigt eine Studie des Wissenschaftsmagazins «Nature», müssen sich nicht hinter Profi-Nachschlagewerken wie der «Encyclopedia Britannica» verstecken. Internetnutzer finden auf Wikipedia zu beinahe jedem Thema Wissenswertes. Wikipedia brachte dem Internet mehr Qualität.

Mit dem Erfolg kommen die Probleme – so streiten sich derzeit sogenannte Exklusionisten mit den Inklusionisten. Erstere wollen den aktuellen Bestand perfektionieren und möglichst wenige neue Schreiber. Sie wehren sich nicht nur gegen Vandalen und Schmierer. Sie schliessen auch neue Artikel schnell als «nicht relevant» aus und ziehen damit den Zorn der Neulinge auf sich.

Die Inklusionisten demgegenüber wollen die Barrieren für neue Einträge senken. Sie stören sich nicht an Artikeln über Computergames, TV-Serien und regionalen Besonderheiten.

Schon einmal brach ein solcher Zwist aus. So wurde Wikipedia-Mitbegründer Larry Sanger von einem Schreiber beschuldigt, Artikel grundlos zu löschen. Sanger war nie richtig glücklich über die Massen von Laien, die sich am Projekt zu schaffen machten. 2002 verlor er den Machtkampf und ging. Die Massen, die er zur Mitarbeit einlud, hatten sich gegen ihn gewandt.

Resultat eines Diskurses

Wikipedia wird immer als Bibliothek bezeichnet. Diese Annahme liegt zwar nahe, ist aber falsch. Wikipedia wurde aus dem Wunsch nach Zusammenarbeit geboren. Die Website ist das Resultat eines andauernden Diskurses, ob zwei und zwei vier ergeben – die Artikel sind ja immer von allen editierbar. Sollte sich die Mehrheit eines Tages darauf einigen, dass zwei und zwei fünf geben, dann steht es so in Wikipedia.

Im Gegensatz zu Bibliotheken der Experten, die ihr Werk wie in einer Kathedrale organisieren, geht es auf Wikipedia zu wie auf dem Basar. Da wird gehandelt, und allerlei «nicht Relevantes» bekommt bei genügend Interesse plötzlich einen Wert. Auf Wikipedia gehören die Inhalte allen, ganz im Gegensatz zu traditionellen Bibliotheken. Wenn sich Schreiber aufführen wie in der Kathedrale, werden sie über kurz oder lang von den Massen zum Gehen gedrängt. Der Streit um Sanger nahm diesen Zwist schon vorweg.

© Tages-Anzeiger; 03.12.2009