Wie FinCEN zum Honeypot für sensible personenbezogene Daten wurde

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining


Wenn die Bankgeschäfte einer despotischen Regierung durchgesickert sind, können auch Ihre durchgesickert sein.

Dies ist möglicherweise die am meisten übersehene und dennoch beunruhigende Auswirkung des jüngsten Datendumps von mehr als 2.000 SARs (Misstractive Activity Reports), die von Finanzinstituten beim US-amerikanischen Financial Crimes Enforcement Network (FinCEN) eingereicht wurden.

Eine Ermittlungsserie von BuzzFeed News, bekannt als FinCEN Files, konzentrierte sich auf die Art und Weise, wie Großbanken SARs verwendeten, um die Haftung für potenziell illegale Transaktionen zu vermeiden. Das Leck wirft jedoch viel größere Fragen zum Datenschutz auf: Welche personenbezogenen Daten enthalten SARs, wie lange werden sie aufbewahrt und werden sie von der Regierung wirklich geschützt?

CoinDesk befragte zahlreiche Anwälte und Compliance-Experten, darunter einen ehemaligen FinCEN-Mitarbeiter, und keiner konnte konkrete Angaben dazu machen, wie lange SAR-Daten von der Regierung aufbewahrt werden. Die Mehrheit bezweifelte, dass die Informationen jemals tatsächlich gelöscht wurden.

Insgesamt zeichneten die Gespräche ein Bild einer unterbesetzten Agentur, die auf einem riesigen Datenbestand saß. Da Finanzinstitute lediglich große oder potenziell verdächtige Transaktionen melden müssen, sammeln sie auch Daten von Personen, die keine Straftat begangen haben.

"Sie haben persönliche, private Informationen in einer Datenbank und Verhaltensvorwürfe", sagte Melissa G.R. Goldstein, ehemaliger Rechtsanwalt-Berater bei FinCEN und jetzt Special Counsel bei der Finanzkanzlei Schulte Roth & Zabel. "Nur weil jemand in einer SAR genannt wird, heißt das nicht unbedingt, dass er sich eines Verbrechens schuldig gemacht hat."

FinCEN antwortete nicht auf mehrere Interviewanfragen für diesen Artikel oder auf eine Liste von Fragen, die Datensicherheitsverfahren enthielten und wie lange ein SAR- oder Währungstransaktionsbericht (CTR) in seiner Datenbank aufbewahrt wird.

Dragnet

FinCEN wurde 1990 gegründet und ist für die Verhütung und Aufdeckung von Geldwäsche verantwortlich. Dies bedeutet, dass eine gigantische Datenbank mit SARs geführt wird, die detaillierte Dokumentationen über mutmaßliche Fälle von Geldwäsche oder Betrug enthält.

Die ursprüngliche Mission von FinCEN bestand laut der Website des Finanzministeriums darin, "ein regierungsweites Netzwerk mit Informationen und Analysen aus mehreren Quellen bereitzustellen, um die Aufdeckung, Untersuchung und Verfolgung von nationaler und internationaler Geldwäsche und anderen Finanzverbrechen zu unterstützen". Durch den US-Patriot Act von 2001 wurde es zu einem Büro des Finanzministeriums, und die Eindämmung der Terrorismusfinanzierung wurde zu einem wichtigen Bestandteil seiner Zuständigkeit.

SARs sollen alles dokumentieren, was eine Bank für ungewöhnlich hält. Und wenn sie eingereicht werden, enthalten sie detaillierte Details zu einer Person.

Vanessa Williams, Chief Compliance Officer bei CrossTower, einem Betreiber für den Austausch digitaler Vermögenswerte, sagte in einem Telefoninterview, dass diese Dateien „Name, Adresse, Geburtsdatum, Sozialversicherungsnummer und eine Beschreibung der mutmaßlichen Aktivität enthalten. Wenn Indizien vorliegen, werden Sie aufgefordert, diese anzugeben, einschließlich beruflicher Informationen. "

Lesen Sie mehr: „Digitale Söldner“: Warum Blockchain Analytics-Unternehmen Datenschutzanwälte besorgt haben

Diese Informationen werden von allen Beteiligten gesammelt, sowie Details wie Pass- oder Führerscheinnummern, relevante Daten und die Codes, unter die die verdächtige Aktivität fällt.

