bank&compliance-Monatsbrief

Ausgabe 07/2018

Inhaltsverzeichnis

Autoren: Anja U. Kraus, Stefan Lange, Akane Otani u. a.

Cybersicherheit in Banken: Die „Hausaufgaben“ erledigen 2

News 5

Personalia 13

Termine/Impressum 14

bank&compliance-Monatsbrief • Ausgabe 07/2018 2

FACHBEITRAG

Cybersicherheit in Banken

Die „Hausaufgaben“ erledigen

In den letzten Jahren haben die Finanzdienstleister lange und sehr hart daran gearbeitet, ihr Cyberrisikomanagement zu verbessern. Der jüngste Bericht der Bank of England zeigt jedoch einen Anstieg jenes Anteils an Banken, die sagen, dass ein Cyber-angriff das Risiko sei, das sie am schwierigsten bewältigen könnten. Das liegt unter anderem daran, dass sich die Technologie in diesem Sektor rasant entwickelt und dabei noch an Tempo zunimmt. Das nutzen Kriminelle auf der Suche nach finanziellem Gewinn aus. Durch die Digita-lisierung von immer mehr Finanzprozessen werde der Weg zu kriminellen Einnahmen kürzer und die „Renditen“ wachsen, warnt das Sicherheitsun-ternehmen Palo Alto Networks. Dabei gelte es auch, die Auswirkungen eines immer komplexeren und sich weiterentwickelnden FinTech-Umfelds zu berücksichtigen.

Die Zahlungsdiensterichtlinie PSD2 zielt be-kanntlich darauf ab, die Lieferkette für viele weitere Finanzdienstleister zu öffnen. Hinzu kommt die bestehende technische Infrastruktur des Bankensektors. Die IT-Anbieter entwickeln ihre Technologie immer schneller weiter, aber selbst finanzkräftige Banken können nicht im gleichen Tempo auf immer neue Plattformen migrieren. Und schließlich ist da auch noch der „Faktor Mensch“, der mit mangelndem Prob-lembewusstsein selbst zum Risiko wird – zu-sätzlich noch beeinflusst von einem generellen

Mangel an Fachkräften und Expertenwissen im Bereich der Cybersicherheit. Damit sich etwas ändert, ist nach Meinung der Sicherheitsexperten eine Reihe von Maßnah-men erforderlich: Zunächst einmal müssten Fi-nanzdienstleister ihre komplexen digitalen Pro-zesse in Echtzeit sichtbar machen. Allzu oft gebe es eine Trennung zwischen Technologie und Geschäft. Ohne eine ganzheitliche Ausrichtung lasse sich aber nicht definieren, ob Aktivitäten im Netzwerk regulär erfolgen oder einen bösar-tigen Hintergrund haben.

© iS

tock

Phot

o.co

m/n

erud

ol

bank&compliance-Monatsbrief • Ausgabe 07/2018 3

FACHBEITRAG

Cybersicherheitsmaßnahmen bei Finanzinsti-tuten sollten schneller freigegeben werden. Der Begriff, der in diesem Zusammenhang meist fällt, ist „Agile“. Doch während DevOps-Teams heute Cloud-Computing-Ressourcen in Milli-sekunden kaufen können, würden die meisten Sicherheitsfunktionen in festen Mehrjahresver-trägen erworben. Im Bereich der Cybersicher-heit müsse berücksichtigt werden, dass eine Bank Anwendungen und digitale Dienste heute über mehrere Kanäle hinweg erstelle. Mit einem Cloud-first-Sicherheitsansatz könnten sich Ban-ken besser darauf konzentrieren, mit der digita-len Transformation Schritt zu halten.

Drittens gelte es, die Angriffsflächen zu verrin-gern. „Für Banken ist es nur allzu leicht, sehr offene, vernetzte Systeme zu nutzen, da die-se schneller und einfacher zu implementieren sind“, heißt es in dem Bericht von Palo Alto. Die Herausforderung bestehe darin, nicht zu wissen, woher das nächste Risiko kommt oder wie weit es sich auswirken könnte. Durch eine bessere Abstimmung zwischen Geschäftspro-zessen und Technologie lasse sich sicherstellen, dass stets nur der erforderliche Zugriff gewährt werde, was die Auswirkungen im Falle eines Sicherheitsvorfalls reduziere.

Auch „generelle Hausaufgaben“ werden ange-mahnt, die in den Bereich „Grundlagen guter Cyberhygiene“ fallen. Die Hälfte der in Unter-nehmen verwendeten Geschäftspasswörter in Public-Cloud-Bereichen würden schlecht defi-niert und verwaltet.

