Spam ist nicht nur für jeden Privatnutzer eine Plage. Für Firmen ist das auch ein Kostenfaktor und ein Sicherheitsrisiko. Firmen, die dazu eine effektive Lösung anbieten, waren lange sehr gesucht.
Postini aus Kalifornien hatte eine und wurde bald zum Star am Anti-Spam-Himmel. 1999 in Kalifornien gegründet, machte die Firma schon nach wenigen Jahren Gewinn; in Europa war sie aber lange unbekannt. Ende 2005 gründete Postini in der Schweiz eine Niederlassung und verkündete, man hätte jetzt in Genf und Zürich zwei Datacenter eröffnet. Die Amerikaner hatten zwei Schweizer Banken als Kunden an Land gezogen. 2007 schluckte Datenriese Google die Spambekämpfer für 625 Millionen Dollar. Durch die Übernahme wurden Schweizer Banken unversehens zu Kunden von Google.
Dass ausgerechnet die zwei grössten Schweizer Banken mit ihrem eigenen teuren IT-Wissen einen sicherheitsrelevanten Dienst wie die Spam-Bekämpfung ausser Haus geben und sich damit letztlich in die Hände von Google begeben, irritiert Sicherheitsexperten.
Auslagerung bedroht Sicherheit
Darunter sind solche, die für Schweizer Banken regelmässig sogenannte Audits durchführen, also Sicherheitstests, wo auch Hackerangriffe simuliert werden. Marc Ruef von der Zürcher Firma Scip sagt, dass er nur schon wegen Sicherheitsbedenken jeder Schweizer Bank raten würde, keine solchen Dienste auszulagern. Er weiss warum: Einige Banken sind spätestens seit dem Skandal der LGT aus Liechtenstein sensibilisiert. Dort hatte ein langjähriger LGT-Mitarbeiter Tausende von Kundendaten deutschen Behörden verkauft. Damit brachte er die Bank in enorme Schwierigkeiten und nahm letztlich die aktuelle Diskussion über Steuerbetrüger vorweg.
Ruef erinnert sich: «Als der LGT-Fall bekannt wurde, hatten wir einen Zürcher Bankkunden. Der dortige IT-Chef fragte sich darauf, ob ein Fall wie LGT auch bei ihm möglich sei. Er kam zum Schluss: Durchaus, und falls er das Outsourcing verwirklicht hätte, würde er womöglich nicht einmal etwas davon bemerken.» Diese Bank sei damals voll im Outsourcing-Prozess gestanden. Sie habe deshalb interne IT-Spezialisten entlassen. «Noch während des Outsourcing-Prozesses haben die das alles wieder rückgängig gemacht.»
Ruef ist kein strikter Gegner von Outsourcing, aber: «CS und UBS sind keine Kleinfirmen. Für ein KMU extra einen eigenen Server zu betreiben, das macht eher weniger Sinn. Bei einer Grossbank liegt der Fall jedoch ganz anders.»
Neben den Sicherheitsaspekten gibt es noch ein weiteres Thema: Wie sieht die Sache juristisch aus? Was passiert, wenn US-Behörden den E-Mail-Verkehr von Schweizer Banken überwachen möchten? Machen sich Schweizer Banken erpressbar, zum Beispiel, wenn die US-Steuerbehörde bei Google anklopft und den E-Mail-Verkehr überwachen möchte? Sind die Kunden dann sicher, bloss weil die Schweizer Banken bei einem rechtlich autonomen Google-Ableger in der Schweiz Kunden sind?
Vorbehalte auch bei Blackberry
Der TA fragte ausgewiesene Kenner um ihre Einschätzung. Ein Pionier im Internetrecht einer renommierten Zürcher Rechtsanwaltskanzlei gab dem TA ausführlich Antwort. Er will aus Befangenheit anonym bleiben, denn er beriet Schweizer Firmen bei Verträgen mit Postini. Der Anwalt hat die Verträge für seine Klienten geprüft und sagt: «Rechtlich ist bei Postini alles in Ordnung.» Die Verträge seien sauber, dafür könne er garantieren.
Was aber passieren könnte, wenn massiver Druck auf Google USA ausgeübt werde, sei schwierig zu beurteilen, die Unsicherheit sei da. Darum wollten etliche international tätige Schweizer Unternehmen keine Kunden von RIM sein, der Firma, die die Blackberry-Handys herstellt.
Der Grund: Letztlich sei das eine Firma aus Nordamerika, die Datenübermittlungen liefen über Nordamerika. Die Firmen befürchten, die Kontrolle über die eigene Firmenkorrespondenz zu verlieren.
Riesiger Kostendruck
Die Banken stehen unter einem enormen Kostendruck. Was nicht zum Kerngeschäft gehört, wird an spezialisierte Firmen im Bankensektor ausgelagert. Selbst einer dieser Outsourcer nimmt Google in Anspruch: die Incore Bank aus Zürich. Sie gehört zur Holding der Privatbank Maerki Baumann. Auch diese ist Kunde von Googles Spamfilter.
Die Schweizer Incore ist rechtlich eigenständig und unterstützt andere Banken bei internen Prozessen bis hin zur Hacker-Abwehr im Web. Als Incore-Chef Jack Hertach vom Google-Spam-Filter bei UBS, Crédit Suisse und Vontobel erfuhr, konnte er das erst nicht glauben: «Das ist mir absolut rätselhaft.»
Auch IT-Sicherheitschef Peter Stalder von Finnova in Lenzburg sagte auf Anfrage: «Ich bin überrascht, dass das eine Bank macht. Ich hätte ein mulmiges Gefühl.» Die Finnova unterstützt diverse mittlere Schweizer Banken im Outsourcing, darunter auch diverse Kantonalbanken.
Banken sehen keine Probleme
Auf Anfrage des TA gaben Sprecher von UBS, CS und Vontobel praktisch immer die gleiche Antwort: Die Banken sehen kein Problem. Eine dieser Banken wollte nicht einmal bestätigen, dass sie Kunde von Google ist – wegen «Sicherheitsüberlegungen».
Auch bei Google gibt man sich wortkarg. Im Detail wolle man sich nicht zu den Banken äussern, weil man sonst Vertragsverletzungen begehe, meint ein leitender Google-Angestellter aus Deutschland. Er verweist auf die zufriedenen Kunden weltweit. Als Referenz-Firma gibt er den deutschen Chemieriesen BASF an. Auf die Frage, ob in der Schweiz tatsächlich Angestellte vor Ort die Postini-Dienste unterstützen würden, oder ob das zentral aus den USA geschehe, wie der Bericht «Googles take on e-mail security» des Branchendienstes Cnet.com vom Juli 2009 nahelegt, sagt er: «Der Support findet lokal statt.»
Google-Schweiz-Sprecher Matthias Meyer bestätigte, dass in Zürich knapp 500 Personen beschäftigt seien. Wie viele für die Postini-Dienste zuständig sind, konnte er nicht sagen.
© Tages-Anzeiger; 07.12.2009