Fremde Kontostände sechseinhalb Stunden abrufbar
Hier twittert der Chef sogar selbst: Normalerweise sucht Comdirect-Chef Arno Walter den direkten Draht zu seinen Kunden auch per Kurznachrichtendienst (). Doch dieser Tage ist der Manager auf diesem Kanal merkwürdig still. Dabei gäbe es viel mitzuteilen.
Wegen einer Datenpanne waren am Montag Kontodaten von tausenden Comdirect-Kunden für Dritte zugänglich, . Erst am Dienstagabend meldete sich Walter selbst zu Wort – . Darin gibt der Firmenchef bekannt, dass das Datenleck von 4 bis 10.30 Uhr klaffte, also ganze sechseinhalb Stunden.
„Trotz sorgfältigster Vorabtests und höchster Sicherheitsvorkehrungen ist etwas passiert, das nicht passieren darf und das wir sehr bedauern“, schreibt Walter.
Wer sich am Montagmorgen im Online-Banking von Comdirect einloggte, dem wurden fremde Daten präsentiert. Kontostände und Überweisungen waren so für Dritte einsehbar, Überweisungen auf fremde Konten ließen sich aber nicht durchführen.
Auslöser der Probleme war ein Softwareupdate, das die Bank in der Nacht zu Montag aufgespielt hatte. „Manche Kunden, die sich zwischen 4 Uhr und 10.30 Uhr eingeloggt hatten, konnten daraufhin Konten anderer Kunden einsehen“, erklärt der Bankchef. Seine Leute hätten vor dem Software-Update diverse Tests durchgeführt. Trotzdem fiel der Fehler offenbar nicht auf.
Jetzt habe man „weitere technische und organisatorische Maßnahmen ergriffen“, damit sich das nicht wiederholt, schreibt Walter in dem Brief, den die Bank auf ihrer Facebook-Seite verlinkt hat.
Kunden sollen Detailinfos über fremde Zugriffe erhalten
Zuvor hatte die Bank bereits die betroffenen Kunden informiert. Auch die Finanzaufseher der Bafin sowie das schleswig-holsteinische Unabhängige Landeszentrum für Datenschutz (ULD) . Die Datenschützer aus Kiel warten nun auf weitere Informationen von der Bank, um die Entstehung des Lecks analysieren zu können.
„Wir stehen noch ganz am Anfang”, sagte ULD-Referatsleiter Sven Polenz dem Handelsblatt. Die Datenschützer gehen davon aus, dass Comdirect noch im Verlauf dieser Woche weitere Informationen sendet. „Aber die müssen erst aufbereitet werden, mit schnellen Spekulationen wäre niemandem geholfen.” Ziel sei es, zu verhindern, dass so etwas noch einmal passiert.
Auch die Bafin wurde von der Comdirect über das Datenleck informiert. „Die Bafin hat die gesetzlich vorgesehene Meldung erhalten”, teilte ein Sprecher mit. Das weitere Vorgehen sei nun Sache des sogenannten Joint Supervisory Teams der europäischen Bankenaufsicht.
Auf Comdirect-Chef Walter dürften also noch weitere Nachfragen zukommen. Bei seiner Kundschaft entschuldigte er sich gleich mehrfach für die Panne. Betroffenen Kunden bot er eine neue Kontonummer an. Zugleich erklärt er, weshalb er solange auf Tauchstation war: Mancher habe sich eine schnellere Information gewünscht. „Das können wir nachvollziehen. An erster Stelle stand für uns, dass wir den Fehler beheben und genau prüfen, wer davon betroffen war.“
Am Dienstag begannen Mitarbeiter der Bank auch damit, betroffene Kunden anzurufen und sich zu entschuldigten. Sie sicherten zu, dass in den kommenden Tagen jedem Betroffenen Details mitgeteilt werden sollen, wie viele Fremde auf das eigene Konto zugegriffen und welche Klicks sie dort gemacht hätten. Entsprechende Informationen sollen über die „Postbox“ elektronisch verteilt werden.
KONTEXT
Größte deutsche Direktbanken nach Kundenzahl
Platz 10
Norisbank
500.000 Kunden (12/2014)
Platz 9
DAB Bank
582.000 Kunden (12/2014)
Platz 8
Advanzia Bank
660.000 Kunden (10/2015)
Platz 7
BMW Bank
770.000 Kunden (Ende 2012)
Platz 6
Consorsbank
843.000 Kunden (09/2015)
Platz 5
Mercedes-Benz Bank
1,112 Millionen Kunden (12/2014)
Platz 4
Volkswagen Bank
1,184 Millionen Kunden (12/2014)
Platz 3
Comdirect Bank
1,957 Millionen Kunden (08/2015)
Platz 2
DKB, Deutsche Kreditbank AG
3,16 Millionen Kunden (09/2015)
Platz 1
ING-Diba
7,975 Millionen Kunden (12/2015)
Quelle
modern-banking.de, Stand: Ende 2015