von Christian Kirchner und Heinz-Roger Dohms, 30. Oktober 2023
In unserem „Banken-IT“-Ticker widmen wir uns nicht nur den IT-Themen der Institute selber – sondern schauen auch, was in ihrem Umfeld (also etwa bei Atruvia, Finanz Informatik und sonstigen Dienstleistern) passiert.
Hier der Ticker für September und Oktober 2023:
–––––
Alle paar Jahre würgen der böse Regulator, der böse Gesetzgeber oder die bösen Gerichte unseren armen Banken so richtig eins rein. Die Kappung der Interchange war so ein Fall. Der Provisionsdeckel für die Restschuld-Versicherung. Oder auch das BGH-Urteil zur Zustimmungs-Fiktion. Alles tiefreichende Eingriffe in die Geschäftsmodelle der Branche, zum Teil mit der Konsequenz, dass es das jeweilige Geschäftsmodell (man denke an den Niedergang der co-gebrandeten Kreditkarten infolge der Interchange-Regulierung) in der tradierten Form nicht mehr gibt. Und nun also: Das Urteil des Landgerichts Heilbronn zum mobilen Banking (siehe am 10. Oktober unsere Story –> Gericht stellt Push-TAN-Verfahren infrage – und versetzt Kreditwirtschaft in helle Aufregung). Nun muss man natürlich ein paar Disclaimer voranstellen: 1.) Es ist ein LG, das hier gesprochen hat, kein OLG und schon gar nicht der BGH; 2.) Konkret ging es in dem Fall um die Ansprüche eines geschädigten Bankkunden – um die Rechtmäßigkeit des modernen Smartphone-Bankings mit Push-Tan und Zwei-Faktor-Authentifizierung ging es nur am Rande; und 3.) Die Heilbronner Richter haben lediglich Fragen aufgeworfen – die Antworten werden (wenn überhaupt) höhere Instanzen geben. Gleichwohl: Die Sache ist nun in der Welt. Und damit stellen sich Fragen, nicht nur rechtliche, sondern auch technische: Inwieweit erfüllt der heutige Marktstandard (also das mobile Banking über nur eine App, wie es von den Sparkassen bis zu den Volksbanken, von der ING Diba bis zu N26 praktiziert wird) den Anforderungen der Zwei-Faktor-Authentifizierung? Wie sicher ist dieser Single-App-Ansatz (zumal in Zeiten sogenannter „Social Engineering“-Attacken)? Und wie sähen mögliche Alternativen aus? Über all diese Fragen haben wir mit einem der profiliertesten Köpfe in dem Feld gesprochen – nämlich dem Sicherheits-Experten und Yaxi-Gründer Vincent Haupert, der dem Thema übrigens auch seine Dissertation („Sicherheit mobiler Bankgeschäfte zwischen Innovation und Regulierung“) gewidmet hat. Auf geht’s: Finanz-Szene (frei zugänglich)
––––––––––––––––––––
… dass der Bank-Verlag (also der in Köln ansässige IT-Spezialist, der für etliche private Banken hierzulande u.a. das Girocard-Processing übernimmt) auf der Suche nach einem neuen Namen ein paar Schritte weiter zu sein scheint? In unserem kleinen Update zur Lage hatten wir neulich ja schon angemerkt, dass intern der Name „BV Vision“ zur Auswahl gestanden haben soll. Wie sich nun indes dem Markenregister entnehmen lässt, hat sich die BdB-Tochter überdies oder stattdessen die Wortmarken „bankvision“ und „BV.bankvision“ gesichert. Bevor jetzt übrigens irgendwer völlig durcheinander gerät: Weder „BV Vision“ noch „bankvision“ noch „BV.bankvision“ sind zu verwechseln mit „Banking.Vision“. Denn: „Banking.Vision“ ist das Portal, auf das einer unserer Werbepartner diese Woche verweist, siehe weiter oben. Koooomplett andere Baustelle.
Wegen Problemen beim IT-Dienstleister FI-TS war das Online-Banking der DKB am Mittwoch stundenlang gestört, auch auf ihre App konnten Kunden nicht zugreifen. Laut Aufzeichnungen des Online-Dienstes „Allestörungen“ erreichte die Zahl der gemeldeten Ausfälle gegen 14 Uhr ihren Höhepunkt und verharrte danach bis in die Abendstunden auf hohem Niveau. Die DKB selber teilte am frühen Abend mit, man arbeite „gemeinsam mit dem Dienstleister weiter an der Lösung“. Wie das „Handelsblatt“ (Paywall) berichtete, waren auch weitere FI-TS-Kunden wie die DWP Bank und die Helaba von den Problemen betroffen. Die FI-TS ist eine Tochter der Finanz Informatik, also des IT-Dienstleisters der Sparkassen, und kümmert sich unter anderem um die Landesbanken und weitere Verbundunternehmen.
