9. April 2018

Financial Crime

Betrugsfall bei der Punjab National Bank

Betrugsfall bei der Punjab National Bank

Von Jean-Claude Rochat

Ein berühmter Indischer Juwelier betrügt die Punjab National Bank um 2 Milliarden US-Dollar. Wie konnte es dazu kommen?

Am Valentinstag 2018, als die Punjab National Bank (PNB) zu einer Pressekonferenz einlud, fühlte sich CEO Sunil Mehta nicht so, als ob er einer Geliebten Rosen schenken würde. Das Unternehmen teilte mit «einige betrügerische und nicht autorisierte Transaktionen in einer Filiale in Mumbai entdeckt zu haben». Die Presseerklärung sandte eine Schockwelle durch den Markt, der Kurs der PNB-Aktie fiel um beinahe 10%. Noch mehr als die Börsenreaktion erregten das Ausmass der betrügerischen Handlungen sowie die beteiligten Personen die öffentliche Aufmerksamkeit. Das Verlustrisiko betrug 2 Milliarden US-Dollar und der mutmassliche Hauptschuldige war kein geringerer als Nirav Modi, ein Juwelier, der Hollywood- und Bollywood-Schauspieler ausgestattet hat, unter anderem die Schauspielerin Kate Winslet und Priyanka Chopra, eine indische Schauspielerin, Sängerin, Filmproduzentin, Philanthropin und Gewinnerin des Miss World 2000-Wettbewerbs. Modi (47) stand im Jahr 2017 als Nummer 85 auf der Forbes Liste der reichsten Menschen Indiens und war davon einer der jüngsten.

Was ist passiert?

Zum Zeitpunkt dieses Schreiben sind noch nicht alle Einzelheiten des mutmasslichen Betrugs bekannt oder wurden vermutlich noch gar nicht entdeckt. Soweit es diesen Blogeintrag betrifft, ist es gar nicht so wichtig; ich möchte hier einige interessante Punkte hervorheben, die weitere Diskussionen anregen sollen.

Kurz gesagt, Nirav Modi und weitere Mitglieder seiner Familie stehen unter Verdacht, ab 2011 zusammen mit einem ehemaligen PNB-Verantwortlichen betrügerisch Finanzmittel für die verschiedenen Unternehmen der Gruppen Modi und Gitanjali erschlichen zu haben. Die Unternehmensgruppen befinden sich im Besitz von Modis Onkels Mehul Choksi. Da Bankverbindungen bereits früher bestanden, erhöhte die PNB Kreditlimiten der Gruppengesellschaften, und ausländische Institute erhielten Garantien im Rahmen von Handelsgeschäften, auf deren Grundlage weitere Finanzierungsquellen erschlossen wurden.

Der auf dem Spiel stehende Betrag soll 1,8 Milliarden US-Dollar betragen.

Wie wurde der Betrug entdeckt?

Der involvierte PNB-Hauptverantwortliche, Gokulnath Shetty, trat im Mai 2017 in den Ruhestand. Im Januar 2018 beantragten die Modi und Gitanjali Gruppen eine Krediterhöhung bei der PNB. Die Anfrage veranlasste die Bank, die Geschäftsbeziehungen und den Transaktionsverlauf detaillierter zu prüfen. Dabei seien, laut der von der PNB eingereichten Beschwerde, Beweise für einen Betrug gefunden worden.

Was lief schief?

Im Fokus steht ein SWIFT-Missbrauch. Die beschuldigten PNB-Mitarbeiter nutzten angeblich einen Fehler in der Architektur aus, die SWIFT an die internen Prozesse bindet. Sie bedienten sich jener Schwachstellen, die es im Februar 2016 Hackern erlaubten, durch das Senden gefälschter Nachrichten über das SWIFT Interbanken Nachrichtensystem der Bangladesch Bank (Zentralbank) 81 Millionen US-Dollar zu erbeuten.

Ein weiterer Fokus liegt auf der Gewährung von Krediten, obschon klar war, dass die Kreditnehmer nicht in der Lage oder nicht willens sein würden, diese zurückzuzahlen. Im indischen Rechtssystem handelt es sich dabei um «betrügerische Kreditvergabe».

Warum lief es schief?

Die Kollusion zwischen den Hauptkreditnehmern und dem PNB-Verantwortlichen hat den Betrug wohl erst möglich gemacht. Es scheint klar, dass der PNB-Verantwortliche innerhalb der Bank die Kontrollmechanismen ausser Kraft setzen konnte.

Interessant ist jedoch der SWIFT-Missbrauch. Es scheint, dass die Schwachstelle, die den Cyberangriff auf die Zentralbank von Bangladesch ermöglichte, im indischen Bankensystem endemisch ist.

