Datenleck bei Provinzial, ING und comdirekt

Programmers working on computer programRawpixel.com – stock.adobe.com

Die Cyberattacke auf den Kontowechseldienstleister MOVEit, durch den schon der Provinzial Riester-Vertragsdaten gestohlen wurden, zieht weitere Kreise: die Hacker gelangten auch an personenbezogene Daten von Kunden der Direktbank ING und comdirect.

Das am 07. Juli 2023 bekannt gewordene Datenleck bei einem Dienstleister für den Kontowechsel trifft mehr Bankkunden als zunächst bekannt. Auch die Direktbank ING und die zur Commerzbank gehörende comdirect sind von dem Hackerangriff betroffen gewesen, wie beide Häuser am 11. Juli 2023 bestätigten.

Zuvor hatte das Handelsblatt berichtet. Am Freitag hatte bereits die Deutsche Bank als Reaktion auf einen Medienbericht öffentlich gemacht, dass bei ihr und bei der Postbank personenbezogene Daten einer nicht genannten Anzahl von Kundinnen und Kunden in Hände von Unbekannten gelangt seien.

Nach Informationen des Bonner General-Anzeigers ging es um Vornamen, Namen und Kontonummer (IBAN). Ein Sprecher der ING Deutschland auf Nachfrage mit: "Auch wir haben Kenntnis darüber, dass kürzlich ein Hackerangriff auf einen Dienstleister verübt wurde, mit dem wir im Rahmen der gesetzlichen Kontowechselhilfe zusammenarbeiten." Dabei haben Unbefugte Zugriff auf personenbezogene Daten erhalten, die der Dienstleister für den Kontowechsel verarbeitet.

Nach aktuellem Kenntnisstand sei eine niedrige vierstellige Zahl an Kundinnen und Kunden betroffen, die im Rahmen einer Girokontoeröffnung die gesetzliche Kontowechselhilfe genutzt haben, hieß es von der ING.

Dienstleister: Sicherheitslücke ist geschlossen

Bei dem Dienstleister handelt es sich um die Majorel Deutschland GmbH, die über ihre 100-Prozent-Tochter Kontowechsel24.de Bankkunden den Wechsel von einem Geldhaus zum anderen erleichtern will. "Im Rahmen einer Sicherheitslücke der Software MOVEit, von der viele Unternehmen auf der ganzen Welt betroffen sind, ist Majorel Deutschland Ziel eines Hackerangriffs geworden", erklärte eine Majorel-Sprecherin. Das Cybersecurity-Team habe die Sicherheitslücke nach Bekanntwerden unverzüglich geschlossen und alle notwendigen Maßnahmen ergriffen, um die Sicherheit unserer Systeme zu gewährleisten.

Die Banken haben nach eigenen Angaben die betroffenen Kundinnen und Kunden über den Vorfall informiert. Die Deutsche Bank rief nach Angaben eines Sprechers Betroffene auf, ihre Konten auf verdächtige Abbuchungen oder ungewöhnliche Aktivitäten zu überprüfen. Unautorisierte Lastschriften könnten bis zu 13 Monate rückwirkend zurückgegeben werden. Das Geld werde dann von der Bank erstattet.

Gesetzliche Verpflichtung seit 2016

Im Fall von Deutscher Bank und Postbank ging es nach Angaben des größten deutschen Geldhauses um Kunden, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechsel-Service genutzt hatten. Auch bei der ING Deutschland handelt es sich nach Angaben eines Sprechers um Kontowechsel, die einige Jahre zurückliegen. Eine Commerzbank-Sprecherin teilte am Dienstag mit: "Wir sind ausschließlich mit der Marke comdirect vom Datenleck bei Majorel betroffen. Kunden der Marke Commerzbank sind nicht betroffen.

Seit September 2016 sind Geldinstitute in Deutschland gesetzlich verpflichtet, Verbraucherinnen und Verbraucher beim Kontowechsel zu unterstützen. Das neue Institut muss ein- und ausgehende Überweisungen sowie Lastschriften des alten Kontos übernehmen. Nach spätestens zwölf Geschäftstagen soll das neue Konto eingerichtet sein. Die Regelungen sind Teil des Zahlungskontengesetzes, mit dem eine EU-Richtlinie in deutsches Recht umgesetzt wurde.

Anbieter wie Kontowechsel24.de werben mit einem «schnellen und unkomplizierten» Wechsel der Bankverbindung. Im Geschäftsjahr 2019 führte das Unternehmen nach eigenen Angaben über sein System 400.000 Kontenwechsel durch und stellte drei Millionen Bankverbindungen um.

Provinzial: Hacker klauen Riester-Daten

Am 31.05.2023 sind weltweit mehrere tausend Unternehmen und Organisationen Opfer einer Cyberattacke geworden. Ziel der Attacke war auch hier schon eine kritische Sicherheitslücke der Datenaustauschsoftware MOVEit Transfer, die auch ein Dienstleister der Provinzial einsetzt.

Am 14.06.2023 hat der Dienstleister die Provinzial über eine kritische Sicherheitslücke in seiner Anwendung informiert. Daraufhin hat die Provinzial den Datentransfer umgehend gestoppt. Erste forensische Untersuchungen haben ergeben, dass auch Daten von Provinzial Kunden entwendet worden sind. Betroffen sind ausschließlich Daten von Riesterverträgen der Lebensversicherer Provinzial Rheinland Lebensversicherung und Provinzial NordWest Lebensversicherung. Bankdaten sowie Login-Name und Passwort für die Riester-OnlineAnmeldung sind allerdings nicht entwendet worden.

Die Provinzial arbeitet mit Hochdruck an einer vollumfänglichen Aufklärung und hat den Vorfall bereits den Landesdatenschutzbehörden gemeldet. Alle Mitarbeiterinnen und Mitarbeiter sind angewiesen, besonders sensibel bei telefonischen Anfragen zu Riesterverträgen zu agieren und diese nur noch schriftlich zu beantworten.

Darüber hinaus werden alle betroffenen Kunden informiert: Sie sollten besonders wachsam sein bei Anschreiben, Anfragen, Kontaktaufnahmen, die sie nicht angefordert haben oder ungewöhnlich vorkommen und die Echtheit der Kontaktaufnahme zur Sicherheit von ihren Vermittlern überprüfen lassen.