m Rache an der Entführung des Feuers durch Prometheus zu nehmen, kreiert laut einer griechischen Sage der allmächtige Zeus eine Büchse, die sämtliche Übel und auch alle Hoffnung der Welt enthält. Die Auflage, die Büchse niemals zu öffnen, dauert nicht lange an. Die üppig mit allen Gaben und Schönheiten ausgestattete Pandora heiratet bald den Bruder von Prometheus und öffnet nicht lange nach deren Heirat die ihr zuvor geschenkte Büchse, worauf sich der gesamte in der Büchse gefangene Übel verbreitet und scheinbar bis heute nicht wieder einfängen lässt.
So oder ähnlich ergaben sich durchaus die Umstände nach der Befragung einer Wirecard IT Direktorin am 17. Mai 2023 im Gefängnis-Gerichtssaal München-Stadelheim. Zeuge N. war zuletzt in einer Vize-Präsidentin-Rolle (VP) verantwortlich für die Technologie-Belange von Wirecard Europa und Asien-Pazifik. Sie war eine der ersten Mitarbeiterinnen bei Wirecard, wurde 2005 nach einem sechsmonatigen Praktikum eingestellt. Es war ihr erster echter Job damals. Sie war zunächst 5 Jahre lang als Software-Entwicklerin bei Wirecard tätig, wobei man annehmen darf, dass sie mindestens in dieser Anfangszeit entweder mit oder unter Jan Marsalek gearbeitet hat, der anfänglich für den Bereich Software-Entwicklung zuständig war. Ab 2010 war sie Business Analyst, zwei Jahre danach als Head of Issueing im Umfeld von SAP tätig, weitere zwei Jahre danach wurde sie VP für Technology und trug fortan eine Schlüsselverantwortung für die Architektur von Wirecards IT Systemen in Europa und Asien-Pazifik.
Zeuge N. legt gleich zu Beginn dar, dass sie während ihrer Zeit als VP Technology ausschliesslich und lediglich an die Management-Vorständlerin Susanne Steidl berichtet hat. Mit dem links neben ihr sitzenden Dr. Braun oder Jan Marsalek habe sie eigentlich nie Kontakt gehabt, teilt sie mit. Auch nicht per Telegram, welches als internes Hauptkommunkationsmittel für Nachrichten und Anrufe untereinander genutzt wurde - WhatsApp war bei Wirecard nicht erlaubt.
Interessant wird es, als Zeuge N. anfängt, nach Befragung durch den vorsitzenden Richter Wirecards IT Architekturen zu beleuchten. Wirecard hatte keine sonderlichen eigenen Computerserver, sondern lagerte Daten und Applikationen auf externe Dienstleister aus. Am Hauptsitz München wurde Nordisk Networks mit dieser Aufgabe beauftragt, es gab Rechenzentren auch in Österreich und Dubai, ebenso hatten einige Drittpartner in Singapur und Asien entweder eigene oder ausgelagerte Rechenzentren. Offenbar zeitgleich mit der Einführung der
Wirecard eigenen, sog. "Elastic Engine" Anfang 2019 wurden vermehrt weitere Cloud-Services eingesetzt - also ausgelagerte Rechner, die nicht nur Daten, sondern auch Programmierlogik im Auftrag von Wirecard ausführten. Einige dieser Wolken oder Clouds waren bei keinem anderen Anbieter als Amazon (AWS) in Toronto, Kanada, aufgesetzt.
Anfang 2019 wurde jedoch die neue "Elastic Engine"-Plattform von Wirecard eingeführt, die endlich eine zuverlässige End-to-End-Bewertung von Transaktionen Dritter ermöglicht. Dementsprechend wurde der Umfang der Prüfung ausgeweitet, aber aufgrund des hohen Transaktionsvolumens von 200 Mio. Datenzeilen allein für Dezember 2019 war für KPMG einfach nicht genug Zeit, um diesen Datensatz vollständig zu prüfen. Die gute Nachricht ist, dass KPMG dennoch eine vorläufige Bewertung veröffentlichen konnte, aus der hervorgeht, dass die Transaktionsvolumina mit der Rechnungslegung des Partners übereinstimmen und in der Rechnungslegung korrekt wiedergegeben wurden.
