Letzten Sonntagnachmittag ging es plötzlich los. Um exakt 13 Uhr platzt die erste Bombe. Über Twitter kündigt das Netzwerk Organized Crime and Corruption Reporting Project (OCCRP) an, dass 47 Medienunternehmen an einer ganz grossen Sache dran seien, an einer der bislang "grössten Recherchen über die dunklen Seiten des Schweizer Finanzplatzes".
UPCOMING: Leaked records of 18,000 bank accounts holding assets worth $100+ billion.
— Organized Crime and Corruption Reporting Project (@OCCRP) February 20, 2022
OCCRP and 47 other media outlets have been working on one of the world’s largest investigations into the shadowy world of Swiss banking.
It’s called #SuisseSecrets pic.twitter.com/H5DEb81ahQ
Um 17.59 folgt die Bestätigung, worüber bereits spekuliert wurde. Das Ziel der Recherche ist die Credit Suisse: “We did it again: Leak Day in Munich!”, twittere Bastian Obermayer, der Chef des Recherchedesks der “Süddeutschen Zeitung”. Eine anonyme Quelle habe dem Medium Tausende geheime Bankkonten der Schweizer Bank übergeben.
We did it again: LEAK DAY in Munich! NEW Leak is LIVE, our anonymous source gave us thousands of secret Swiss bank accounts from #CreditSuisse - and with our partners @OCCRP @guardian @lemondefr & many others we found dozens of stories of public interest.https://t.co/70Ylh5sG2u pic.twitter.com/QmVqz6fFfG
— Bastian Obermayer (@b_obermayer) February 20, 2022
Eine halbe Stunde später, um 18 Uhr 29, verschickt die Credit Suisse ein E-Mail-Statement, in dem sie die Vorwürfe und Unterstellungen zurückweist. Die Bank schreibt auch: “Nach zahlreichen Anfragen durch das Konsortium während der letzten drei Wochen hat die Credit Suisse eine grosse Zahl von Konten überprüft, die potenziell in Verbindung mit der Sache stehen.”
Die Bank wusste also bereits seit Anfang Februar von der Netzwerkrecherche, an der neben der "Süddeutschen" auch der britische "Guardian", "Le Monde", die "New York Times" sowie 44 weitere Medien mitmachten. Der Bankspitze war also schon vor Wochen bewusst, was auf sie zukommen wird. Dass schon bald ein Schlagzeilentsunami über den Paradeplatz hereinbrechen wird.
Warum informierte die Bank nicht schon viel früher?
Die Bankmanager wussten, dass der Datenfund von München bis New York, von Buenos Aires bis Paris medial ausgeschlachtet oder, wie Kritiker in der Schweiz meinen, aufgeblasen werden würde. Ihnen war bewusst, dass dieses Datenleck die Reputation der Bank beschädigen würde, dass möglicherweise Kunden abspringen würden und dass der Aktienkurs der Bank fallen könnte.
Wenn die Bankverantwortlichen das alles wussten: Warum informierten sie die Öffentlichkeit über das Datenleck erst nach der Veröffentlichung der Medienberichte? Warum informierte die Bank nicht schon viel früher, sobald sie wusste, was auf sie zukommt? Hätte sie dies allenfalls tun müssen?
Die sogenannte Ad-hoc-Richtlinie der Schweizer Börse hält fest: Gemäss Artikel 53 des Kotierungsreglements “informiert der Emittent den Markt über kursrelevante Tatsachen, welche in seinem Tätigkeitsbereich eingetreten sind. Als kursrelevant gelten Tatsachen, deren Bekanntwerden geeignet ist, den Kurs erheblich zu beeinflussen. Der Emittent informiert, sobald er von der Tatsache in ihren wesentlichen Punkten Kenntnis hat.”
Ein Sprecher der SWX Exchange Regulation schreibt: “Die Beurteilung, ob das Bekanntwerden einer Tatsache geeignet ist, den Kurs erheblich zu beeinflussen, obliegt dem Emittenten und ist jeweils im konkreten Einzelfall vorgängig zum Bekanntwerden beziehungsweise zur Bekanntgabe vorzunehmen.”
MCH reagierte bei Cyberangriff umgehend
Der Sprecher der Börse äussert sich nicht dazu, ob die CS gegen die Börsenregeln verstossen habe. Er verweist darauf, dass die Exchange Regulation die Einhaltung der Informationspflichten im Bereich der Ad-hoc-Publizität kontrolliere und bei möglichen Verstössen nach einer Vorabklärung eine Untersuchung einleite.
Ob ein Unternehmen bei ausserordentlichen Ereignissen an die Öffentlichkeit geht, ist eine Ermessensfrage. Manchmal kann das sehr schnell gehen: Ende Oktober 2020 kommunizierte das Basler Messeunternehmen MCH Group vor Börsenstart in einer Ad-hoc-Mitteilung, am Vortag von einem erfolgreichen Cyber-Angriff betroffen gewesen zu sein.
Die Credit Suisse entschied sich zu schweigen. Sie will sich zu den Gründen nicht äussern. “Wir kommentieren das nicht.” Am Montag fiel der Aktienkurs der Bank zeitweise um bis zu sieben Prozent.