Blog

Software-Fehler bei der Bank Coop – die Behörden ermitteln

08 Jan, 2014
Xebia Background Header Wave

Panne: Mit dem Jahresendversand erhielten Kunden der Bank Coop Unterlagen von anderen Kunden. Dabei scheinen mehrere tausend Personen betroffen zu sein. Die Behörden ermitteln nun wegen Verletzung des Bankgeheimnisses.

Aufgrund eines Fehlers wurden Blog-Beiträge falsch verlinkt. Sie finden das PDF zu dem Software Development 2014 Report hier.

Am Dienstag 7. Januar traf es die Bank Coop, welche übrigens mehrheitlich der Basler Kantonalbank angehört, wohl unvermittelt. Am 8. Januar berichteten die Schweizer Medien:

20Min CoopPeinliche Panne bei der Bank Coop: Das Finanzinstitut hat zum Jahresende Kontoauszüge von einem Teil seiner Kunden an die falschen Adressen verschickt. Es könnten mehrere Tausend Personen betroffen sein, wie die Bank auf Anfrage von 20 Minuten bekannt gab......()

Verantwortlich für den Lapsus ist laut der Bank ein Programmfehler beim Jahresendversand.  

20 Minuten

Auch der Blick berichtet gekonnt über die missliche Lage und wartet mit weiteren Details auf:

Blick_CoopGabriela Motta* (29) traute gestern ihren Augen nicht: Von ihrer Bank erhielt einen Brief mit vier verschiedenen Kontoauszügen. Drei davon waren nicht für ihre Augen bestimmt. Die Bank Coop schickte Kontoabschlüsse von anderen Kunden an Frau Motta.

«Das ist schrecklich», sagt die Mutter von zwei Kindern zu Blick.ch. «Ich habe zwar meinen eigenen Auszug erhalten, aber wer kann mir jetzt versichern, dass nicht noch jemand anderer meine Konto-Daten erhalten hat?»

Besonders schockierend ist, dass die drei anderen Konto-Inhaber aus dem gleichen Dorf wie Motta kommen. «Eine Person kenne ich sogar persönlich», sagt sie. Beim Dorf handelt es sich um Hagendorn ZG, das zur Gemeinde Cham gehört.   Blick.ch

Dieser Vorfall ist sicherlich sehr bedauernswert und für viele Kunden unverständlich. Gehen wir dem Thema aus Sicht IT und Software Testing etwas näher auf den Grund.

Bank Coop steht nicht alleine da

Arbeitet man wie wir schon etwas länger in der Branche, weiss man, dass Bank Coop nicht der erste Fall ist. Bei unseren Kursen zum Thema Software Testing berichten Mitarbeitende gerne von Ihren „Greatest Hits“ bezüglich Software Fehlern in ähnlicher Form zu dem Bank Coop Fall:

  • Falsch versandte Jahresabschlüsse von Privatkunden bei Banken (Achtung: rechtliche Relevanz, da nötig für Steuererklärung)
  • Bestätigung von 3. Säule Einkäufen (auch wieder rechtlich relevant für Steuererklärung)
  • Vergütung Abrechnungen bei Medikamenten, Ärzte und Spitalaufenthalte
  • Falsche Berechnung von Konto-Saldi
  • Konto-Buchungen, welche bei falschen Personen getätigt wurden
  • ....

In den meisten Fällen merken die Kunden nicht einmal etwas. Es sei denn, er erhält selbst Post mit „Auszügen“ von anderen Personen und fragt sich dann, wohin seine versandt wurden.

Mögliche Ursachen

Mögliche Fehler (gemäss Erfahrung bei anderen Fällen):

  • Ein bestehendes Software Programm wurde (falsch) angepasst Oft entstehen solche Probleme, wenn nur kurz etwas an einem Programm geändert werden muss und der Entwickler zu wenig Zeit zum Testen hat (oder auch keine dedizierten Software Tester zur Verfügung stehen). Ein kleiner „Change Request“ als Auslöser eines grossen, evtl. massiv schädigenden Vorfalls.
  • Umstellung einer (Jahres-) End-Verarbeitung Die Jahresend-Verarbeitung gilt als eine der wichtigsten Vorgänge bei einer Bank, werden doch wichtige (und oft auch rechtlich bindende) Dokumente berechnet, erstellt und versandt. Um diesen Vorgang in den IT-System auf Korrektheit testen zu können, muss eine entsprechende Testumgebung zur Verfügung stehen (siehe auch dedizierten Punkt weiter unten). Eine Jahresend-Verarbeitung, welche übrigens hoch komplex sind, können oft nur ein Mal vollständig durchgespielt und somit getestet werden. Treten Fehler auf, gibt es keine Möglichkeit dessen Behebung mit einem erneuten Durchlauf zu testen.
  • Migration auf eine neue Software Sollte eine neue Software eingeführt oder eine alte abgelöst worden sein, so tauchen oft die altbekannten Probleme der IT-Projekte auf: Termine nicht gehalten, zu späte Lieferung und eben, zu wenig getestet. Oft sieht die oberste Führungsetage die Komplexität dieser Vorhaben nicht, und versucht mit „banalen“ Lösungen schnelle (aber risikoreiche) Ziele zu erreichen.
  • Keine oder ungenügende Software Tests In Bezug auf alle drei oben genannten Punkte wird oft ungenügend oder gar nicht getestet. Im Durchschnitt wird in IT-Projekten 15 – 20% des Projektbudgets in Software Testing investiert (Quelle: Swiss Testing Trends & Benchmark Report 2013). Oft orten Führungskräfte und Projektleiter hier vermeintliches Potential um Kosten zu sparen und gehen dabei erhebliche Risiken ein. Eine geeignete Teststrategie und einem Testpartner, der es versteht das Unternehmen auf die (nicht abgedeckten) Risiken hinzuweisen, würde hier wunder bewirken. Dabei müssen es nicht riesen Konzepte und Prozesse sein (eine aktuelle Krankheit in der IT-Szene), sondern einfache Ansätze wie „Strukturiert Exploratives Testen, SET“ (welches durch das Bundesamt für Informatik entwickelt wurde) reicht je nach Komplexität und Risikoaffinität aus.
  • Ungenügende Testumgebung Um neue Software oder auch nur kleine Änderungen in einzelnen Programmen gewissenhaft testen zu können, ist eine oder mehrere entsprechende Testumgebungen notwendig. Die entsprechenden Investitionen und Betriebskosten können je nach Grösse eines Unternehmens gerne zwei bis dreistellige Millionenbeträge darstellen. Dies verlockt gerne entsprechend zu sparen, was gleich bedeutend ist, mit erhöhte Risiken einzugehen.
  • Falsche Sortierung / Zuweisung in der Druck- und Verpackstrasse So banal wie es tönt, oft geschehen solche Versandfehler aufgrund von Problemen in der Druck- und Verpackstrasse. Im Fall der Bank Coop wird von zusätzlichen Kontoauszügen von anderen Personen im gleichen Umschlag berichtet. Ähnliche Fälle sind uns bekannt, wo die Verpackungsmaschinen einen Defekt hatten und einfach munter den Inhalt von mehreren Umschlägen in einen packten. Alternativ kann auch die Software die Zuweisung der Auszüge in die Umschläge falsch zugeordnet haben (alt bekannter Fehler bei so genannten Gruppenverarbeitungen, welcher mit guten Tests jedoch einfach gefunden wird). Interessant wäre zu wissen, ob die Bank Coop noch eine eigene Druck- und Verpackungsstrasse unterhaltet oder diese outgesourced hat (und wer dann die rechtliche Verantwortung trägt).
  • Auslagerung der IT an einen Partner Gemäss bestehender Informationen hat die Bank Coop die Bankenplattform Avaloq im Einsatz, wessen Betrieb an die Swisscom IT Service ausgelagert wurde. Bei solch einem Zusammenhang stellt sich die Frage, ob eigene Mitarbeitende der Bank den Fehler verschuldet haben oder ob der Dienstleister Swisscom IT Services allfällig bei der Parametrisierung mitgewirkt und entsprechend eine Teilschuld treffen könnte. Im grösseren Kontext muss dabei auch die Frage gestellt werden, inwiefern solche erhebliche (Reputations-) Risiken entstehen, wenn Kernsysteme in die (evtl. vollständige) externe Obhut gegeben werden.

Risikosicht der Unternehmen

Die Kunden der Bank Coop aber auch IT-Spezialisten stellen sich die Frage, ob dieser Fall hätte vermieden können. Gemäss unserer Erfahrung muss dies mit einem Ja beantwortet werden.

Das abdecken solcher Risiken ist allerdings kostenintensiv und bei der aktuellen Situation der Finanzbranche wird hier wohl gerne gespart. Entsprechend muss in der IT und im Management der Finanzbranche wohl wieder das Gespür für den Umgang mit Risiken aufgrund komplexer IT-Systeme wieder geschärft werden.

Eine detaillierte Analyse des Fehlers und wo im Prozess oder der Arbeit eines einzelnen Mitarbeiters etwas falsch lief und ob es tatsächlich hätte verhindert werden können, wird sich zeigen. Und welche Entscheidungen bei Bank Coop zu diesem Desaster geführt haben.

Questions?

Get in touch with us to learn more about the subject and related solutions