Last but not least empfehlen die Sicherheits-experten eine stärkere Automatisierung der Cybersicherheit. Angesichts der zunehmenden Vernetzung der Banksysteme sei ein klar defi-nierter Veränderungsprozess nötig, also eine „einzige Quelle der Wahrheit“, an der alle ar-beiten. DevOps-Strategien im Banken- und Fi-nanzdienstleistungsbereich bedeuteten, dass täglich oder wöchentlich Hunderte oder Tau-sende von kleinen Änderungen vorgenommen werden. Solche Modelle erfordern einen hohen Automatisierungsgrad, und Sicherheit sollte in jeden dieser Prozesse nativ eingebettet werden. Darüber hinaus sollte ein Übergang zu DevSe-cOps voll zogen werden. Dies erfordere sowohl die richtigen nativen Integrationspunkte in die digitalisierten Geschäftssysteme als auch Automatisierung, um diese in die Änderungs-prozesssteuerung zu integrieren. Die Cyber-sicherheit im Bankensektor erfordere eine au-tomatisierte Betriebsplattform und präventive Maßnahmen.

(Red.)

www.tonbeller.com | www.fico.com

Unser Fokus ist die nachhaltige Bekämpfung von Finanz- und Wirtschaftskriminalität. Wir helfen Banken, Versicherungen und Industrieunternehmen, Compliance-Pflichten zu erfüllen und Reputationsschäden zu vermeiden. Unsere Siron Anti-Financial Crime Solutions Suite umfasst ein komplettes, modulares Lösungsangebot mit hoher Funktionstiefe. Es folgt konsequent dem risikobasierten Ansatz und unterstützt alle Phasen des Compliance-Prozesses mit integrierten Lösungsmodulen: von der individuellen Gefährdungsanalyse und kontinuierlichen Risikokategorisierung über das Monitoring von Transaktionen und Verhaltensmustern bis hin zum zentralen Case Management inklusive Risiko- und Compliance-Dashboards.

FICO TONBELLER ist eine Tochtergesellschaft der Fair Isaac Corporation (FICO), dem weltweit führenden Anbieter von Predictive Analytics und Softwarelösungen für Entscheidungsmanagement.

®

• Gefährdungsanalyse• Gefährdungsanalyse• Know Your Customer• Know Your Customer• Geldwäschebekämpfung• Geldwäschebekämpfung• Verhinderung von Terrorismus- finanzierung• Verhinderung von Terrorismus- finanzierung• Tax Compliance & Reporting• Tax Compliance & Reporting

bank&compliance-Monatsbrief • Ausgabe 07/2018 5

NEWS

Geldwäsche: Bis zu 100 Mrd. Euro

Das Gesamtvolumen der Geldwäsche in Deutschland soll sich zwischen 50 und 100 Mrd. Euro jährlich belaufen. Dies berichtet die Bundesregierung in ihrer Antwort (19/3818) auf eine Kleine Anfrage der Fraktion Die Linke unter Berufung auf diverse Studien. Zur Auf-gliederung nach Sektoren, Branchen und Jahren würden keine Informationen vorliegen, so die Regierung laut einer Nachricht des Informati-onsdienstes „heute im Bundestag“ (hib Nr. 610). Unter anderem beruft sich die Bundesregie-rung auf eine Dunkelfeldstudie von Professor Dr. Kai Bussmann („Dunkelfeldstudie über den Umfang der Geldwäsche in Deutschland und über die Geldwäscherisiken in einzelnen Wirtschaftssektoren“, Martin-Luther-University Halle-Wittenberg, August 2015). Demnach be-wegt sich das gesamte Geldwäschevolumen im Finanz- und Nicht-Finanzsektor Deutschlands deutlich oberhalb der 50 Mrd. Euro und wahr-scheinlich in der Größenordnung der Schätzung der ECOLEF-Studie in Höhe von über 100 Mrd. Euro jährlich. Das Projekt ECOLEF – The Eco-nomic and Legal Effectiveness of Anti-Money Laundering and Combating Terrorist Financing – (Utrecht Univesity, 2013, S. 43) beschäftigt sich mit dem Ausmaß der Geldwäsche und organi-sierter Kriminalität über den Zeitraum 2007 bis 2009/2010. Unger et al. (2013) schätzen in der Studie das Potenzial an zu waschenden Gel-dern in Deutschland (alle Sektoren, Finanz- und Nicht-Finanzsektoren) auf 29,381 Mrd. Euro (Unger et al., 2013, Tabelle 2.3, S. 39).

