Schwerer Hacker-Angriff auf Vorzeige-Fintech Raisin DS

7. August 2021

Von Heinz-Roger Dohms

Schwere Cyber-Attacke auf eines der prominentesten deutschen Fintechs: Das jüngst zum Unicorn aufgestiegene Berliner Investment-Startup Raisin DS ist gehackt worden. Nach Unternehmensangaben haben die Kriminellen dabei auch Zugriff auf personenbezogene Daten wie Stammdaten und Bankdaten erhalten. Betroffen ist allerdings nicht das wichtigste und größte Geschäftsfeld, also das Einlagen-Brokerage („Weltsparen“, „Zinspilot“) – sondern der auf Altersvorsorge spezialisierte, deutlich kleinere Geschäftszweig „Raisin Pension“ (auch bekannt unter dem früheren Namen „Fairr“).

Ingesamt zählte Raisin DS zuletzt 550.000 Kunden, die Zahl der „Pension“-Kunden dürfte im nicht allzu hohen fünfstelligen Bereich liegen. Wie viele Kunden die Altersvorsorge-Sparte genau hat und wie viele von dem Cyber-Angriff konkret betroffen sind, wollte Raisin DS auf Anfrage von Finanz-Szene am Samstag nicht offenlegen.

In einer Kundenmitteilung von Freitag heißt es wörtlich:

„Nach unseren bisherigen Kenntnissen wurde durch Dritte unrechtmäßig auf Daten der Raisin Pension GmbH (ehem. fairr.de GmbH) zugegriffen und damit der Schutz Ihrer personenbezogenen Daten verletzt. Dabei wurde – soweit Sie uns diese übermittelt haben – auf Daten aus folgenden Kategorien zugegriffen: Personenstammdaten, Bankdaten (IBAN-Nummer Ihres hinterlegten Referenzkontos), weitere Vertragsdaten (soweit Sie uns diese übermittelt haben) sowie sogenannte „Hashes” von Zugangsdaten (diese ermöglichen keinen Zugriff auf den Online-Zugang, erlauben es aber prinzipiell, mit sehr erheblichem technischen Aufwand das Passwort für Ihren Zugang bei Raisin Pension (ehem. fairr.de) zu rekonstruieren).“

Der Datenschutzvorfall sei am Dienstag festgestellt worden, teilt Raisin DS mit. Drei Tage später, also am Freitag, wurden die Betroffenen (darunter auch Finanz-Szene-Leser) per E-Mail informiert. „Bislang sind uns vereinzelte Fälle bekannt, in denen Kundendaten zur Kontaktaufnahme über Spam-E-Mails oder Telefonanrufe verwendet wurden“, schreibt Raisin auf seiner Website.

Zwar betont das Fintech, dass die Depotvermögen „zu keinem Zeitpunkt gefährdet“ gewesen seien (was unter anderem mit der Zwei-Faktor-Authentifizierung begründet wird). Auch sei die „Ursache für den Datenschutzvorfall“ (sprich: das Sicherheitsleck) „festgestellt und behoben“ worden, darüber habe man „umgehend alle erforderlichen Maßnahmen ergriffen, um weitere unrechtmäßige Zugriffe auszuschließen“. Indes – für die betroffenen Kunden sind die Vorgänge natürlich trotzdem höchst unappetitlich. So weist Raisin die Kunden unumwunden auf den möglichen Missbrauch der Daten hin. Dabei werden explizit folgende Möglichkeiten aufgelistet:

  • Dass die Kunden telefonisch oder per E-Mail „zur Herausgabe weiterer Daten („Phishing”) sowie zur Leistung von Zahlungen“ verleitet werden könnten
  • Dass die Kriminellen „sich Vorteile durch einen Identitätsmissbrauch“ verschaffen könnten
  • Dass Lastschriften zu Lasten des Referenzkontos durchgeführt werden
  • Dass (siehe auch das Zitat weiter oben) unter gewissen Umständen auch das Passwort zum Zugang bei Raisin Pension entschlüsselt werden könnte

Dementsprechend rät Raisin den Kunden, dass Zugangspasswort zu ändern, auf Bewegungen auf dem Referenzkonto  zu achten und dabei insbesondere die Rechtmäßigkeit von Lastschriften zu prüfen.

