Der erste Schock für viele Kunden von Scalable Capital kam am Montag um kurz nach 21 Uhr: "Benachrichtigung über Datenschutzvorfall" hieß es knapp in einer E-Mail des Vermögensverwalters. Um mehr zu erfahren, müsse man sich in sein Konto einloggen. Der zweite Schock folgte direkt danach: Die Anmeldung auf der Webseite oder App von Scalable klappte nicht. Das System war überlastet, weil zu viele Kunden nachsehen wollten, was mit ihrem Geld los war.
Mittlerweile ist klar, dass kein Geld abgeflossen ist. Doch das Unternehmen aus München musste einen Vertrauensbruch eingestehen: Es sei "unrechtmäßig auf einen Teilbestand von Dokumenten zugegriffen" worden, heißt es in der Nachricht an die Kunden. Jemand habe sich Zugriff auf Kontaktdaten, Ausweiskopien, Steuernummern, Wertpapierabrechnungen und Kontonummern verschafft. Kunden müssen bei Scalable Capital ein Referenzkonto bei einer anderen Bank hinterlegen. Die Dokumente seien nicht verändert oder gelöscht, aber womöglich kopiert worden. Die Passwörter der Kunden habe der Angreifer allerdings nicht lesen können, erklärte Scalable Capital. Mittlerweile seien auch die betroffenen Daten vor unbefugtem Zugriff gesichert worden. Das Unternehmen hatte den Vorfall nach eigenen Angaben am Freitag bemerkt. Drei Tage später warnte es die Kunden.
Eine solche Menge von Finanzdaten von Bürgern ist eine Fundgrube für Betrüger, die mit ihnen auf anderen Webseiten die Identität der Opfer annehmen wollen, um sich auf ihre Kosten zu bereichern oder anderweitig Schaden anzurichten. Das Unternehmen warnt: "Generell könnte mit Hilfe der Daten versucht werden, Sie zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen." Betroffene sollten darauf achten, ob sie Ziel von Phishing-Angriffen werden. Dabei versuchen Kriminelle zum Beispiel mit gefälschten Mails, dem Kunden weitere, noch sensiblere Informationen zu entlocken.
Hacker, die sich aus der Ferne ihr Opfer suchten, sind Scalable Capital zufolge aber nicht schuld an der Sache. Niemand habe sich über eine "unmittelbar von außen ausnutzbare technische Sicherheitslücke" eingeschleust. Der Angriff sei aus dem Inneren der Firma gekommen. Der oder die Täter seien "unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar ist", an die Daten gekommen. Insider-Angriff nennen IT-Experten das.
Ein Ermittlungsverfahren sei eingeleitet worden, erklärte das Unternehmen. Ob ein Mitarbeiter konkret verdächtigt werde oder ob es sich um mehrere Personen handele, wollte eine Sprecherin nicht sagen. Das Unternehmen hat nach eigenen Angaben die Finanzaufsicht Bafin, die Datenschutzbehörde Bayerns sowie Bundesbank und Staatsanwaltschaft informiert. Die Bafin bestätigte der SZ, dass sich Scalable gemeldet habe. Das Bayerische Landesamt für Datenschutzaufsicht erklärte, es habe in dem Fall eine Meldung der "Verletzung der Sicherheit" von personenbezogenen Daten erhalten und ermittle nun.
Scalable Capital ist mit mehr als zwei Milliarden Euro betreutem Geld von mehr als 100 000 Kunden Marktführer unter den Robo-Advisors, die automatisiert Gelder von Anlegern investieren. Die Finanz-Start-ups nutzen dazu in der Regel Algorithmen, die Aktien und Anleihen möglichst profitträchtig kaufen und verkaufen sollen. Meist legen sie Gelder über Indexfonds an, vor allem in Aktien oder Anleihen - je nachdem, wie viel Risiko Kunden eingehen wollen.
Unter anderem hat sich der Finanzkonzern Blackrock bei Scalable Capital eingekauft. Blackrock, Holtzbrinck Ventures und Tengelmann Ventures haben erst im Juli erneut 50 Millionen Euro investiert. Und das, obwohl einige Kunden den Algorithmen von Scalable Capital vorgeworfen haben, Aktien nach dem Corona-Crash im Frühjahr im Vergleich mit der Konkurrenz zu spät abgestoßen und zu spät wieder gekauft zu haben.
Betroffen sind dem Unternehmen zufolge jene - auch ehemaligen - Kunden, die vor dem 10. Oktober 2020 ihr Scalable-Depot bei der Baader Bank eröffnet haben. Baader ist eine der Banken, die mit dem Vermögensverwalter zusammenarbeitet. Das Sicherheitsproblem liegt aber nicht in ihren Systemen, sondern in denen von Scalable. Wer sich über seinen individuellen Fall informieren möchte, soll sich dem Unternehmen zufolge an die E-Mail-Adresse service@scalable.capital wenden. Weitere Informationen hat das Unternehmen hier veröffentlicht.