In den USA muss eine SAR eingereicht werden, wenn beispielsweise Insiderhandel vermutet wird oder potenzielle Geldwäsche oder Verstöße gegen das Bankgeheimnisgesetz vorliegen. Der Nachweis von Computer-Hacking oder eines Kunden, der ein nicht lizenziertes Gelddienstleistungsgeschäft betreibt, erfordert ebenfalls automatisch eine SAR.

Aber auch potenziell harmlose Transaktionen könnten aufgezeichnet werden. Jede Bareinzahlung von 10.000 USD oder mehr löst eine CTR aus, die bei FinCEN eingereicht werden muss, und kann mit einer SAR gekoppelt werden, wenn ein Bankangestellter dies für verdächtig hält. Banken müssen eine SAR einreichen, wenn sie eine verdächtige Transaktion mit 5.000 USD oder mehr feststellen. Es ist ein Verbrechen, eine Einzahlung so in kleinere Beträge aufzuteilen, dass die CTR-Schwelle nicht überschritten wird. Eine Klickrate enthält persönliche Informationen wie Sozialversicherungs- und Führerscheinnummern.

Es gab Diskussionen über die Erhöhung des Geldbetrags, der eine Klickrate auslöst, aber Rechnungen wie das 2018 eingeführte Gesetz zur Terrorismusbekämpfung und unerlaubte Finanzierung, das die Schwelle von 10.000 USD auf 30.000 USD angehoben hätte, wurden nicht bestanden. In der Gesetzesvorlage wurde auch vorgeschlagen, den Schwellenwert für die Einreichung einer SAR von 5.000 USD auf 10.000 USD anzuheben.

Tatsächlich versucht FinCEN, sich in die entgegengesetzte Richtung zu bewegen, um eine gleichmäßige Erfassung zu erreichen Mehr Daten. Es wurde vorgeschlagen, den Schwellenwert „Reiseregel“ zu senken, den Transaktionsbetrag, zu dem Banken Geldtransferinformationen sammeln und speichern müssen. Wie CoinDesk berichtete, würde sein Vorschlag das Minimum von 3.000 USD auf 250 USD für alle Überweisungen reduzieren, die die USA verlassen.

BuzzFeed behauptete unterdessen, dass die Einreichung von SARs Finanzinstituten eine „nahezu Immunität“ verschaffte, die weiterhin Gebühren für Geldbewegungen, die an zwielichtige Charaktere gebunden waren, erleichterte und vor allem eintreibe, selbst nachdem die Aufsichtsbehörden darauf hingewiesen worden waren.

Die durchgesickerten Dateien von BuzzFeed zeigten, dass, obwohl in einigen Fällen mehrere SARs eingereicht wurden, keine Maßnahmen gegen Banken oder die Personen oder Organisationen ergriffen wurden, auf denen die SARs basierten.

Lesen Sie mehr: Das Web wurde nicht für den Datenschutz entwickelt, aber es könnte sein

"Einige Banken behandeln SARs als eine Art Karte, mit der sie nicht aus dem Gefängnis entlassen werden können. Sie melden Warnungen über eine Vielzahl von Transaktionen, ohne sie tatsächlich zu stoppen", berichtete BuzzFeed.

Laut Angaben der Agentur hat FinCEN von 2011 bis 2017 mehr als 12 Millionen SARs aus einer Vielzahl von Branchen erhalten. Allein im Jahr 2019 wurden 2 Millionen oder fast 5.500 pro Tag verschickt. Diese Berichte müssen von den Banken fünf Jahre lang aufbewahrt werden, nachdem sie gemeldet wurden.

"Ich glaube nicht, dass die Vorratsdatenspeicherung auf Regierungsebene ernsthaft in Betracht gezogen wird", sagte Michael Yaeger, ein Aktionär der Anwaltskanzlei Carlton Fields, der sich auf behördliche Ermittlungen und Fragen der Cybersicherheit konzentriert. "Sie geben an, wie lange sie es auf Bankebene aufbewahren, die Regierung jedoch nicht. Es ist nicht die Gewohnheit, Daten zu zerstören. "

Zwischen einem Felsen und einer harten Stelle

Die Mission von FinCEN ist es, Daten zu erfassen und zu verbreiten. Im Jahr 2012 nahm FinCEN alle seine Daten, einschließlich der in SARs enthaltenen persönlichen Daten, und machte sie elektronisch und durchsuchbar, was bedeutet, dass Strafverfolgungsbehörden mit Berechtigungsnachweis nach der Sozialversicherungsnummer oder dem Namen einer Person anhand enger oder breiter Parameter suchen und alle relevanten Daten abrufen können zu ihnen. Die Datenbank enthält laut FinCEN Details aus 300 Millionen Berichten.

Goldstein war Teil des Teams, das diesen Übergang gegen Ende ihrer Amtszeit bei FinCEN von 2009 bis 2013 überwachte.

Nach der Inbetriebnahme des BSA-E-Filing-Systems im Jahr 2013 konnten Banken SARs digital einreichen und dies auch. Strafverfolgungsbeamte mit Zugangsdaten können sich auch anmelden und nach Sozialversicherungsnummer, Name, Datum und Postleitzahl suchen. Sie könnten auch ihre Suchparameter eingrenzen, um bestimmte Berichte und Informationen zu erhalten.

Goldstein sagte, FinCEN stecke an einem schwierigen Ort fest, weil seine Mission darin bestehe, "Informationen zu sammeln, zu analysieren und an Strafverfolgungsbehörden und Aufsichtsbehörden weiterzugeben".

Lesen Sie mehr: Cory Doctorow: Das Monopoly Web ist bereits da

Auf seiner Website beschreibt FinCEN die Vorteile, die die Strafverfolgung aus den gesammelten Finanzdaten zieht:

„In Kombination mit anderen Daten, die von den Strafverfolgungsbehörden und den Geheimdiensten gesammelt wurden, unterstützen die FinCEN-Daten die Ermittler bei der Verknüpfung der Punkte bei ihren Ermittlungen, indem sie eine umfassendere Identifizierung der jeweiligen Subjekte mit Informationen ermöglichen, wie z. B.: Persönlichen Informationen; bisher unbekannte Adressen; Unternehmen und persönliche Vereinigungen; Bankmuster; Reisemuster; und Kommunikationsmethoden. "

Es werden auch zahlreiche erfolgreiche Fälle aufgelistet, in denen seine Daten verwendet wurden.

Bei FinCEN gibt es eine Gruppe von Personen, deren Aufgabe es ist, alle Anmeldeinformationen, jede Suche, die von diesen Anmeldeinformationen durchgeführt wird, und andere Aktivitäten zu durchsuchen. Und theoretisch sollen nur wenige Personen aus jeder US-Staatsanwaltschaft Zugang zum System haben. Diese internen Vorsichtsmaßnahmen verhindern jedoch nicht, dass Daten von schlechten Akteuren gehackt oder durchgesickert werden. Seit 2017 sind drei hochkarätige SAR-Lecks aufgetreten.

"Es steht außer Frage, dass jede zentrale Stelle, die Daten speichert, als Honeypot angesehen wird", sagte Angela Angelovska-Wilson, Mitbegründerin von DLx Law und ehemalige Chief Legal and Compliance Officer des Blockchain-Softwareunternehmens Digital Asset. "Die Regierung ist wahrscheinlich einer der besten und größten Honigtöpfe, die es gibt."

Sie verweist auf den Bericht der Cyberspace Solarium Commission, der im März veröffentlicht wurde, als Grund zur Besorgnis über die Sicherheit von Regierungsdaten.

"Es zeichnet eine sehr besorgniserregende Analyse des Zustands unserer Regierungssysteme wie des Finanzsystems und anderer wichtiger Infrastrukturen", sagte Angelovska-Wilson. „Sie sind schlecht auf die moderne Cybersicherheitskriegsführung vorbereitet. Wäre FinCEN in Bezug auf SAR-Daten ein großartiger Honigtopf? Meiner persönlichen Meinung nach absolut. “

Lesen Sie mehr: Social Engineering: Eine Pest auf Crypto und Twitter, die wahrscheinlich nicht aufhört

Yaeger war ein stellvertretender US-Anwalt, als er erfuhr, dass das Office of Personnel Management (OPM) gehackt worden war. Der Hack wird größtenteils der Volksbefreiungsarmee Chinas zugeschrieben.

"Ich hatte einen Fragebogen zur nationalen Sicherheit, in dem ich etwa 24 Seiten mit vielen Informationen ausfüllen musste", sagte er in einem Telefonanruf. "Wie alle anderen, die dieses Formular ausfüllen, musste ich viele Details über mein Leben dort schreiben, einschließlich des Lebens meiner Familie."

Wegen des OPM-Verstoßes glaubt er, dass diese 24 Seiten Daten jetzt in den Händen der chinesischen Regierung liegen.

„Benötigt es mehr Ressourcen für den Datenschutz? Wahrscheinlich “, sagte Goldstein von FinCEN.

