Süddeutsche Zeitung

Comdirect:Wenn eine IT-Panne das Bankgeheimnis abschafft

  • Eine IT-Panne hat am Montagmorgen Kunden von Comdirect getroffen. Sie konnten teilweise Kontodaten von Fremden einsehen.
  • Experten können sich an kein Datenschutz-Problem bei einem deutschen Kreditinstitut erinnern, das so massiv war.
  • Ursache für die Panne war kein Angriff durch Hacker, sonndern ein internes IT-Problem.

Von Harald Freiberger, Jan Schmidbauer und Meike Schreiber

Sicherheitsexperten sprechen von der größten Panne, die es beim Onlinebanking in Deutschland jemals gegeben hat: Kunden der Direktbank Comdirect, die sich am Montagmorgen auf ihr Konto einloggten, befanden sich plötzlich auf dem Konto eines anderen Nutzers. Sie konnten dort Daten wie den Kontostand oder Aktienpositionen einsehen. Niemand kann sich an ein solch massives Datenschutz-Problem bei einem deutschen Kreditinstitut erinnern. Stundenlang war das Bankgeheimnis bei Comdirect praktisch aufgehoben.

Gegen 10.45 Uhr fuhr die Direktbank das System komplett herunter, nachdem sie den Fehler bemerkt hatte. Für eine halbe Stunde war sie online nicht mehr erreichbar, nur per Fax oder Telefon. Das System lief erst ab 11.20 Uhr wieder.

Ursache für die Panne war kein Angriff von außen, zum Beispiel von Hackern, sondern ein internes Problem. Die Comdirect hatte in der Nacht davor neue Daten auf die Computer ihrer Kunden überspielt; solche Updates kommen bei Software-Unternehmen häufiger vor. Die Aktualisierung dauerte von 0 bis 4 Uhr. Danach trat der Fehler bei Kunden auf.

Keinem Kunden sei ein finanzieller Schaden entstanden

"Der Fehler ist durch eine besondere Konstellation entstanden, die im Detail technisch sehr kompliziert ist", sagte eine Sprecherin. Er sei am Nachmittag behoben gewesen und werde nicht mehr vorkommen. Insgesamt seien "mehrere Tausend Kunden" betroffen gewesen - entweder, weil sie fremde Kontodaten auf ihrem Bildschirm hatten oder, weil ihre Daten auf einem fremden Bildschirm zu sehen waren. Sie würden nun umgehend informiert.

Die Sprecherin betonte, dass keinem Kunden ein finanzieller Schaden entstanden sei. "Es kam weder zu Überweisungen auf fremde Konten noch zu Aktienorders unter falschem Namen", sagte sie. Hierzu hätten die Nutzer die Transaktionsnummern (Tan) der Sicherheitsverfahren gebraucht, zum Beispiel Photo-Tan oder SMS-Tan. Über diese verfüge aber nur der Inhaber des Onlinekontos.

Nach einem Bericht von Handelsblatt Online landeten einzelne Kunden bei mehrmaligen Versuchen, ihr Konto zu erreichen, bei verschiedenen anderen Konten. Comdirect hat für seine Kunden die Möglichkeit geschaffen, bis zu 1000 Euro täglich vereinfacht ohne Transaktionsnummer zu überweisen. Das ist nach Unternehmensangaben aber nur auf ein eigenes Konto möglich, also etwa vom Girokonto auf das Tagesgeldkonto - nicht jedoch auf ein fremdes Konto.

Comdirect ist die Direktbank-Tochter der Commerzbank und mit zwei Millionen Privatkunden eine der größten Onlinebanken in Deutschland. Die Online-Zugänge von Commerzbank-Filialkunden waren nach Angaben des Instituts nicht betroffen, da die Systeme voneinander getrennt laufen.