Sensibilisierung für Cyber-Sicherheit

Jeder sechste Mitarbeiter würde auf eine ge-fälschte E-Mail der Chefetage antworten und sensible Unternehmensinformationen preisge-ben. Das hat eine Befragung des Bundesamts für Sicherheit in der Informationstechnik (BSI) ergeben. Informationen über Zuständigkeiten im Unternehmen, zur Zusammensetzung von Abteilungen, internen Prozessen oder Orga-nisationsstrukturen, die über das sogenannte Social Engineering gewonnen werden, sind für Cyber-Kriminelle wertvolle Grundlage zur Vor-bereitung von gezielten Angriffen auf das Un-ternehmen. „Mit den richtigen Informationen können Cy-ber-Angreifer erheblichen Schaden anrichten, etwa durch CEO-Fraud. Dabei werden E-Mails der Chefetage fingiert, in denen dazu befug-te Mitarbeiter angewiesen werden, dringliche Überweisungen hoher Geldsummen zu tätigen. Wenn der Angreifer weiß, wen er anschreiben muss und wie die Prozesse im Haus ablaufen, kann er erheblichen Druck ausüben. Die Ma-sche funktioniert, es geht dabei um Millionen-summen. Auch deswegen ist die Zahl derjeni-gen, die sensible Informationen preisgeben, viel zu hoch“, so BSI-Vizepräsident Dr. Gerhard Schabhüser.Mit Social Engineering werden menschliche Ei-genschaften wie Hilfsbereitschaft und Vertrau-en ausgenutzt, um Mitarbeiterinnen und Mitar-beiter geschickt zu manipulieren. Der Angreifer verleitet das Opfer beispielsweise dazu, ver-trauliche Informationen preiszugeben, Sicher-heitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetz-werk zu installieren. Die Sensibilisierung der Angestellten für diese Art der Betrugsversuche sollte daher eine wichtige Rolle spielen und fest

bank&compliance-Monatsbrief • Ausgabe 07/2018 6

NEWS

zum Weiterbildungskonzept eines Unterneh-mens gehören. Mehr als die Hälfte der befragten Arbeitneh-merinnen und Arbeitnehmer hören sich selbst aktiv zum Thema IT-Sicherheit am Arbeits-platz (58 Prozent) um. Gleichzeitig gaben fast 42 Prozent der Befragten an, nicht selbst aktiv zu werden. Rund 18 Prozent der Befragten ver-lassen sich darauf, dass der Arbeitgeber das Fir-mennetzwerk ausreichend absichert und dass sie selbst keine zusätzlichen Maßnahmen ergreifen müssen. Weitere 13 Prozent gehen davon aus, dass das Unternehmen sie darauf hinweist, wenn Sicherheitsmaßnahmen ergriffen werden sollten. Die übrigen Befragten informieren sich gar nicht und erhalten auch keine Informationen seitens des Arbeitgebers (10 Prozent). Auf dem Informa-tionsportal „BSI für Bürger“ werden viele prakti-sche Tipps und Empfehlungen zur „IT-Sicherheit am Arbeitsplatz“ bereitgestellt.

Strafen für Crédit Agricole

Das war ein teurer Tag für die französische Großbank Crédit Agricole: Die Europäische Zentralbank (EZB) hat gegen die Crédit Agri-cole S.A. eine Verwaltungsgeldbuße in Höhe von 4,3 Mio. € erlassen. Die Bank habe Kapi-talinstrumente ohne vorherige Genehmigung der zuständigen Behörde als Kernkapital-Inst-rumente (CET1) eingestuft, teilte die EZB mit. Die Beanstandungen beziehen sich auf mehrere Quartalsberichte aus den Jahren 2015 und 2016. Mit der gleichen Begründung müssen auch die zum Konzern gehörende Investmentbank (Cré-dit Agricole Corporate and Investment Bank) und die CA Consumer Finance Strafen in Höhe von 300.000 bzw. 200.000 € zahlen. Gegen den Be-schluss kann die Bank vor dem Gerichtshof der Europäischen Union noch Einspruch erheben.

Tesla und die Nasdaq: Fragen zur Kontrolle der US-Finanzmärkte

Nach der Ankündigung von Tesla-Chef Elon Musk, sein Unternehmen von der Börse nehmen zu wollen, stellt sich eine bohrende Frage: Wa-rum ließ die Nasdaq den Handel mit der Aktie noch mehr als eine Stunde lang weiterlaufen? Musk hatte am vergangenen Dienstag um 12:48 Uhr per Twitter gemeldet, er habe eine Finan-zierung für einen Buy-out zu einem Kurs von 420 US-$ zusammen. Das entsprach zu jenem Zeitpunkt einem Aufschlag von 16 Prozent. Da-nach kam es zu einem Ansturm auf die Aktie, bis der Handel um 14:08 Uhr ausgesetzt wurde. Doch in den 80 Minuten davor haben kaufende oder verkaufende Anleger womöglich mangels eindeutiger Informationen einen Nachteil hin-nehmen müssen. Typischerweise wird der Handel mit einer Aktie unterbrochen, wenn es kursrelevante Neuigkei-ten gibt. Im Regelfall bleibt der Handel so lange ausgesetzt, bis sich die Neuigkeit ausreichend klar herauskristallisiert hat. Andere Investoren fragen, warum die Unterbrechung um 15:45 Uhr plötzlich wieder aufgehoben wurde. Die Nasdaq-Episode ist nur ein weiteres Kapitel, das Fragen zur Kontrolle an den US-Finanzmärkten aufkommen lässt. "Wir wissen nicht, wie sich die Nasdaq darum bemüht hat, ein klareres Bild der Vorgänge zu erhalten", springt der frühere Chairman der US-Börsenaufsicht, Harvey Pitt, für die Nasdaq in die Bresche. Doch er meint auch: So etwas habe es noch nicht gegeben und sei hochproblematisch.Es geht auch nicht nur um den Entscheidungs-prozess hinter der Handelsunterbrechung. Die SEC untersucht aktuell vor allem den Wahr-heitsgehalt der Aussagen von Musk, wie das "Wall Street Journal" berichtete. Eigentlich muss eine im Nasdaq gelistete Firma über ein elekt-

