Kunden zahlreicher Banken von Datenleck betroffen
Auch Kundinnen und Kunden der Direktbank ING und der Comdirect sind von dem Datenleck bei einem Kontowechsel-Dienstleister betroffen, wie beide Häuser am Dienstag bestätigten. Am Freitag hatte bereits die Deutsche Bank als Reaktion auf einen Medienbericht öffentlich gemacht, dass personenbezogene Daten einer nicht genannten Anzahl von Kunden der Deutschen Bank und der Postbank in Hände von Unbekannten gelangt seien. Bei den entwendeten Informationen soll es sich um Vornamen, Namen und Kontonummern handeln.
Ein Sprecher der ING Deutschland teilte am Dienstag auf Nachfrage mit: “Auch wir haben Kenntnis darüber, dass kürzlich ein Hackerangriff auf einen Dienstleister verübt wurde, mit dem wir im Rahmen der gesetzlichen Kontowechselhilfe zusammenarbeiten.”
Dabei hätten Unbefugte Zugriff auf personenbezogene Daten erhalten, die der Dienstleister für den Kontowechsel verarbeitet. “Nach aktuellem Kenntnisstand ist eine niedrige vierstellige Zahl an Kundinnen und Kunden betroffen, die im Rahmen einer Girokontoeröffnung bei uns die gesetzliche Kontowechselhilfe genutzt haben”, hieß es von der ING.
Lücke geschlossen
Bei dem Dienstleister handelt es sich um die Majorel Deutschland GmbH, die über ihr Tochterunternehmen Kontowechsel24.de Bankkunden den Wechsel von einem Geldhaus zum anderen erleichtern will. Im Geschäftsjahr 2019 führte Kontowechsel24.de nach eigenen Angaben über sein System 400.000 Kontenwechsel durch und stellte drei Millionen Bankverbindungen um.
“Im Rahmen einer Sicherheitslücke der Datentransfer-Software MOVEit, von der viele Unternehmen auf der ganzen Welt betroffen sind, ist Majorel Deutschland Ziel eines Hackerangriffs geworden”, erklärte eine Majorel-Sprecherin. “Unser Cybersecurity-Team hat die Sicherheitslücke nach Bekanntwerden unverzüglich geschlossen und alle notwendigen Maßnahmen ergriffen, um die Sicherheit unserer Systeme zu gewährleisten.”
Konten im Auge behalten
Die Banken haben nach eigenen Angaben die betroffenen Kundinnen und Kunden bereits über den Vorfall informiert. Die Deutsche Bank rief Betroffene auf, ihre Konten auf verdächtige Abbuchungen oder ungewöhnliche Aktivitäten zu überprüfen. Unautorisierte Lastschriften könnten bis zu 13 Monate lang rückwirkend zurückgegeben werden. Das Geld werde dann von der Bank erstattet.
Allein mit Kenntnis über den Namen und die Kontonummer können Fremde keinen Zugriff auf die Bankkonten erlangen. Allerdings wäre es möglich, Lastschrifteinzüge ohne Kenntnis des Kontoinhabers einzurichten. Die unautorisierten Abbuchungen fielen dann erst bei einem Blick auf den Kontoauszug oder die Online-Kontoübersicht auf.
Kontowechsel liegen teils Jahre zurück
Im Fall von Deutscher Bank und Postbank ging es um Kunden, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechsel-Service genutzt hatten. Auch bei der ING Deutschland handelt es sich nach Angaben eines Sprechers um Kontowechsel, die einige Jahre zurückliegen.
Eine Commerzbank-Sprecherin teilte am Dienstag mit: “Wir sind ausschließlich mit der Marke Comdirect vom Datenleck bei Majorel betroffen. Kunden der Marke Commerzbank sind nicht betroffen.”
Seit September 2016 sind Geldinstitute in Deutschland gesetzlich verpflichtet, Verbraucherinnen und Verbraucher beim Kontowechsel zu unterstützen. Das neue Institut muss ein- und ausgehende Überweisungen sowie Lastschriften des alten Kontos übernehmen. Nach spätestens zwölf Geschäftstagen soll das neue Konto eingerichtet sein. Die Regelungen sind Teil des Zahlungskontengesetzes, mit dem eine EU-Richtlinie in deutsches Recht umgesetzt wurde.
Weltweite Erpressungen
Die Verbraucherzentrale Nordrhein-Westfalen rät im Zusammenhang mit dem Datenleck, besonders wachsam bei E-Mails von unbekannten Absendern und anderweitigen Kontaktversuchen Unbekannter zu sein. Denn nicht nur Banken verwenden MOVEit, sondern auch Versicherungen wie die AOK und Provinzial sowie das Vergleichsportal Verivox. Auch bei diesen seien persönliche Daten wie Namen, Geburtsdaten, Adressen und Steueridentifikationsnummern erbeutet worden, so die Verbraucherschützer.
Kriminelle könnten ihre Kontaktversuche mithilfe der persönlichen Daten sehr überzeugend gestalten. Die Verbraucherschutzzentrale warnt, davor, verdächtige Links anzuklicken oder sensible Daten wie Passwörter herauszugeben.
Eine Gruppe IT-Krimineller nutzt seit Wochen die Sicherheitslücke in MOVEit aus, um Unternehmen anzugreifen und Daten abzugreifen. Denn die Sicherheitslücke war über Monate unentdeckt geblieben. Weltweit sollen laut Handelsblatt über 260 Unternehmen betroffen sein – Experten sprechen von Tausenden weiteren potenziellen Opfern, unter anderem Behörden. Die Kriminellen erpressen die Firmen mit der Drohung, sensible Daten zu veröffentlichen, wenn sie kein Lösegeld zahlen. (dpa / hcz)