Es gab in Deutschland schon öfter Fälle von Betrug beim Onlinebanking. Ein Fall wie dieser, dass Kunden automatisch auf das Konto eines anderen Nutzers weitergeleitet werden, ist bisher aber noch nicht vorgekommen. Hans-Peter Burghof, Professor für Bankwirtschaft an der Universität Hohenheim, spricht von einem "kapitalen Fehler". Er hält den Vorfall für den perfekten Beweis, dass es zu gefährlich ist, sich nur auf eine Technologie zu verlassen. "Die Comdirect-Panne zeigt: Wir brauchen das Bargeld." Zwar gebe es auch von Kollegen seines Fachs immer wieder Forderungen, den Zahlungsverkehr vollständig zu digitalisieren. Doch die Panne würde den Kunden wieder einmal vor Augen führen, dass ein reibungsloser Zahlungsverkehr nur mit einer zweiten Ebene - dem Bargeldverkehr - garantiert werden kann.

Ob die Panne für Comdirect rechtliche Konsequenzen hat, ist noch nicht abzusehen. In jedem Fall müssten es Gerichte klären, wenn betroffene Privatkunden wegen Verletzung des Bankgeheimnisses klagen. Auch die Europäische Zentralbank wird den Fall wohl in ihrer Funktion als Bankenaufsicht untersuchen.

Erst vor wenigen Wochen erschreckte eine große Panne die Kunden der Deutschen Bank. Im Onlinebanking waren zum Monatswechsel fällige Beträge - etwa für Miete, Versicherungen oder Strom - gleich zweimal gebucht worden. Tausende Konten rutschten tief ins Minus. Auch Eingänge tauchten doppelt auf. Kurz darauf wurden die Doppelbuchungen storniert. Der Imageschaden aber war gewaltig: Mehr als 13 Millionen Buchungen auf 2,9 Millionen Konten waren falsch angezeigt worden. Fast 60 000 Kunden hatten zudem Probleme mit dem Zahlungsverkehr.

Die EDV gilt als Schwachstelle fast aller deutschen Banken

Der aktuelle Fall bei Comdirect sei "noch gravierender als die Panne der Deutschen Bank", sagte der IT-Experte einer Privatbank der SZ. Ihm sei so etwas noch nie untergekommen. Ein anderer Banken-Experte, Maik Klotz, moniert die Kommunikation von Comdirect. "Erst einige Stunden nach den ersten Kundenbeschwerden auf Twitter und Facebook reagierte die Bank auf das Problem mit der kurzen Meldung zu einem Neustart der Systeme", sagt er. Es habe lange kein Wort zu den Hintergründen gegeben oder darüber, wie viele Kunden betroffen waren. Gute Krisenkommunikation sehe anders aus. Die Comdirect-Sprecherin berief sich darauf, dass man sich erst einen Überblick habe verschaffen müssen, das habe mehrere Stunden gedauert.

Die EDV gilt als Schwachstelle fast aller deutschen Banken. Auf der Jagd nach Rendite hatten es viele Institute in den vergangenen Jahren versäumt, in ihre IT zu investieren. Viele Banken operieren mit veralteten Systemen. Auch die Sparkassen waren zuletzt betroffen: Im September 2015 etwa legte eine technische Panne in einem Rechenzentrum der Sparkassen die Geldautomaten der Institute gleich in mehreren Bundesländern vorübergehend lahm.

Die Comdirect war am Brexit-Morgen, dem 24. Juni, noch mächtig stolz auf die eigene EDV. Während bei anderen Direktbanken Consor und DAB die Systeme ausfielen und Tausende Privatanleger nicht an ihre Depots herankamen, lief die Technik bei der Comdirect stabil, auch wenn sich dort ebenfalls sehr viel mehr Anleger einloggten, um zu handeln. Schließlich hatte man sich gut auf den Morgen nach dem Votum vorbereitet und zum Beispiel die Bannerwerbung eingeschränkt, damit sich die Internetseite schneller aufbaute.

Bestens informiert mit SZ Plus – 4 Wochen kostenlos zur Probe lesen. Jetzt bestellen unter: www.sz.de/szplus-testen

URL:
www.sz.de/1.3083360
Copyright:
Süddeutsche Zeitung Digitale Medien GmbH / Süddeutsche Zeitung GmbH
Quelle:
SZ vom 19.07.2016/jps
Jegliche Veröffentlichung und nicht-private Nutzung exklusiv über Süddeutsche Zeitung Content. Bitte senden Sie Ihre Nutzungsanfrage an syndication@sueddeutsche.de.