bank&compliance-Monatsbrief • Ausgabe 07/2018 7

NEWS

ronisches System den Börsenbetreiber zehn Mi-nuten vor wichtigen Nachrichten informieren. Dann kann sich die Nasdaq mit dem Unterneh-men abstimmen und über eine Handelsunter-brechung entscheiden. Ein solches Vorgehen sorge für faire Regeln für die Anleger an der Börse, meinen Compliance-Experten.

Nasdaq hätte schneller handeln sollen

Doch offenbar war die Nasdaq über Musks Tweet überhaupt nicht im Bilde. Das wäre laut mehreren Händlern und Regulierungsexperten ein klarer Verstoß gegen die Regeln. Ein Tesla-Sprecher schwieg sich dazu aus, ob sein Unter-nehmen vor dem Tweet die Börse informiert hatte. Auch die Nasdaq wollte sich zu der An-gelegenheit nicht äußern. Bei einem Verstoß ge-gen die Nasdaq-Regeln droht einem Delinquen-ten eine öffentliche Maßregelung oder gar ein De-Listing. Manche meinen, die Nasdaq hätte schneller agieren sollen. Zudem seien im Ver-lauf des Tages auch noch Nachrichten durch-gesickert, wonach ein saudischer Staatsfonds ein 2 Mrd. $ schweres Paket von Tesla-Aktien erwirbt. Die Nasdaq hätte den Handel gar nicht wieder so schnell anfahren lassen dürfen, argu-mentieren deswegen andere. Früher waren Börsen einmal nicht-profitori-entierte Unternehmen, was sich in den 2000er-Jahren änderte. Deshalb habe der Druck zuge-nommen, Firmen auf die eigenen Kurszettel zu bekommen. Von daher seien die Börsenbetrei-ber inzwischen ein wenig Geiseln der Konzerne geworden, die bei ihnen gelistet seien, monie-ren Kritiker. Für den als vorbildlich geltenden US-Finanzmarkt geht es um viel. Sollten Anle-ger das Vertrauen verlieren, würde der Handel an andere Finanzplätze abwandern, erläutert Finanzprofessorin Reena Aggarwal von der Georgetown-Universität.

SWIFT-Zugang zu TIPS vom Eurosystem zertifiziert

TIPS (TARGET Instant Payment Settlement ), das harmonisierte und standardisierte Ange-bot des Eurosystems zur Verrechnung von In-stant-Payment-Überweisungen, startet am 30. November, und SWIFT ist dabei. Der Transak-tions- und Nachrichtenverkehrsdienstleister hat die Compliance-Prüfungen des Eurosystems für die Konnektivität zu TIPS bestanden und wurde nun entsprechend zertifiziert. SWIFT-Net Instant wird im November 2018 im Markt eingeführt und bietet nahtlose Konnektivität zu verschiedenen Clearing- und Settlement-Mechanismen. Die Kunden müssen also keine individuellen Verbindungen zu jedem einzel-nen System aufbauen, sondern haben über eine einheitliche Schnittstelle Zugang zu mehreren Instant-Payment-Systemen in Europa. Zunächst gilt dies für TIPS und RT 1, die vom Eurosys-tem bzw. EBA-Clearing angebotenen Sofortzah-lungsdienste. Die Nutzer können im Rahmen des Einsatzes bestehender Infrastrukturen reibungslos auf Sofortzahlungen umstellen und dabei bewährte Arbeitsabläufe beibehalten. Die SWIFT-Lösung für TIPS sei als ein zentraler Baustein für den Zugang zu ESMIG, dem künftigen „Eurosystem Single Market Infrastructure Gateway“ konzi-piert. Der nächste große Meilenstein hin zu ES-MIG werde die Konsolidierung von TARGET2 und TARGET2-Securities im Jahr 2021 sein, er-läuterte Chief Executive Alain Raes. (Red.)

