Fremde Kontostände bei Comdirect einsehbar
Als sich Karsten Gorskowski am Montagmorgen gegen 9.10 Uhr bei seiner Online-Bank einloggen wollte, war er überrascht: Der Kontostand war wesentlich höher als er ihn erwartet hatte. Zuerst dachte er an einen Bankirrtum zu eigenen Gunsten, doch dann fiel ihm auf: Es war ein anderer Name zu lesen. Der vermeintlich falsche Kontostand war wohl der richtige Kontostand eines anderen Kunden der Comdirect.
Mehrmals loggte sich der Frankfurter aus und wieder ein – und landete auf verschiedenen Konten. Erst nach einigen Minuten erschien dann beim Login der Fehler „Funktionsstörung“. Für ihn sei der Zugriff auf andere Konten „ein Super-Gau“ und er mache sich Sorgen, ob mit dem eigenen Konto eventuell Schindluder getrieben worden sein könnte. Bei der technischen Hotline der Direktbank landete er in einer Warteschleife und hatte nicht die Zeit, auf eine Antwort zu warten.
Ein Sprecher der Comdirect-Bank kommentierte den Vorfall: „Es gab heute Nacht eine Software-Einspielung, die zu Problemen geführt hat.“ Bei Facebook sprach die Bank in Antworten auf einzelne Kundenbeschwerden von einem „Fehler, den wir gerade beheben. Sorry!“ Zur Anzahl der betroffenen Kunden machte das Unternehmen keine Angaben. Am Vormittag war die Website der Bank dann zunächst komplett nicht mehr erreichbar, gegen Mittag war die Website wieder aufrufbar.
Die Panne hatte auch in der Handelsblatt-Redaktion rekonstruiert werden können. Ein Redakteur erhielt den Zugriff auf ein Konto mit mehr als 50.000 Euro Guthaben auf Giro- und Tagesgeldkonto. In dem Konto konnte sich der Redakteur zunächst frei bewegen und etwa Kontoauszüge aus der „Postbox“ aufrufen. Bei einzelnen Klicks erschien dann später die Meldung „Funktionsstörung“, danach konnte der Redakteur sich aber wieder frei in dem Konto bewegen.
Bei Comdirect existiert ein vereinfachtes Überweisungsverfahren. Täglich können bis 1.000 Euro transferiert werden, ohne dass dafür eine Tan eingegeben werden muss. Nach Angaben von Comdirect seien aber nur Überweisungen auf eigene Konten, also vom Girokonto auf das eigene Tagesgeldkonto oder ein externes Referenzkonto desselben Inhabers möglich.
Der Betroffene, vom Handelsblatt auf dieses Problem hingewiesen, sprach in einer ersten Reaktion von einer „gravierende Sicherheitslücke, die so nicht hinnehmbar ist“. Er kündigte an: „Ich werde Comdirect auf jeden Fall kontaktieren und Aufklärung verlangen.“ Dieses Problem war nach gut einer Stunde behoben: Nach dem Login kam der Redakteur wieder auf sein eigenes Konto.
KONTEXT
Größte deutsche Direktbanken nach Kundenzahl
Platz 10
Norisbank
500.000 Kunden (12/2014)
Platz 9
DAB Bank
582.000 Kunden (12/2014)
Platz 8
Advanzia Bank
660.000 Kunden (10/2015)
Platz 7
BMW Bank
770.000 Kunden (Ende 2012)
Platz 6
Consorsbank
843.000 Kunden (09/2015)
Platz 5
Mercedes-Benz Bank
1,112 Millionen Kunden (12/2014)
Platz 4
Volkswagen Bank
1,184 Millionen Kunden (12/2014)
Platz 3
Comdirect Bank
1,957 Millionen Kunden (08/2015)
Platz 2
DKB, Deutsche Kreditbank AG
3,16 Millionen Kunden (09/2015)
Platz 1
ING-Diba
7,975 Millionen Kunden (12/2015)
Quelle
modern-banking.de, Stand: Ende 2015