Nach den Diebstahl Zehntausender sensibler Kreditkundendaten hat die Landesbank Berlin (LBB) am Montag eine umfangreiche Sicherheitsüberpüfung ihres Datenverkehrs angekündigt. "Wir wollen uns einen externen Sachverständigen ins Haus holen, der neben der Innenrevision und unseren eigenen Datenschutzbeauftragten die Prozesse überprüft", sagte eine LBB-Sprecherin am Montag.
Die Bank will nun den gesamten Themenkomplex Kundendaten auf den Prüfstand stellen. Die Bank wies Behauptungen zurück, dass durch den jüngsten Datenklau bei der LBB bereits etliche Bankkunden geschädigt wurden. "Es gibt nicht den geringsten Hinweis darauf, dass solche Missbrauchsfälle mit dem jetzt bekannt gewordenen Datendiebstahl in Verbindung stehen", sagte die Sprecherin.
Mitarbeiter vernommen
Die Frankfurter Rundschau (FR) hatte am Montag berichtet, sie habe etliche Briefe von Bankkunden erhalten, denen Unbefugte heimlich bis zu 5000 Euro abgebucht hätten. Laut LBB häufen sich solche Fälle in letzter Zeit. Es gebe aber keinen Zusammenhang mit dem Paket mit detaillierten Kontodaten, das am Freitag bei der FR gelandet ist. Es war offenbar auf dem Weg vom Frankfurter Datenverarbeitungsunternehmer Atos zur Berliner Landesbank abgefangen oder gestohlen worden.
Neben Namen von Bankkunden, Adressen und Kreditkartennummern auf Mikrofiches waren darin acht verschlossene Briefe mit Pin-Nummern. Sie gehörten aber weder zu den beiliegenden Kontendaten auf den Mikrofiches, hieß es bei der LBB, noch seien die Umschläge aufgerissen gewesen. Alle Pin-Nummern würden im doppelten Umschlag versendet, bestenfalls der äußere sei geöffnet worden. Diese Angaben bestätigt die Polizei in Frankfurt. Die von Kunden gemeldeten Verluste seien nicht Gegenstand der Ermittlungen.
Dass mit den gestohlenen Kreditkartendaten im Internet eingekauft worden ist, hält man bei der LBB für höchst unwahrscheinlich. Die Bank bestätige zwar, dass das Gültigkeitsdatum einer Kreditkarte, das bei jeder Internetbuchung eingegeben werden muss, zu den gestohlenen Datensätzen gehören könne. Der Sicherheitscode auf der Rückseite aber, der beim Online-Einkauf eingegeben werden muss, werde nie zusammen mit den Kartendaten gespeichert. Dies untersagt nach Angaben von Fachleuten auch der Sicherheitsstandard PCI, dem die Kreditkartenbranche unterliegt.
Bei der Frage nach den genauen Umständen des Datendiebstahls verdichten sich Hinweise, dass das Datenpaket auf dem Weg zwischen Frankfurt und Berlin verloren gegangen ist. Da inzwischen klar sei soll, dass das Paket die Firma Atos in Frankfurt verlassen hat, in Berlin aber nie angekommen ist, sollen die Ermittler am Montag vor allem Mitarbeiter eines Kurierdienstes vernommen haben.
Möglicherweise hat der Kurier nicht nur die LBB mit sensiblen Daten beliefert, sondern auch Beiladungen anderer Kunden transportiert und unterwegs immer wieder gehalten. Ob das Auto bei den diversen Stopps verschlossen wurde oder nicht, war am Montag noch unklar. Die Polizei in Frankfurt hat zehn Ermittler damit beauftragt, den Datenklau aufzuklären. Die Frankfurter Staatsanwaltschaft sowie ein Atos-Sprecher wollten sich zu dem Fall nicht äußern und verwiesen auf die laufenden Ermittlungen.
Unübliche Abwicklung
Nach Angaben von Branchenexperten ist es unüblich, dass Kreditkartenabwickler Kundendaten unverschlüsselt per Kurier versenden. "Standard ist, dass zwischen Kunde und Abwickler eine verschlüsselte Leitung besteht, über die Daten elektronisch übermittelt werden", sagte eine Branchenvertreterin.
Wenn der Kunde aber bestimmte Daten physisch vorliegen haben wolle, müsse der Dienstleister dies anbieten. In der Regel würden solche Daten über Spezialkuriere verschickt. Microfiches seien kein übliches Speichermedium für Kreditkartendaten. Andererseits erkennt die Finanzaufsicht solche Filme als Speichermedium an, da sie anders als elektronische Daten nicht manipulierbar sind.
Die LBB betreut auch Kreditkartenkunden anderer Banken. Nach Angaben der FR waren in dem Paket auch Daten der Postbank Nürnberg, der Kreissparkasse Recklinghausen, der Deutsche Bank 24, der Sparkasse Emsland, der Kreissparkasse Köln und der Spardabank Hannover gespeichert. Unklar sind die Motive des Datendiebes. In Justizkreisen heißt es, wer Kartendaten missbrauchen wolle, schleuse sie nicht in die Öffentlichkeit. Vermutlich wolle jemand auf Sicherheitslücken hinweisen.