http://www.swift.com/complianceservices

bank&compliance-Monatsbrief • Ausgabe 07/2018 9

NEWS

Berlin will Lösung für Iran-Zahlungsverkehr bis November finden

Nach dem Wiederaufleben der US-Sanktionen gegen den Iran hat die Bundesregierung laut eigener Einschätzung noch einige Wochen Zeit, um für die Aufrechterhaltung des Zahlungsver-kehrs Lösungen zu finden. Die US-Sanktionen im Bereich Finanzen sollen erst am 5. November greifen, wie eine Sprecherin des Wirtschaftsmi-nisteriums in Berlin erklärte. Bis dahin laufe die Suche nach Alternativen auf nationaler und eu-ropäischer Ebene. Details wollte die Sprecherin noch nicht nennen.Das Thema sei auf der Agenda, sagte ein Spre-cher des Auswärtigen Amts dazu. Es gebe unter-schiedliche Ideen, die man im laufenden Prozess aber nicht bewerten wolle. "Das Problem ist of-fensichtlich, und das Problem wird angegangen." Er betonte, es gehe bei den Bemühungen aus-schließlich darum, das Atomabkommen mit dem Iran zu erhalten. Man wolle die Finanzströme retten, weil dies der Bevölkerung im Iran zugu-tekomme. Es gehe nicht darum, "der deutschen Wirtschaft Gutes zu tun", sondern vielmehr um sicherheitspolitische Interessen Deutschlands, Europas und der Menschen in der Region. Eine Sprecherin des Finanzministeriums bekräftigte, dass gemeinsam mit den europäischen Partnern über Wege gesprochen werde. „Diese Gespräche sind in Arbeit". Über Ergebnisse könne man erst nach Abschluss der Gespräche berichten.

Hohes Entdeckungsrisiko für Steuerpflichtige

Beim automatischen Informationsaustausch über Finanzkonten (AIA) sind im September 2017 von ausländischen Behörden 1,5 Millio-

nen Datensätze nach Deutschland übermittelt worden. Der zwischen Deutschland und 49 Staaten erfolgte Austausch soll im kommenden September erneut vorgenommen werden. Dies-mal erfolge der Austausch mit insgesamt 102 Staaten beziehungsweise Gebieten, so der Infor-mationsdienst „heute im Bundestag“ über eine Stellungnahme der Bundesregierung (19/3630) zu einer Kleinen Anfrage der Fraktion der FDP. Die Bundesregierung ist demnach sehr zufrie-den mit der Zuordnung der übermittelten Da-ten zu den jeweiligen Steuerpflichtigen durch das Bundeszentralamt für Steuern. Die Ergeb-nisse lägen weit über dem Durchschnitt sonst üblicher Ergebnisse bei automatisierten Zuord-nungsläufen.Mit der Auswertung der Daten in den Lan-desfinanzbehörden soll Mitte 2020 begonnen werden. In den Datensätzen sei ein Volumen von Einkünften in Höhe von 58 Mrd. € sowie von Kontoständen in Höhe von 85 Mrd. € ent-halten. Die Daten enthielten allerdings keine Bemessungsgrundlage für die Besteuerung in Deutschland, sondern seien lediglich ein An-haltspunkt für die Veranlagung von Kapitaler-trägen aus dem Ausland und Ausgangspunkt für weitere Prüfungen. Die Bundesregierung weist darauf hin, aufgrund des Informations-austausches bestehe ein "hohes Entdeckungsri-siko für Steuerpflichtige, die nicht alle entspre-chenden Einkünfte in ihrer Steuererklärung angeben." (Textquelle: hib 569 / 2018)

Rekordwert bei mobilen Banking-Trojanern

Mobile Banking-Trojaner werden zu einer im-mer größeren Gefahr und standen im zweiten Quartal 2018 auf der Liste der Cyberbedrohun-gen ganz oben. 61.000 Installationspakete mit Modifikationen von mobilen Banking-Troja-

bank&compliance-Monatsbrief • Ausgabe 07/2018 10

NEWS

nern registrierte Kaspersky Lab zwischen April und Juni – ein neuer Spitzenwert; die Zahl hat sich gegenüber dem ersten Quartal mehr als verdreifacht. In Deutschland grassiere zudem Banking-Malware, die sich gegen stationäre Rechner richtet. Laut dem Cybersicherheitsun-ternehmen wurde in Deutschland mit 2,7 Pro-zent der höchste Anteil an attackierten Nutzern gezählt. Mobile Banking-Trojaner zielen direkt auf die mobil verwalteten Bankkonten ihrer Opfer ab. Typischerweise tarnt sich diese Malware als le-gitime App, die von arglosen Nutzern installiert wird. Statt der regulären Nutzeroberfläche der aufgerufenen Banking-App wird auf mobilen Geräten dann allerdings die Oberfläche des Trojaners angezeigt (Overlay), der so die ein-gegebenen Zugangsdaten abfangen kann. Kas-persky Lab zählte im zweiten Quartal 61.045 Ausprägungen dieses Trojaner-Typus. Etwa die Hälfte der neu entdeckten Modifikationen ent-fiel auf den Trojaner Hqwar, an zweiter Stelle stand der Trojaner Agent. Und dieser Trend werde sich fortsetzen, warnen die Experten. Um das Infektionsrisiko zu verringern, raten sie dazu, Apps nur aus sicheren Quellen, wie den offiziellen App-Stores, zu beziehen. Dazu soll-ten die Rechte überprüft werden, die von einer App eingefordert werden. Passen diese nicht zu den Aufgaben der App, kann dies auf eine Schadsoftware hindeuten. Sicherheitslösungen vor Schadsoftware und ihren Folgen sollten ge-rade für Android-Nutzer ohnehin obligatorisch sein. Darüber hinaus gilt natürlich auch auf mo-bilen Geräten die Warnung, nicht auf Links in Mails zu klicken. Außerdem sollten die Geräte nicht gerootet werden, das gebe Cyberkriminel-len grenzenlosen Zugang.

Vorwurf der Kunden-täuschung belastet Amex

Die Aktien von American Express sind an der New Yorker Börse um 2,7 Prozent gefallen und notieren damit als schwächster Wert im Dow. Im Sog von Amex gaben auch die Papiere von Visa knapp 2 Prozent nach. Hintergrund dieses Abschwungs sind Vorwürfe, die ehemalige und derzeitige Mitarbeiter von American Express er-heben. Demnach soll die Fremdwährungssparte von Amex Unternehmenskunden seit mehr als zehn Jahren mit niedrigen Umtauschgebühren geködert, dann aber die Gebühren erhöht ha-ben, ohne die Kunden zu informieren, berichten informierte Kreise. Auf diesem Wege sollten der Umsatz und die Provisionen der Mitarbeiter ge-steigert werden. Um die Gebührenänderungen bemerken zu können, hätten sich die Kunden in ihr Konto einloggen und den von American Express ge-botenen Wechselkurs mit dem Marktkurs zum Zeitpunkt der jeweiligen Transaktion verglei-chen müssen. American Express teilte mit, man habe mit den meisten der betreffenden Kunden keine vertraglichen Vereinbarungen bezüglich der Gebühren. Zudem gebe es Schulungen und Kontrollmechanismen. Daher glaube man, dass die Transaktionen fair und transparent abge-rechnet worden seien, sagte eine Unterneh-menssprecherin.

Weniger Beschwerden über Anlageberater

Im Mitarbeiter- und Beschwerderegister der Bundesanstalt für Finanzdienstleistungsauf-sicht (BaFin) werden aktuell 129.034 aktiv tä-

bank&compliance-Monatsbrief • Ausgabe 07/2018 11

NEWS

tige Anlageberater geführt. Das berichtet der Informationsdienst „heute im bundestag“ (hib 548) im Bezug auf eine Kleine Anfrage der FDP-Fraktion im Bundestag. Über diese Berater seien im Zeitraum von November 2012 bis Ende Juni 2018 insgesamt 34.925 Beschwerden eingegan-gen, so die Antwort der Bundesregierung. Der Höchststand der Beschwerden lag demnach im Jahr 2013 mit 9.720 Beschwerden, seither sei die Zahl immer weiter zurückgegangen. Im Jahr 2017 waren es noch 4.353. Die BaFin ver-hängte in diesem Zusammenhang Bußgelder in Höhe von zusammen 138.000 €. Laut Antwort der Bundesregierung wurde es bisher nicht not-wendig, Anlageberatern ihre Tätigkeit zu unter-sagen.

Betrugsanklage gegen Barclays soll wieder-belebt werden

Die britische Anti-Betrugsbehörde Serious Fraud Office (SFO) will eine Betrugsanklage gegen das Finanzinstitut Barclays wieder auf-greifen. Erst im Mai hatte der Strafgerichtshof Crown Court eine entsprechende Klage des SFO im Zusammenhang mit Kapitalspritzen katarischer Investoren noch abgewiesen. Nun habe das SFO Klageschriften gegen die Barclays plc und die Barclays Bank plc eingereicht, um sämtliche Anklagepunkte wieder in Kraft zu setzen, teilte die britische Bank mit.Die SFO hatte im Juni vergangenen Jahres Er-mittlungen wegen Betrugsverdacht gegen die Bank und vier frühere Top-Manager aufgenom-men, darunter auch den damals amtierenden CEO John Varley. Unter die Lupe genommen wurden dabei Kapitalspritzen aus Katar im Jahr 2008, mit deren Hilfe die britische Bank die Fi-nanzkrise ohne Unterstützung der britischen

Steuerzahler überstehen konnte – im Unter-schied zu Wettbewerbern wie Lloyds oder der Royal Bank of Scotland. Barclays hatte dem Emirat Katar kurz vor der zweiten Kapitalerhö-hung einen Kredit über 3 Mrd. US-$ gewährt. Später kam die Vermutung auf, dass dieses Geld in Form von Finanzspritzen an die Bank zurückgeflossen sein könnte.

ADR-Verstöße kosten 75 Mio. Dollar

Verstöße in der Handhabung von Hinterle-gungsscheinen (American Depositary Receipts, kurz ADR) haben der Deutschen Bank eine Stra-fe in den USA eingebracht. Wie die US-Börsen-aufsicht SEC mitteilte, zahlen zwei Tochtergesell-schaften der Deutschen Bank zusammen knapp 75 Mio. US-$, um die Vorwürfe beizulegen.Die SEC beschuldigt die Deutsche Bank, unzu-lässigerweise von bestimmten ADR-Transaktio-nen profitiert zu haben. Wie die Behörde weiter mitteilte, werden die Vorwürfe von den beiden Gesellschaften weder bestritten noch zugegeben. American Depositary Receipts sind US-Wertpa-piere, die ausländische Aktien repräsentieren. Die SEC hat eine branchenweite Untersuchung durchgeführt.

