Datenleck

Hacker greifen bei Bankdienstleister Daten von Tausenden Kunden ab

12.07.2023
Daten von Tausenden Bankkunden sind über ein Datenleck in unbefugte Hände gelangt. Nach aktuellem Stand sind vier Geldhäuser in Deutschland betroffen. Die Sicherheitslücke ist nach Angaben des betroffenen Dienstleisters inzwischen geschlossen.
Vornamen, Namen und Kontonummer (IBAN) einiger Deutsche Bank-Kunden gelangten in falsche Hände.
Foto: BartTa - shutterstock.com

Das am Freitag bekannt gewordene Datenleck bei einem Dienstleister für den Kontowechsel trifft mehr Bankkunden als zunächst bekannt. Auch die Direktbank ING und die zur Commerzbank gehörende Comdirect sind von dem Hackerangriff betroffen gewesen, wie beide Häuser am Dienstag bestätigten. Zuvor hatte das "Handelsblatt" berichtet.

Am Freitag hatte bereits die Deutsche Bank als Reaktion auf einen Medienbericht öffentlich gemacht, dass bei ihr und bei der Postbank personenbezogene Daten einer nicht genannten Anzahl von Kunden in Hände von Unbekannten gelangt seien. Nach Informationen des "Bonner General-Anzeigers" ging es um Vornamen, Namen und Kontonummer (IBAN).

Ein Sprecher der ING Deutschland teilte am Dienstag auf Nachfrage mit: "Auch wir haben Kenntnis darüber, dass kürzlich ein Hackerangriff auf einen Dienstleister verübt wurde, mit dem wir im Rahmen der gesetzlichen Kontowechselhilfe zusammenarbeiten." Dabei hätten Unbefugte Zugriff auf personenbezogene Daten erhalten, die der Dienstleister für den Kontowechsel verarbeitet. "Nach aktuellem Kenntnisstand ist eine niedrige vierstellige Zahl an Kunden betroffen, die im Rahmen einer Girokontoeröffnung bei uns die gesetzliche Kontowechselhilfe genutzt haben", hieß es von der ING.

Bei dem Dienstleister handelt es sich um die Majorel Deutschland GmbH, die über ihre 100-Prozent-Tochter Kontowechsel24.de Bankkunden den Wechsel von einem Geldhaus zum anderen erleichtern will. "Im Rahmen einer Sicherheitslücke der Software MOVEit, von der viele Unternehmen auf der ganzen Welt betroffen sind, ist Majorel Deutschland Ziel eines Hackerangriffs geworden", erklärte eine Majorel-Sprecherin. "Unser Cybersecurity-Team hat die Sicherheitslücke nach Bekanntwerden unverzüglich geschlossen und alle notwendigen Maßnahmen ergriffen, um die Sicherheit unserer Systeme zu gewährleisten."

Die Banken haben nach eigenen Angaben die betroffenen Kunden über den Vorfall informiert. Die Deutsche Bank rief nach Angaben eines Sprechers Betroffene auf, ihre Konten auf verdächtige Abbuchungen oder ungewöhnliche Aktivitäten zu überprüfen. Unautorisierte Lastschriften könnten bis zu 13 Monate rückwirkend zurückgegeben werden. Das Geld werde dann von der Bank erstattet.

Im Fall von Deutscher Bank und Postbank ging es nach Angaben des größten deutschen Geldhauses um Kunden, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechsel-Service genutzt hatten. Auch bei der ING Deutschland handelt es sich nach Angaben eines Sprechers um Kontowechsel, die einige Jahre zurückliegen.

Eine Commerzbank-Sprecherin teilte am Dienstag mit: "Wir sind ausschließlich mit der Marke Comdirect vom Datenleck bei Majorel betroffen. Kunden der Marke Commerzbank sind nicht betroffen."

Seit September 2016 sind Geldinstitute in Deutschland gesetzlich verpflichtet, Verbraucher beim Kontowechsel zu unterstützen. Das neue Institut muss ein- und ausgehende Überweisungen sowie Lastschriften des alten Kontos übernehmen. Nach spätestens zwölf Geschäftstagen soll das neue Konto eingerichtet sein. Die Regelungen sind Teil des Zahlungskontengesetzes, mit dem eine EU-Richtlinie in deutsches Recht umgesetzt wurde.

Anbieter wie Kontowechsel24.de werben mit einem "schnellen und unkomplizierten" Wechsel der Bankverbindung. Im Geschäftsjahr 2019 führte das Unternehmen nach eigenen Angaben über sein System 400.000 Kontenwechsel durch und stellte drei Millionen Bankverbindungen um. (dpa/rw)

Richard Werner, Business Consultant bei Trend Micro, analysiert diesen Angriff:

Die in Deutschland betroffenen Banken sind deshalb unter den Opfern, da ihr Dienstleister angegriffen wurde. Sie setzten die Software nicht selbst ein. Dennoch (oder vielleicht deswegen) könnte das Ganze ein unangenehmes DSGVO-Nachspiel haben. Denn bereits Mitte Juni wurde vom Dienstleister berichtet, dass er Datenverluste hatte. Sind personenbezogene Daten im Spiel, dann beträgt die Meldepflicht solcher Vorfälle 72 Stunden. Nun gibt es möglicherweise Gründe, warum erst jetzt langsam und „tropfend“ Informationen über betroffene Kunden in Deutschland herauskommen. Gut zu heißen ist das in der IT-Security nicht. Beim Vorfall selbst handelt es sich um eine Zero-Day-Sicherheitslücke. Umso wichtiger ist, dass andere noch nicht betroffenen Unternehmen sich der Gefahr bewusst werden und auch die Endnutzer darüber informiert werden, dass wichtige persönliche Informationen in den Händen von Kriminellen sind. (rw)