Wie stark sich der Fall auf die geschäftliche Entwicklung von Raisin auswirkt bleibt abzuwarten. Die bisherige Erfahrung zeigt, dass gelegentliche Sicherheitsvorfälle den Aufstieg der Fintech-Branche nicht wirklich verlangsamt, geschweige denn gestoppt haben.

  • Das bis vor Kurzem (und vermutlich auch bald wieder) höchstbewertete deutsche Finanz-Startup N26 hat seit Jahren immer mal wieder Ärger mit der Bafin und gelegentlich auch mit Verbraucherschützern oder dem Berliner Datenschutzbeauftragten – trotzdem gehört das Startup gemessen an der Kundenzahl inzwischen zu den größten deutschen Direktbanken.
  • Beim auch hierzulande sehr präsenten größten europäischen Fintech Klarna gab es Ende Mai ein ernstzunehmendes Datenleck. Die Aufregung versandete allerdings rasch, nur wenige Tage später vermeldeten die Schweden, dass sie im Rahmen einer neuen Finanzierungsrunde jetzt mit 46 Mrd. Dollar bewertet würden – und schon war die Datensache aus den Schlagzeilen getilgt
  • Und noch ein drittes Beispiel: Ein nach unserem Eindruck mit Raisin grob vergleichbarer Vorfall ereignete sich im vergangenen Herbst (betroffen damals: rund 20.000 Kunden) beim Münchner Raisin-Wettbewerber Scalable Capital – wiewohl es damals offenbar ein Mitarbeiter war, der auf die Daten zugriff. Doch auch Scalable hat seine Bewertung seitdem massiv gesteigert und wird von seinen Geldgebern inzwischen ebenfalls auf einen Milliardenbetrag taxiert (hören Sie hier unseren entsprechenden Podcast mit Scalable-Gründer Erik Podzuweit).

Was den Raisin-Fall indes von anderen unterscheiden könnte: Bei ihrem Altersvorsorge-Produkt (das damals noch „Fairr“ hieß und das wegen seiner günstigen Kostenstruktur von Verbraucherschützern per se geschätzt wird) hatten es sich die Berliner vor einiger Zeit schon einmal mit vielen Kunden verscherzt, siehe unsere Analyse -> Wie Raisin mit dem Kauf von Fairr in die Riester-Falle tappte. Der Grund, in a nutshell: Um die Riester-Beitragsgarantie nicht zu gefährden, hatte Fairr bzw. hatte die als Depotverwalter und Garantiegeber fungierende Hamburger Sutor Bank infolge des Corona-Börsencrashs die Aktienquote in den Depots auf Null gesenkt. Kurz darauf allerdings erholten sich Märkte fulminant – und die Fairr-Vorsorger bleiben außen vor. Seitdem modifizierte Fairr bzw. Raisin Pension das Modell nochmals und legte Riester-Kunden auch einen Neuabschluss in einem neuen Modell nahe, um wieder höhere Aktienanteile fahren zu können. Und nun also: Die nächste schlechte Nachricht. Verknusen die Kunden diese auch noch?

Eine interessante Frage ist derweil: Warum wurde ausgerechnet „Raisin Pension“ gehackt, aber nicht das deutlich größere Einlagengeschäft? Zufall – oder war die ehemalige Fairr, die Ende 2019 von Raisin übernommen worden war, womöglich schlechter gegen einen Cyber-Angriff gewappnet? Fest jedenfalls steht: Mit der einsetzenden Konsolidierung in der Fintech-Branche (Raisin hat sich jüngst ja auch den langjährigen Erzrivalen Deposit Solutions einverleibt, siehe hier und hier) steigen die technische Komplexität und damit auch die operationellen Risiken.

Wie Raisin mit dem Kauf von Fairr in die Riester-Falle tappte

Datenpanne bei Scalable Capital: Tausende Kunden betroffen

NEWSLETTER

Deutschlands führender Banken-Newsletter. Jetzt abonnieren!

Share

Share on facebook
Share on twitter
Share on linkedin
Share on xing