Datenpanne bei Scalable Capital: Tausende Kunden betroffen

20. Oktober 2020

Von Heinz-Roger Dohms

Beim größten deutschen Robo Advisor Scalable Capital ist es zu einem Datenvorfall gekommen. Wie Gründer Erik Podzuweit am Montag Abend gegenüber Finanz-Szene.de erklärte, sind rund 20.000 Kunden betroffen – darunter allerdings keine Kunden, die über die Vertriebskooperation mit der ING Diba zu Scalable fanden und auch keine Kunden von Whitelabel-Partnern wie der Targobank. „Nach unseren bisherigen Kenntnissen wurde unrechtmäßig auf einen Teilbestand von Dokumenten zugegriffen, der in unserem digitalen Dokumentenarchiv abgelegt ist“, heißt es in einer E-Mail, die den Betroffenen am Abend zuging (siehe auch hier).

Weiter steht dort: „Der Zugriff auf das betroffene Archiv erfolgte unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar ist.“ Diese Formulierungen dürfen ein klarer Hinweis sein, dass es sich beim mutmaßlichen Täter (sofern es denn ein Einzeltäter war) um einen Mitarbeiter von Scalable handelt. Um einen Hackerangriff scheint es nicht zu gehen, denn an einer Stelle des Schreibens heißt es: „Der Zugriff erfolgte nach aktuellem Kenntnisstand nicht durch die Ausnutzung einer unmittelbar von außen ausnutzbaren technischen Sicherheitslücke.“

Dem Kundenschreiben zufolge könnten folgende Kategorien von personenbezogenen Daten entwendet worden sein:

  • Personalien und Kontaktdaten
  • Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten)
  • im Rahmen der Geeignetheitsprüfung erfasste Informationen
  • Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie
  • steuerliche Daten (etwa Steueridentifikationsnummer).

Zugleich stellt Scalable klar:

„Wir möchten betonen, dass aufgrund des Vorfalls Ihr bei der Depotbank verwahrtes Vermögen zu keinem Zeitpunkt gefährdet war. Es waren stets nur autorisierte Wertpapierorders, Auszahlungen oder sonstige Transaktionen möglich. Die Vertraulichkeit Ihres Passworts zum Zugriff auf Ihren Kundenbereich bei Scalable Capital ist unverändert gewährleistet.“

Scalable Capital hatte nach corona-bedingten Problemen zuletzt gleich mehrere Zeichen der Stärke gesetzt: Mitte Juni verkündeten die Münchner den Einstieg ins digitale Retail-Brokerage. Ein Monat später wurde eine weitreichende Kooperation mit der britischen Barclays Bank öffentlich, im August folgte eine 30 Mio. Euro schwere Finanzierungsrunde, die den Unternehmenswert auf rund 400 Mio. Euro hievte. Die Zeichen standen eindeutig auf Expansion (so soll Scalable inzwischen auch ohne die B2B-Kooperation auf mehr als 100.000 Kunden kommen …). Insofern bedeutet der Datenvorfall einen merklichen Rückschlag. Schließlich ist das Vertrauen der Kunden die wichtigste Währung für junge Fintechs – zumal für solche, die im Bereich Geldanlage unterwegs sind.

Banken sind verpflichtet, derartige Datenpannen und mögliche Folgen unverzüglich gegenüber Betroffenen und auch Aufsehern zu melden. So benennt der Brief an die Betroffenen offen die möglichen Folgen des Datendiebstahls: „Generell könnte mit Hilfe der Daten versucht werden, Sie zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen. Weiterhin könnte der Versuch unternommen werden, Dritte mit Ihrer Identität zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch).“

Zur Frage, welche Maßnahmen getroffen wurden, nachdem der Vorfall bekannt wurde, heißt es: „Wir haben umgehend alle erforderlichen Maßnahmen ergriffen, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen. Darüber hinaus haben wir die zuständigen Aufsichtsbehörden informiert. Der Sachverhalt wird zur Zeit weiter analysiert, dokumentiert sowie laufend überwacht. Hierzu haben wir auch externe Experten für Informations- und IT-Sicherheit hinzugezogen. Wir arbeiten mit den zuständigen Behörden zusammen. Ein Ermittlungsverfahren wurde eingeleitet.“

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing