Datenleck bei Postbank und Deutscher Bank; ING und Comdirect

[English]Bei der Postbank und auch beim neuen Eigentümer Deutsche Bank hat es ein Datenleck gegeben, bei der persönliche Kundendaten wie Name und IBAN in fremde Hände gefallen sind. Betroffene Kunden haben wohl den "Kontowechselservice" dieser Banken genutzt und wurden jetzt per Brief über den Vorfall informiert. Den Opfern drohen erhöhte Sicherheitsrisiken, wenn die Täter mit der IBAN auch nicht auf die Konten zugreifen können. Die Banken dürften zudem mit Schadensersatzansprüchen konfrontiert werden. Ergänzung: Auch die ING und Comdirect-Banken wurden Opfer des MOVEit-Hacks des Dienstleisters Majorel Deutschland GmbH.

Kunden der Postbank bekommen es derzeit knüppeldick: Seit dem Jahreswechsel werden Kunden der Postbank zum Quartalswechsel auf die IT-Infrastruktur der Deutsche Bank umgestellt – was bei manchen Konteninhabern entsprechende Störungen und Ärger verursacht. Ich hatte hier im Blog in diversen Beiträgen über diesen Sachverhalt berichtet (siehe Links am Artikelende).

Datenleck bei Dienstleister

Aktuell informiert die Deutsche Bank wohl ihre Kunden über einen Datendiebstahl, von dem auch Kunden der Postbank betroffen sind. Bei einem externen Dienstleister wurden, laut einem ersten Bericht des Bonner Generalanzeiger, der sich hinter einer Paywall befindet, persönliche Daten wie Name, Vorname und IBAN von Konteninhabern gestohlen. Spiegel Online hat mit Bezug auf den Bericht des Bonner Generalanzeigers in diesem Artikel mehr Details veröffentlicht.

Betroffen sind wohl Kunden der beiden Banken (die Postbank gehört inzwischen ja der Deutschen Bank), die in den vergangenen Jahren einen sogenannten Kontowechselservice der Institute genutzt haben. Dieser wurde wohl von einem externen Dienstleister abgewickelt, und dort wurden Daten durch unbekannte Angreifer gestohlen. Wer betroffen ist, sollte von den beiden Banken per Post über den Vorfall informiert werden.

Der Kontowechselservice der Banken sollen sich Bankkonten von einer Bank zu einer anderen Bank umziehen lassen. Dabei werden Daueraufträge und Lastschriften etc. des alten Kontos analysiert und die betreffenden Stellen über die geänderte Bankverbindung für Lastschrift informiert sowie Daueraufträge aufgelistet. Auf der Seite der Deutsche Bank heißt es dazu: Mit unserem digitalen Kontowechsel-Service ziehen Sie schnell und bequem Ihr altes Konto zur Deutschen Bank um. Dabei werden Ihre Zahlungspartner wie z. B. Arbeitgeber, Mobilfunkanbieter oder Versicherungen automatisch über Ihre neue Bankverbindung informiert.

Der externe Dienstleister hatte die Kontendaten gespeichert, um den Kontenwechsel abzuwickeln. Spiegel Online zitiert die Deutsche Bank, dass es um Kundinnen und Kunden gehe, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechsel-Service genutzt hätten. Ein Sprecher erklärte gegenüber Spiegel Online, dass man die Betroffenen schriftlich informiert habe.

Von der Deutschen Bank heißt es weiter, dass Ursache für den Vorfall von dem betroffenen Dienstleister identifiziert und behoben worden sei. Potenziell seien mehr als hundert Unternehmen in mehr als 40 Ländern geschädigt. Die Deutsche Bank gibt an, dass die eigenen Systeme der Bank zu keinem Zeitpunkt gefährdet worden seien. Auch habe der Datenschutzvorfall nichts mit der gerade abgeschlossenen IT-Integration der Postbank zu tun. Wie viele Datensätze betroffen sind, ist nach bisherigen Medienberichten unbekannt.

Es ist nirgendwo in meinen Quellen vermerkt, aber vom Bauchgefühl spekuliere ich mal, dass es mit der MOVEit-Schwachstelle, die Ende Mai 2023 bekannt und durch die Clop-Ransomware-Gruppe ausgenutzt wurde (siehe auch am Artikelende verlinkte Beiträge), zusammen hängen könnte. Dort waren auch Banken betroffen. Diese Meldung der Verbraucherzentralen deutet auch in die Richtung Moveit.

Opfer sollten wachsam sein

Da die unbekannten Angreifer Zugriff auf Namen und IBAN hatten, sind die Betroffenen potentiell erhöhten Cyberrisiken ausgesetzt. So könnten die Informationen in Phishing-Mails für eine gezielte Ansprache der Opfer genutzt werden, wenn die Täter den Namen mit E-Mail-Adressen, die aus anderen Datenlecks stammen, kombinieren – die Wahrscheinlichkeit, dass die Daten passen, ist hoch.

Das größere Risiko besteht darin, dass die Kontendaten durch Cyberkriminelle für Bankabbuchungen oder Käufe im Internet missbraucht werden. Betroffene sollten die Kontenbewegungen genau beobachten, um unberechtigte Abbuchungen (durch die Täter oder durch von diesen getätigte Internetkäufe) zu erkennen. Nicht autorisierte Lastschriften könnten bis zu 13 Monate rückwirkend zurückgegeben werden, so dass das Geld dann von der Bank erstattet werde.

Bei verdächtigen Transaktionen empfiehlt die Verbraucherzentrale Nordrhein-Westfalen eine Anzeige bei der Polizei. Wenn Betroffene das rechtzeitig machen, haftet die Bank für mögliche Schäden. Lassen Betroffene sich dagegen zu viel Zeit, besteht die Gefahr, dass Sie selbst auf den Kosten sitzen bleiben, heißt es von der Verbraucherzentrale. Die Verbraucherschützer geben auch den Ratschlag, die Passworte für den Zugang zu den betroffenen Konten zu ändern.

Weiterhin weist die Verbraucherzentrale auf das Problem der negativen Einträge bei Auskunfteien (Schufa, Creditreform) durch die zurückgegebenen Lastschriften hin. Laut Verbraucherzentrale haben betroffene Kunden auch Schadensersatzansprüche gegenüber der jeweiligen Bank (siehe auch den Anrisstext des General-Anzeiger).

Auch ING und Comdirect betroffen

Ergänzung: Inzwischen haben sowohl die ING als auch die Comdirect Bank bestätigt, dass Kunden, die den Kontowechselservice der Institute genutzt haben (siehe diesen RND-Artikel). Dort heißt es uniso, dass der Dienstleister, der gehackt wurde, die Sicherheitslücke geschlossen habe.

MOVEit-Schwachstelle bei Majorell?

Inzwischen wird auch klar, dass mein oben ausgedrücktes Bauchgefühl, dass die MOVEit-Schwachstelle für den Datenklau ausgenutzt wurde, durch den RND-Artikel bestätigt. Der gehackte Dienstleister sei die Majorel Deutschland GmbH heißt es dort, die über ihre 100-Prozent-Tochter kontowechsel24.de Bankkunden den Wechsel von einem Geldhaus zum anderen erleichtern will.

Und hier bekommt die Geschichte noch einen gänzlich anderen Drive, denn am 25. Juni 2023 hatte ich im Blog-Beitrag Barmer: Hack bei Dienstleister betrifft Daten von Bonusprogramm von einem Hack bei der Firma Majorel aus Luxemburg, Dienstleister der Barmer, berichtet. Dort wurde bestätigt, dass dieser Dienstleister über die MOVEit-Schwachstelle kompromittiert wurde, so dass die Clop-Ransomware-Gruppe Daten abziehen lassen. Die Banken ließen sich gut 14 Tage länger, bis zum Beginn des Juli 2023, Zeit, um über den Datenklau zu informieren. Die Schwachstelle in MOVEit wurde übrigens Ende Mai 2023 bekannt – damals hätte Majorel proaktiv eine Warnung herausgeben können.

Suche ich im Blog nach dem Begriff Majorell, werde ich auch 2021 im Blog-Beitrag Schwachstellen bei COVID-19-Impfportalen und beim SORMAS-System fündig. Seinerzeit konnten Dritte persönliche Daten von Impfwilligen beim niedersächsischem Impfportal abrufen. Ein White Hat-Hacker hat das Datenleck entdeckt und dann an das Computer-Notfallteam Niedersachsen-CERT und das Gesundheitsministerium gemeldet. Verantwortlich für die Implementierung des Portals war Majorel.

Hintergrund zu Majorell aus Faz.net: Majorel entstand 2019 durch die Zusammenlegung der Callcenter-Aktivitäten der Bertelsmann-Tochtergesellschaft Arvato mit denen des marokkanischen Callcenter-Betreibers Saham und befindet sich mittlerweile im Besitz von Teleperformance, einem französischen Anbieter von Call-Center-Dienstleistungen.

Ergänzung aus folgender Quelle: Majorel Deutschland, ein Dienstleister für für Callcenter- und andere Kundenservices gab gegenüber den Handelsblatt am 10. Juli 2023 bekannt, Opfer einer Cyberattacke gewesen zu sein. Die Täter haben eine Sicherheitslücke in der Datentransfer-Software MOVEit ausgenutzt.

Hinter dem Angriff steht die Erpressergruppe CL0P, die über die Schwachstelle bei Majorel die Daten zahlreicher Kunden abgreifen konnten. Zu den betroffenen Kunden gehören die BARMER Krankenkasse, die Commerzbank und vermutlich auch die Deutsche Bank sowie deren Tochter Postbank und die ING Bank. Das Tochterunternehmen KWS Kontowechsel Service GmbH (Kontowechsel24.de) bietet auch einen Kontowechselservice an.

Bertelsmann kündigte in einer Pressemitteilung am 26. April 2023 an, dessen Anteile an Majorel in Höhe von 39,5 Prozent an das französische Unternehmen Teleperformance zu veräußern.

Die CL0P Ransomware-Gang führt Arvato auf ihrer Darkweb-Seite auch als Opfer an. Nach Rücksprache mit der Unternehmenskommunikation von Arvato betrifft diese jedoch ausschließlich Majorel und keine anderen Unternehmen der Arvato-Gruppe.

Ergänzung 2: Das Handelsblatt hat die Ergänzung um Ing und Comdirect in diesem Artikel gebracht. Es wird ein riesen Bohei um den Namen des Dienstleisters gemacht – RND hat dagegen den Zusammenhang mit dem Wechselportal konkret benannt. Beim Handelsblatt heißt es, dass weder Sparkassen noch Volks- und Raiffeisenbanken von diesem Thema betroffen seien, weil die Majorel nicht nutzen.

Unklar, ob Majorel oder FinReach

Ergänzung 3: An dieser Stelle bleibt aber unklar, ob bei der Postbank Majorel involviert war. Eine Blog-Leserin schrieb mir, dass sie denkt, dass Postbank und die Deutsche Bank den Kontowechselservice von FinReach und nicht den von Kontowechsel24 verwenden. FinReach hat 2018 die Zusammenarbeit mit der Postbank verkündet und heute gibt die Postbank bei Girokonten für Geschäftskunden aktuell immer noch an:

"Mit dem Kontowechsel-Service unseres Kooperationspartners FinReach wechseln Sie innerhalb von wenigen Minuten Ihr Girokonto zur Postbank."

Und Privatkunden werden für den Kontowechselservice auf die gleiche Webseite wie die Geschäftskunden, nämlich "https://postbank-kontowechselservice.de", weitergeleitet. Daraus lässt sich der Schluss ziehen, dass die Postbank immer noch und ausschließlich den digitalen Kontowechselservice über FinReach anbietet (sofern die Info nicht veraltet ist). Ähnliches lässt sich für Deutsche Bank, laut deren Angaben ab Februar 2017 zum Kontowechselservice über FinReach machen.

Das ist ein Argument, welches nicht von der Hand zu weisen ist. Die Information hatte ich auch in einem Kommentar bei heise gelesen. Bezüglich der Benennung des Dienstleisters von Postbank und Deutsche Bank muss das nun offen bleiben, ob es Majorel oder FinReach betraf. Bei ING und Comdirect wurde dann aber wieder Majorel genannt. Letztendlich ist es egal, welcher der genannten Dienstleister betroffen ist – die Daten sind erst einmal in die Hände Dritter gelangt.

Insgesamt zeigt die Episode aber erneut die Kalamitäten in der Branche: Es wird outgesourced, Daten müssen übertragen werden und wenn ein Dienstleister kompromittiert wird, sind die Kunden die Dummen.

Ähnliche Artikel:
Postbank-Störungen: Neue Postbank-App – "The Master of Desaster" (2. Jan. 2023)
IT-Umzug der Postbank ab 31.3.2023
Postbank geht am 30. Juni 2023 bis zum 3. Juli wieder in den Wartungsmodus
Sozialministerium Sachsen: Opfer von Internetbetrügern, 225.000 Euro Schaden durch fingierte E-Mail
Barmer: Hack bei Dienstleister betrifft Daten von Bonusprogramm

Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle
Lace Tempest/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362
MOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?
MOVEit Transfer: Neue Schwachstelle; dringend patchen!
Das MOVEit-Desaster: Proof of Concept; Clop-Gang veröffentlicht Opferdaten
Cyber-News: MOVEit-Opfer, Zurich Insurance, Verivox etc. und weitere Cyber-Vorfälle (19. Juni 2023)
Sicherheits-News: BIG-Krankenkasse, Hülben, Rhein-Pfalz-Kreis, MOVEit, VMware (21. Juni 2023)
Verivox-Datenschutzvorfall: Auswirkungen auf Maingau Energie?