Schutz Kritischer Infra-strukturen gemeinsam intensivieren

Bislang gab es in Deutschland keine IT-Sicher-heitsvorfälle, die eine Versorgung der Bevölke-rung gefährdet hätten. Diese positive Bilanz zieht Arne Schönbohm, Präsident des BSI (Bundesamt für Sicherheit in der Informationstechnik.) Das

bank&compliance-Monatsbrief • Ausgabe 07/2018 12

NEWS

soll natürlich auch so bleiben. Beispielhaft da-für hat das BSI nun mit dem Land Berlin einen engeren Austausch und mehr Zusammenar-beit in Fragen der Cyber-Sicherheit vereinbart, damit speziell die Kritischen Infrastrukturen wie Strom- und Wasserversorgung, Zugang zu Telekommunikationsdiensten oder auch Bar-geldversorgung gesichert sind. Angesichts einer „dynamischen Gefährdungslage“, so der Amts-chef, dürfe die Gesellschaft nicht nachlassen, die Bemühungen um eine stabile und erfolgrei-che Cyber-Abwehr zu verstärken. Als nationale Cyber-Sicherheitsbehörde unterstützt das BSI die Länder und stellt ihnen Know-how und Dienst-leistungen zur Verfügung. Konkret stehen auf der Absichtserklärung Punkte wie der Austausch zu Prozessen des IT-Krisenmanagements und der Prävention von Cyber-Angriffen, die Stärkung der Resilienz bestehender IT-Lösungen zum Beispiel durch Web-Checks oder Penetrationstests, gegenseitige

Hospitationen von Mitarbeitern beider Behörden sowie qualifizierte Aus- und Weiterbildungs-maßnahmen. Außerdem soll die IT-Sicherheit in der Wirtschaft im Rahmen der Allianz für Cyber-Sicherheit (ACS) gestärkt werden. Die Berliner Senatsverwaltung will als Multiplikator der ACS deren Ziele verstärkt kommunizieren, geplant sind zum Beispiel gemeinsame Veranstaltungen und Informationskampagnen, von denen spe-ziell kleine und mittelständische Unternehmen profitieren.Für Schönbohm ist die künftig noch engere Zu-sammenarbeit mit dem Land Berlin ein wichtiger Schritt zur Sicherung des Standorts Deutschland. Berlins Innensenator Andreas Geisel sagte dazu, Cyber-Bedrohungen machten nicht an Länder-grenzen halt, deshalb seien Eifersüchteleien zwischen den Ländern und dem Bund fehl am Platz. Den Cyber-Raum zu schützen und wider-standsfähige Infrastrukturen zu stärken sei eine gesamtstaatliche Aufgabe.

8. bis 11. Oktober 2018, in den Räumen der Bank-Verlag GmbH in Köln

www.compliance-fachtagung.de

Geldwäschebeauftragte/r (GWB) für Kreditinstitute

Zertifikatslehrgang

Jetzt

anmelden

bank&compliance-Monatsbrief • Ausgabe 07/2018 13

PERSONALIA

Verstärkung für die Praxisgruppe

Steuer- und Wirtschafts-strafrecht

PwC Legal baut seine Praxisgruppe für Steuer- und Wirtschaftsstrafrecht am Standort Frank-furt wieder auf. Durch personelle und organi-satorische Veränderungen war dieser Bereich im Frankfurter Büro seit 2016 nicht besetzt, die Beratung wurde federführend durch das Düsseldorfer Büro übernommen. Jetzt konnte Dr. Thorsten Zumwinkel, der die Praxisgruppe leitet, drei Neuzugänge in dem nun elfköpfigen Team begrüßen, das an den Standorten Düssel-dorf, Berlin, München und Frankfurt agiert. Die neuen Experten waren bislang alle für die Kanz-lei White & Case LLP in Frankfurt tätig.

Tobias Gans (35) steigt als Senior Manager bei PwC Legal ein, was dem Status eines Salary Partners in anderen Kanzleien entspricht. Gans war seit 2012 als Rechtsanwalt mit dem Schwer-punkt Wirtschaftsstrafrecht bei White Case tä-tig, hat dort unter anderem unternehmensinter-ne und forensische Ermittlungen koordiniert, sich um den Aufbau und die Überwachung von Compliance-Management-Systemen geküm-mert und zu internationalen Sanktions- und Embargobestimmungen beraten.

Dr. Jan-Lieven Stöcklein (37) kommt ebenfalls als Senior Manager und war bislang im Bereich Wirtschaftsstrafrecht tätig. Sein Schwerpunkt lag dabei auf dem Kapitalmarktstrafrecht und der Korruptions- und Geldwäschebekämpfung. In dieser Rolle hat er unternehmensinterne Untersuchungen geleitet, die Vertretung ge-genüber Ermittlungsbehörden und Gerichten übernommen und zur Implementierung und Verbesserung von Compliance-Management-Systemen beraten.

Christina Hüschemenger (38), Steuerberaterin und Fachanwältin für Steuerrecht, hat sich bei der Vorgängerkanzlei zuletzt als Local Partner auf die Prozessführung bei Finanzbehörden und Finanzgerichten, die steuerliche Beratung bei Unternehmensumstrukturierungen und -sanierungen, aber auch die Begleitung steu-erstrafrechtlicher Situationen spezialisiert. Sie steigt als Senior Managerin bei der Pricewater-houseCoopers GmbH Wirtschaftsprüfungsge-sellschaft ein und wird u. a. das Team der PwC Legal im Bereich des klassischen Steuer- und Zollstrafrechts unterstützen.

bank&compliance-Monatsbrief • Ausgabe 07/2018 14

TERMINE / IMPRESSUM

Termine

Intensivseminar „Bankaufsichtliche Anforderungen an die IT (BAIT)“ Termin: 29. August 2018 Ort: Köln

Webinar „Brexit ante portas: Implikationen für Vertrags-wesen, Recht und Markt“Termin: 30. August 2018

Intensivseminar „Risikotragfähigkeit, ICAAP und ILAAP – To Dos für Less Significant Institutions“ Termin: 3. September 2018 Ort: Köln

Fachkonferenz „Drittdienstleisterschnittstelle und Starke Kundenauthentifizierung – Anforderungen der Aufsicht und Umsetzung in die Praxis“ Termin: 4. September 2018 Ort: Köln

Zertifikatskurs „Datenschutzbeauftragter für Kreditinstitute“Termin: 6. bis 7. September 2018

Intensivseminar „CRR II und Basel IV” Termin: 18. September 2018 Ort: Köln

Intensivseminar „Datenschutz-Reformen für Kreditinstitute 2018” Termin: 19. September 2018 Ort: Köln

1. Forum BankaufsichtsrechtTermin: 26. September 2018 Ort: Köln

Fachtagung Wertpapier-ComplianceTermin: 27. September 2018 Ort: Köln

Erscheinungsweise: 10 x jährlichDer nächste bank&compliance-Monatsbrief 08-2018 erscheint in der KW 40.

ISSN: 2195-4488 Kein Teil dieser Zeitschrift darf ohne schriftliche Genehmigung des Verlags vervielfältigt werden. Unter dieses Verbot fallen insbesondere die gewerbliche Ver-vielfältigung per Kopie, die Aufnahme in elektronische Datenbanken und die Verviel-fältigung auf Datenträgern. Die Beiträge sind mit größtmöglicher Sorgfalt erstellt, die Redaktion übernimmt jedoch kein Gewähr für die Richtigkeit, Vollständigkeit und Aktualität der abgedruckten Inhalte. Mit Namen gekennzeichnete Beiträge geben nicht unbedingt die Meinung des Herausgebers wieder. Empfehlungen sind keine Aufforderungen zum Kauf oder Verkauf von Wertpapieren sowie anderer Finanz- oder Versicherungsprodukte. Eine Haftung für Vermögensschäden ist ausgeschlossen. Für die Inhalte der Werbeanzeigen ist das jeweilige Unternehmen oder die Gesellschaft verantwortlich. Die Redaktion stützt sich neben der Eigenberichterstattung auch auf international tätige Journalisten, insbesondere der Nachrichtenagentur Dow Jones News GmbH. Meldungen werden mit journalistischer Sorgfalt erarbeitet. Für Ver-zögerungen, Irrtümer und Unterlassungen wird jedoch keine Haftung übernommen.

Verlag und Redaktion: Bank-Verlag GmbH Postfach 450209, 50877 Köln Wendelinstraße 1, 50933 Köln

Tel. 0221/54 90-0 Fax 0221/54 90-315 E-Mail: medien@bank-verlag.de

Geschäftsführer: Wilhelm Niehoff (Sprecher) Michael Eichler Matthias Strobel

Objektleitung: Bernd Tretow

Layout & Satz: Cathrin Schmitz Tel. 0221/54 90-132 E-Mail: cathrin.schmitz@ bank-verlag.de

Mediaberatung: Tel. 0221/54 90-0 E-Mail: medien@ bank-verlag.de

Redaktion: Anja U. Kraus Tel. 0221/54 90-542 E-Mail: anja.kraus@ bank-verlag.de

Impressum

Zertifikatslehrgang „Geldwäschebeauftragte/r (GWB) für Kreditinstitute”Termin: 8. bis 11. Oktober 2018 Ort: Köln

Intensivseminar „Risikomanagement und Risikoanalyse für Geld-wäschebeauftragte“ Termin: 9. Oktober 2018 Ort: Köln

Intensivseminar „Rechtliche Risiken in der Abwehr von Geld-wäsche und Terrorismusfinanzierung“ Termin: 10. Oktober 2018 Ort: Köln