Nach Angaben der Comdirect Bank sind am Montag mehrere Tausend Kunden von einer schweren Datenpanne betroffen gewesen. In der Zeit von etwa neun bis zehn Uhr hatten Nutzer des Online-Bankings sich einloggen können und dann fremde Daten gesehen. Danach startete die Bank ihre Systeme neu, um den Fehler zu beheben.
In der Nacht auf Dienstag informierte das Institut die Kunden elektronisch, auf deren Konten Fremde Zugriff gehabt hatten. Darin gab die Bank bekannt, mehrere Behörden über den Fall informiert zu haben. „Selbstverständlich haben wir umgehend die zuständigen Aufsichtsbehörden, die Bundesanstalt für Finanzdienstleistungsaufsicht sowie das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein, über den Vorgang in Kenntnis gesetzt“, schreibt Henning Ratjen, Leiter der Service-Abteilung der Bank.
Den betroffenen Kunden versichert die Bank, dass „kein Geld auf ein Konto eines Dritten überwiesen oder Wertpapiere gehandelt“ werden konnten. Ebenso wenig seien „Zugangsdaten eingesehen oder geändert werden“. Die Bank bitte „ausdrücklich um Entschuldigung“. Der Vorfall werde „mit Hochdruck“ weiter analysiert.
Die wichtigsten Antworten zur Comdirect-Datenpanne
Ein Sprecher der Bank bestätigte, dass es technische Schwierigkeiten gab. Wie das „Handelsblatt“ berichtete, landete am Montagmorgen ein Kunde der Comdirect-Bank nach dem Einloggen überraschend auf dem Konto eines anderen Kunden. Demnach loggte sich der Mann mehrfach aus und wieder ein - und hatte immer wieder auf verschiedene Konten Zugriff. Ein Redakteur der Zeitung habe den Fehler rekonstruieren können und Einsicht auf ein Konto mit mehr als 50.000 Euro Guthaben auf Giro- und Tagesgeldkonto bekommen.
Unter anderem war es demnach möglich, auch Kontoauszüge aufzurufen. Auch mehrere Leser von „Heise Online“ hätten die massive Sicherheitslücke bestätigt, berichtet das IT-Fach-Portal. Comdirect betonte, nach bisherigem Kenntnisstand sei es jedoch nicht möglich gewesen, die fremden Daten zu manipulieren. „Das Kundenvermögen blieb zu jeder Zeit beim Kunden“, sagte ein Sprecher.
Nach Angaben des Comdirect-Sprechers waren von der Panne „einige tausend Kunden“ betroffen. Die Commerzbank-Tochter mit Sitz in Quickborn hat rund 2 Millionen Kunden. Die Betroffenen sollen „unverzüglich angeschrieben werden“. Über ihre Facebook-Seite kündigte die Bank an, ihre Kunden auf dem Laufenden zu halten, bis zum Nachmittag gab es jedoch keine weiteren Einträge.
Laut Comdirect war die Datenpanne nach einer routinemäßigen Software-Einspielung in der Nacht zu Montag aufgetreten. Weitere Einzelheiten waren zunächst nicht bekannt. Nach einem Neustart war die Website am Vormittag teilweise nur eingeschränkt erreichbar, danach seien die Probleme behoben gewesen, sagte der Sprecher. „Heise Online“ berichtete unter Berufung auf eine interne Quelle, dass möglicherweise ein Datenbank-Fehler der Auslöser war. Das bestätigte der Sprecher jedoch nicht. Die Fehleranalyse laufe noch, sagte er.
Die Panne bei Comdirect ist kein Einzelfall. Erst Anfang Juni war es bei der Deutschen Bank zu einer massiven IT-Panne gekommen. Rund 2,9 Millionen Konten waren davon betroffen. Dabei wurden Abbuchungen und Einzahlungen teils doppelt angezeigt. Die Kontostände wurden dadurch höher angezeigt oder rutschten ins Minus. Insgesamt waren mehr als 13 Millionen Buchungen betroffen. Ursache war laut Deutscher Bank ein Verarbeitungsproblem, das fehlerhaft korrigiert wurde.
Auch bei der DHL kam es zuletzt zu einer Sicherheitslücke, über die sich fremde Paketfächer kapern ließen. Ursache war, dass das Unternehmen die für die Abholung nötige mTAN nicht mehr per SMS an das Telefon des Kunden schickte, sonder sie alternativ auch in der App anzeigte. Dadurch konnten Fremde sich auch ohne Zugriff auf das Handy des jeweiligen Kunden einfacher Zugang zum Code verschaffen.
Keinen Hinweis gibt Comdirect darauf, wie viele fremde Nutzer die Daten sehen konnten und ob etwa Umsatzhistorien oder Dokumente aus der „Post-Box“ von Dritten angesehen oder heruntergeladen wurden.
Unter Bankexperten gilt der Vorfall, über den zunächst das Handelsblatt berichtet hatte, als eine der schlimmsten Pannen im Online-Banking. Bei der Deutschen Bank waren vor einigen Wochen Buchungen doppelt angezeigt worden und Kontostände dadurch für einen Tag virtuell teilweise ins Minus gedrückt worden.
Betroffene hatten dem Handelsblatt berichtet, dass sie sich am Montagmorgen in ihr Online-Banking einwählten und die Konten von fremden Personen angezeigt bekamen. Darin konnten sie sich frei bewegen und etwa Kontoauszüge ansehen und auch herunterladen. Transaktionen sind zusätzlich mit Transaktionsnummern (TAN) geschützt und konnten nicht ausgelöst werden. Die Comdirect gestattet zwar Buchungen bis 1.000 Euro auch ohne zusätzliche Eingabe einer TAN – allerdings nur auf Referenzkonten desselben Kunden.
Verbraucherschützer besorgt
„Die Panne ist hochnotpeinlich“, betonte Frank-Christian Pauli, Experte für Finanzthemen bei der Verbraucherzentrale Bundesverband gegenüber dem Handelsblatt. Der Vorfall zeige, dass es keine hundert Prozent sicheren Systeme gebe. Rechtlich betrachtet seien die betroffenen Kunden aber auf der sicheren Seite, so Pauli.
Selbst wenn Überweisungen von Fremden vorgenommen worden sein sollten, müsse die Bank dafür gerade stehen. Pauli hatte der Comdirect-Bank geraten, alle Kunden über den Vorfall zu informieren, damit diese ihre Konten überprüfen können.
Dass Einblick in die privaten Daten gewährt wurde, ist für die Betroffenen unheimlich. Doch daraus Forderungen gegen die Bank abzuleiten, ist schwierig bis unmöglich. Anlegeranwalt Dieter Kälberer erklärt das in einem Interview mit der Wirtschaftswoche.
Grundsätzlich bestünden zwar Schadenersatzansprüche aufgrund des Vorfalls, so der Jurist. „Nur gibt es ohne Schaden auch keinen Schadensersatz. Und in Deutschland muss ein solcher Schaden in Geld entstanden sein. Schmerzensgeld ist die Ausnahme“, so Kälberer.
Der bloße Zugriff auf die Daten lässt sich aber schwerlich als finanzieller Schaden beziffern. Allein dafür, dass der Nachbar nun unter Umständen wisse, dass man ein Aktiendepot habe, gebe es grundsätzlich keine finanzielle Wiedergutmachung.