Die Einbeziehung mehrerer Strafverfolgungsbehörden schafft auch eine Dynamik, in der Daten in größerem Umfang ausgetauscht werden. Dies bei verschiedenen Strafverfolgungs- und Regierungsbehörden zu tun, birgt aufgrund der Anzahl der Stellen, die damit umgehen, ein höheres Risiko.

Yaeger sagte, die Daten, die FinCEN speichert, könnten verwendet werden, um zu sehen, welche Geldflüsse in SARs dokumentiert werden. Sie können sich eine bestimmte Bankquelle ansehen, um einen Überblick über deren Aktivitäten zu erhalten, oder Sie können die Daten aus anderen Gründen erneut verwenden.

"Es ist ein Fenster in das Finanzsystem und insbesondere in Dinge, die als potenziell illegale Aktivitäten gekennzeichnet sind", sagte Yaeger. "Egal, welchen Nutzen es hat, ob es sich um einzelne Kriminelle handelt, die" Oh ja, sie sind auf mich "sehen, oder um Erpressungsmaterial, das Sie gegen Menschen verwenden könnten, die Grenzen werden wirklich nur von Ihrer Vorstellungskraft bestimmt."

Unternehmen werden mit einer Geldstrafe belegt, sofern sie die Daten nicht für den erforderlichen Zeitraum von fünf Jahren aufbewahren. Es bleibt unklar, wie lange FinCEN selbst die Daten speichert. Sowohl Angelovska-Wilson als auch Yaeger bezweifelten, dass die Daten jemals gelöscht wurden.

"Das Problem der Aufbewahrung wird im Allgemeinen nicht so beachtet, weil wir im Allgemeinen Daten wollen, oder? Die erste Regel von Big Data wäre, viele Daten zu erhalten “, sagte Yaeger.

Vertretung der Banken

Banken haben immer mehr SARs eingereicht, deren Zahl sich in den letzten zehn Jahren fast verdoppelt hat.

Laut Angelovska-Wilson haben Finanzinstitute eine defensivere SAR-Einreichung durchgeführt und aus einem nachdenklichen Prozess etwas gemacht, das eher dem Kontrollkästchen ähnelt. Im Wesentlichen besteht die Idee darin, dass Banken eine große Anzahl von SARs einreichen, um sich vor Haftung zu schützen oder mit Geldstrafen wegen möglicher Nichteinhaltung der BSA belegt zu werden.

Selbst wenn es sich nur um eine ungewöhnliche Transaktion handelt, liegt es im Ermessen der Compliance-Beauftragten, für alle Fälle eine SAR einzureichen. Jetzt haben Sie eine SAR mit persönlichen Informationen, auch wenn Sie ein gesetzestreuer Bürger sind.

Finanzinstitute reichen jetzt so viele Dinge ein, dass es laut Angelovska-Wilson zu einer „Datenlawine“ kommt.

Da die Anzahl der bei FinCEN eingereichten SARs zunimmt, schrumpft die Abteilung selbst. Die Mitarbeiter von FinCEN wurden im selben Zeitraum um 10% reduziert und beschäftigen derzeit rund 300 Mitarbeiter.

Angesichts des 24-Stunden-Charakters von Finanztransaktionen, des Drucks der Strafverfolgungsbehörden, sich um Compliance-Beauftragte zu kümmern, und des Grundbedürfnisses nach Schlaf haben Compliance-Beauftragte von Finanzinstituten nicht die einfachste Aufgabe, Entscheidungen darüber zu treffen, was eingereicht oder eingereicht werden soll nicht. Die Daten kommen also weiter.

"Das [SARs] Daten werden wie Daten aus anderen Massenüberwachungsprogrammen verwendet “, sagte Michael German, ein ehemaliger FBI-Spezialagent, der ein Experte für nationale Sicherheit und Datenschutz ist, gegenüber BuzzFeed. "Finden Sie jemanden, den Sie aus irgendeinem Grund haben möchten, und durchsuchen Sie dann die riesigen Datenmengen, um alles zu finden, mit dem Sie sie aufhängen können."

Free Bitcoins: FreeBitcoin | BonusBitcoin

Coins Kaufen: Bitcoin.deAnycoinDirektCoinbaseCoinMama (mit Kreditkarte)Paxfull

Handelsplätze / Börsen: Bitcoin.de | KuCoinBinanceBitMexBitpandaeToro

Lending / Zinsen erhalten: Celsius NetworkCoinlend (Bot)

Cloud Mining: HashflareGenesis MiningIQ Mining

By continuing to use the site, you agree to the use of cookies. more information

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close