"Wirecard Bombs Again" Artikel vom 4. Mai 2020
Wirecards Schlüsselarchitektur mit Namen 'Elastic Engine' konnte man multiplizieren und auf einer Vielzahl von Servern laufen lassen. Zeuge N. teilt auch mit, dass es eine Anfrage gegeben habe, den kompletten Source-Code an einen Drittpartner auszulagern, die Anfrage dazu von Jan Marsalek kam irgendwann wohl so im Jahr 2019. Ihrer Erinnerung nach ist aber aus dem Projekt nichts geworden. Interessant ist, dass ein Mitarbeiter mit Namen Manoj Sahu nach der Beauftragung von Toronto als Wirecards Cloud-Dienstleister genau dorthin versetzt wurde und von dort aus diese Cloud-Instanzen überwachte. Sahu arbeitete direkt unter Jan Marsalek und berichtete mehrheitlich nur dem geflüchteten Wirecard COO. Was eine ganze Reihe von zumindest theoretischen Möglichkeiten bezüglich der
Wirecard-Verstrickungen mit Kanada und PaySafe eröffnet.
Da die 'Elastic Engine' als Software-Gateway zu sehen ist, welches von außen kommende Anfragen zur Transaktions-Abwicklung an weitere Server und deren Software verteilt, gab es auch die Kreditkarten-Processing-Server, welche anfangs hauptsächlich in Dubai aufgesetzt wurden und erst später nach München kamen.
Das Gericht öffnet wohl etwas nach den fundamentalen Erörterungen zur IT-Architektur endgültig die Pandoras Box, als es eine Reihe von Email-Konversationen über den Monitor einspielt. In einer Kette von Nachrichten von 2018 fragt die anwesende Zeugin in Richtung Toronto an,
Auf die Frage, ob sie mit den klar erkennbaren FTP Zugangsadressen und API Passwortschlüsseln zum direkten Abholen von Daten aus vernetzten Rechnern etwas anfangen könne, verneint sie. Die für jeden Halbexperten klar erkennbaren, vertraulichen Zugangsdaten von vor einigen Jahren sagen ihr, Zitat, 'nicht sonderlich etwas'.
ob sie nicht einmal eine genaue Übersicht über die IT-Architekturen bei den Drittpartnern haben könne, sowie auch generell eine Übersicht über alle Cloud-Instanzen, die es so bei Wirecard gibt. Man antwortet ihr lapidar mit, Zitat,
"White-Label-Instanzen werden in der Cloud bereitgestellt, in der Regel für PSPs. White-Label-Instanzen werden unabhängig in der Cloud betrieben, wir bieten nur technischen Service".
Eines der ganz grossen Übel in Pandoras Box scheint kurz danach der Aussenwelt endgültig sichtbar zu werden, als der Richter weitere Email-Schnipsel von vor einigen Jahren an die elektronische Mail-Adresse der IT-Expertin auf den Monitor wirft. Auf die Frage, ob sie mit den klar erkennbaren FTP Zugangsadressen und API-Passwortschlüsseln zum direkten Abholen von Daten aus vernetzten Rechnern etwas anfangen könne, verneint sie. Die für jeden Halbexperten klar erkennbaren, vertraulichen Zugangsdaten von vor einigen Jahren sagen ihr, Zitat,
"nicht sonderlich etwas". Noch pandorischer werden die Dinge, als der Richter eine Liste von 45 weltweiten Wirecard Cloud-Servern auf die Leinwand einspielt. Auf die Frage, ob ihr diese Server bekannt seien, verneint sie erneut. Zitat:
"Nein, noch nie gesehen".
Die Pandoras Box schien auch noch nicht geleert gewesen zu sein, als man von Seiten des Gerichts nach den tatsächlichen Transaktionszahlen nachfragt, die über die Wirecard-Server liefen. In einem guten Monat seien das so um die 40 Millionen gewesen, antwortet die Zeugin. Auf jeden Fall weit entfernt von den in 2019 im Projekt 'Vision 2025' für die Zukunft projezierten Zahlen. Es geht fleissig weiter mit dem Ziehen aus der Wunderbox, als man Statements bekannt gibt wie,
"Bellenhaus ist eine money maschine, er dachte es sein effektives System um Steuern zu sparen". Oder auch, dass unter den Mitarbeitern bei Wirecard lange bekannt war, das es bei der Card Systems keine Mitarbeiter gab und man sich durchaus selbstkritisch und offenbar schon etwas länger
"fragte, wer das ganze Geld da eigentlich mache".