Angegangenen Quellen zufolge war die für die Aufsicht zuständige indische Zentralbank, die Reserve Bank of India (RBI), besorgt über potenzielle Mängel in diesem Bereich und warnte deshalb im August 2016 alle indischen Kreditgeber mit einem vertraulichen Rundschreiben. Sie sollten sicherstellen, dass die interne Software (Core Banking Solution CBS) ordnungsgemäss in SWIFT integriert ist. Im November desselben Jahres versandte die RBI ein noch stärkeres, ebenfalls vertrauliches Rundschreiben, in dem unter anderem von «dezentralen» Geschäften die Rede ist, welche die Einhaltung der Compliance bei einer hohen Anzahl von SWIFT-Benutzerkennungen bei Banken verhindern. Dies erhöhe das Missbrauchsrisiko, gab sich die RBI besorgt. Im Februar 2017 forderte die RBI die Banken auf, ihre Einschätzung der Überprüfung ihrer SWIFT-Nachrichten vorzulegen, insbesondere im Zusammenhang mit Handelsfinanzierungen, um sicherzustellen, dass die zugrunde liegenden Transaktionen „echt“ seien.

Wer hat versagt?

Aufgrund der bekannten Sachlage muss es zu einer Kette von Fehleinschätzungen gekommen sein, die die Auszahlung der nicht autorisierten Gelder ermöglichte. Bei näherer Betrachtung würde ich zu folgenden Schlüssen kommen:

  • Erste Verteidigungslinie – Unternehmensführung: Leitende Angestellte haben wahrscheinlich den Genehmigungsprozess ausser Kraft gesetzt.
  • Zweite Verteidigungslinie – Kontrollfunktionen: Es ist möglich, dass die fraglichen Transaktionen bei der Überwachung durch die Kontrollfunktionen nicht verdächtig erschienen. Ein weiteres Element, das diese These stützt, wäre der prominente Charakter der Kreditnehmer, unter anderem ein Milliardär und eine in Indien bekannte Persönlichkeit.
  • Dritte Verteidigungslinie – Internes Audit: Es ist schwierig, eine Erklärung für die scheinbare Fehlleistung des Internen Audits zu finden. Mit der Anwendung eines risikobasierten Ansatzes hätte es wahrscheinlich die Risikopositionen und das Transaktionsvolumen identifiziert und geprüft. Tatsächlich kritisierte der indische Finanzminister, Arun Jaitley, die internen und externen Prüfer scharf, weil sie den seit sieben Jahren andauernden Betrug nicht aufgedeckt hatten.
  • Externes Audit – Dies gilt ebenso für die externe Audit-Funktion. Während externe Prüfer in erster Linie nicht verpflichtet sind, einen Betrug zu erkennen, sollten sie doch Anzeichen dafür erkennen. Die anfallenden Kosten werden wahrscheinlich dazu führen, dass die Rolle der Prüfer sowie die damit verbundenen Prozesse und Kontrollen überprüft werden. Kollusion und möglicherweise gefälschte oder manipulierte Dokumente hätten jedoch auch die externen Prüfer in die Irre führen können.

Es ergeben sich weitere interessante Aspekte, einschliesslich der Rollen der Geschäftsleitung, des Verwaltungsrats und der Aufsichtsbehörde (RBI). Darüber hinaus ermöglichte die Überprüfung einen Einblick in den besonderen Aufbau des indischen Bankensystems mit seinen 21 verstaatlichten Banken, dem hohen Anteil an notleidenden Krediten, einschliesslich weit verbreitet scheinender betrügerischer Kredite, sowie der scheinbaren Instrumentalisierung verstaatlichter Bankinstitutionen als Mittel, um politische Ziele zu erreichen.

Daraus resultierend könnten die Anfälligkeit des indischen Finanzsystems und seine offensichtlich schwache Widerstandsfähigkeit gegenüber grossen Schocks Anlass zur Sorge für die Stabilität des internationalen Finanzsystems geben. In diesem Zusammenhang war ich überrascht von dem offensichtlichen «low profile» der RBI, mit ihren nur zwei offiziellen Kurzmeldungen am 16. und 20. Februar 2018 (tatsächlich machte mich die erste sehr kurze RBI-Pressemitteilung vom 16. Februar im Rahmen meines „regulatorischen Screenings“ auf dem Betrug aufmerksam – in der hiesigen Presse habe ich fast keine Berichte darüber gelesen).

Ich würde Ihre Ansichten zu dieser Beurteilung begrüssen.

Übrigens ist Nirav Modi angeblich nicht mit Indiens Premierminister Narendra Modi verwandt, obwohl beide am WEF 2017 in Davos sehr nahe beieinander waren.

Quellen:

  • Bloomberg
  • CNN
  • Asian Legal Business
  • Reserve Bank of India
  • India’s Business-Standard
  • India’s First Post
  • India West
  • Hindustan Times

Autor: Andreas Sascha Müller

Andreas Sascha Müller ist Doktorand an der University of Liverpool und verfasst eine anwendungsorientierte Arbeit darüber, wie die Cyber- und Information Security Awareness in einer Organisation erhöht werden kann. Er blickt auf 19 Jahre Berufserfahrung in der Unternehmensberatung, IT-Audit und Risk Excellence in der Life Science Industrie und in der öffentlichen Verwaltung zurück. Unter anderem war er mehrere Jahre auf der Stufe Bundesrat und bei Ernst & Young als Berater und Prüfer tätig. Im Jahr 2012 schloss er an der Hochschule Luzern den MAS Economic Crime Investigation erfolgreich ab.

Kommentare

0 Kommentare

Kommentar verfassen

Danke für Ihren Kommentar, wir prüfen dies gerne.