Gericht stellt Push-TAN-Verfahren infrage – und versetzt Banken in helle Aufregung
Sparda Baden-Württemberg verabschiedet nach IT-Desaster drei Vorstände
Vorstandschef Heiko Beck ist bester Dinge, als die DWP Bank am 22. März ihre „wpNex“-Plattform vorstellt. Zwar liegt zu diesem Zeitpunkt noch der Schatten der unseligen 60-Mio.-Euro-Panne über dem Frankfurter Wertpapierabwickler, noch ermittelt die Bafin, noch erscheint fraglich, ob Beck seinen Job wird behalten können. An diesem Tag allerdings ist das alles kein Thema. Stattdessen: Die neue Krypto-Plattform! Gebaut, um „die Welt des klassischen Wertpapiergeschäfts mit der Welt des Handels digitaler Werte zu verbinden“, wie es damals heißt. Oder konkreter: Die DWP Bank will ihre „etablierten Schnittstellen zu rund 1.200 Banken und Sparkassen nutzen“ und sich – so Vorstandschef Beck wörtlich – „stärker auf die Zukunftschancen ausrichten“, die sich im Kryptohandel böten. Tatsächlich weiß man in Frankfurt zu dieser Zeit sogar schon von einer Pilot-Transaktion zu berichten. Vollzogen gemeinsam mit MLP Banking. Der eigentliche Zielkunde aber ist ein anderer, nämlich die DZ Bank mit hunderten Volks- und Raiffeisenbanken hintendran. Das genossenschaftliche Zentralinstitut plant bekanntlich den Aufbau eines Krypto-Angebots für den gesamten Sektor. Sprich, für bis zu 30 Mio. Endkunden. Und die Technologie dafür soll von der DWP Bank kommen. So jedenfalls bestätigt es DZ-Bank-Co-Chef Uwe Fröhlich just Ende März. Sechs Monate später indes – ist plötzlich alles anders. Denn laut exklusiven Informationen von Finanz-Szene hat die DZ Bank die DWP Bank ausgebootet. Doch warum? Wieso gerade jetzt? Und wie geht es weiter für das Krypto-Projekt der Genossen, was sind die Folgen für die DWP Bank? Die ganze Geschichte: FS Premium
Auch der Datendiebstahl bei DeuBa, Diba und Coba endet im Darknet
Über die kommunikativen Umstände des Daten-Leaks bei der Deutschen Leasing hatten wir uns ja neulich schon gewundert. Erst – wartete man wochenlang vergeblich auf Details. Dann – war plötzlich vom „Darknet“ die Rede und einem „potenziell betroffenen Personenkreis“, der fast jeden zu umfassen schien, der jemals mit der Sparkassen-Tochter zu tun hatte. Alles irgendwie seltsam! Indes: Neue Recherchen von Finanz-Szene legen nun den Verdacht nahe, dass es weniger am Unwillen lag, dass die Deutsche Leasing nicht transparenter kommuniziert hat. Sondern am Unwissen. Konkret: Unmittelbar nach dem heftigen Cyber-Agriff vom 3. Juni gab das Unternehmen laut unseren Informationen ein forensisches Gutachten in Auftrag – und zwar bei dem auf Cyber-Sicherheit spezialisierten US-Konzern CrowdStrike. Die Antwort kam exakt zwei Wochen später. Demnach hatte CrowdStrike festgestellt, dass von den insgesamt rund 1.400 IT-Servern der Deutsche Leasing gerade mal drei vom Datenabfluss betroffen gewesen seien. Angesichts der Schwere der Attacke ein fast schon beruhigender Befund. Allerdings, so scheint es – auch ein falscher. Die Details: FS Premium
Von den Spardas bis zur Postbank: Alle „Banken-IT“-News von Juni bis August
Die Artikel von Finanz-Szene sind urheberrechtlich geschützt und nur für den jeweiligen Premium-Abonnenten persönlich bestimmt. Die Weitergabe – auch an Kollegen – ist nicht gestattet. Wie Sie Inhalte rechtssicher teilen können (z.B. via Pressespiegel), erfahren Sie hier.
Danke für Ihr Verständnis. Durch Ihr Abonnement sichern Sie ein Stück Journalismus!