Spannend war auch die Sache mit der oftmals viel zu unbeachteten,
gigantischen Softbank-Investition bei Wirecard von April 2019. Susanne Steidl, Management-Vorstand und eine der 100
einflussreichsten Frauen in der gesamten deutschen Wirtschaft in 2018 und 2019 - plus unter den einflussreichsten Top-Tech Frauen im selben Land in derselben Zeit - purzelte plötzlich in das Büro der Zeugin und verlangte so mir-nichts-dir-nichts eine komplette Datenbank mit sämtlichen Transaktionsdaten der letzten Jahre - darunter auch vertrauliche. Als die Zeugin nachhakte, dass dies nicht so einfach zu machen wäre und wofür dies denn sei, antwortete Frau Steidl, dass
"Jan Marsalek das bräuchte für die Softbank". Nach ein paar Wochen bekam er die ca. 150 GB Datei auf einer kleinen Festplatte.
Interessant war auch, wie die Zeugin darlegte, dass man im Mai 2019 bei einem Offshore-Event den drängenden Fragen der eigenen Mitarbeiter, wer denn nun genau für die vielen Umsätze verantwortlich wäre, mit der Pandora-Argumentation von "einigen Grosskunden, die man nicht nennen dürfe" entgegenwirkte.
Damit nicht genug, die Zeugin bestätigt, dass noch eine zweite solche Gesamtübersicht mit allen Transaktionsdaten einige Zeit später über den Vorstand Steidl bei ihr eingefordert wurde - mit noch mehr Detailinformationen. Später wurde im Gericht aus Emails gelesen, dass man teilweise in diesen Daten angeblich vollständige Kreditkarteninformationen herauslesen konnte.
Offenbar war die wenig später für die Sonderprüfung an KPMG überreichte elektronische Liste mit ca. 200 Millionen Transaktionsdatensätzen nur eine kleinere Untermenge der beiden oben genannten Listen der Pandora. Die KPMG-Datenliste enthielt nur 8 bis 10 Spaltenfelder, somit viel zu wenig Informationen, um zielgerecht Transaktionen nachverfolgen zu können. Wegen der vielen Listen und Datensätze rief die Zeugin auch mal wieder in Toronto an, um an entsprechende Transaktionsdaten auf deren Cloud-Servern zu gelangen. Dort wiegelte ein freundlicher Herr aber unverzüglich ab, sagte ihr kurz, dass sie dass nicht dürfe und klickte zeitnah auf den roten Knopf zum Beenden des Gesprächs.
Interessant war auch, wie die Zeugin darlegte, dass man im Mai 2019 bei einem Offshore-Event den drängenden Fragen der eigenen Mitarbeiter, wer denn nun genau für die vielen Umsätze verantwortlich wäre, mit der Pandora-Argumentation von
"einigen Grosskunden, die man nicht nennen dürfe" entgegenwirkte. Um dann kurz danach bei Folgefragen von Wirecard-Vorständin und Super-Managerin Deutschlands Susanne Steidl klar gemacht zu bekommen, dass eine jegliche weitere Diskussion dieses Erörterungspunktes von nun an verboten sei.
Die Zeugin erzählt, dass sie selten ungewöhnliches Verhalten von Seiten der Vorstände persönlich erlebt habe. Ausser bei einem Mal, als sie in 2019 oder so ein Ticket fürs Falschparken mit einem Firmenwagen zu bezahlen vergaß. Finanzchef von Erffa meldete sich unverzüglich persönlich bei der Zeugin und mahnte sie im harschen Ton an, doch bitte solche Verhaltensweisen in der Zukunft zu unterlassen, schliesslich wären das immerhin so um die 10 Euro vergeudete Firmengelder.
Dr. Braun stellt zum Abschluss einige Fragen bezüglich der niedrigen Transaktionszahlen, die tatsächlich Netto-Buchungen waren und sich lediglich auf Europa und Asien-Pazifik bezogen. Das Aslam-Projekt war in den Umsätzen offenbar gar nicht enthalten, was zusätzliche 20 bis 30 Milliarden ausmache. Zudem waren die von ihr hier dargelegten Zahlen lediglich die von 4 von insgesamt 11 Ländern, in denen Wirecard aktiv gewesen ist. Als Dr. Braun nachfragt, wieviele Acquierer 2019 an die Payment Engine angebunden waren, konnte die Zeugin dies nicht beantworten.
Ein Firmenname fällt immer wieder in den Erörterungen, auch in denen Dr. Brauns: One Stop Money Manager.
Offenbar das allerletzte vorhandene Übel in Pandoras Box.