FINTECH19. Oktober 2020

Scalable Capital meldet Datenpanne – offenbar 20.000 Kundendatensätze betroffen

Scalable Capital

Das Münchner FinTech Scalable Capital, bekannt als Robo-Advisor und Brokerage-Service, hat offenbar ein größeres  Datenschutzproblem. Wie das Unternehmen in einem Schreiben mitteilt, soll eine Person auf die Online-Postfächer von 20.000 Kunden zugegriffen haben. Immerhin: Ein Hack sei das nicht, eine technische Sicherheitslücke soll in diesem Zusammenhang nicht bestehen.

Scalable Capital, einer der bekanntesten und erfolgreichsten Robo-Advisor (mit kürzlich angekündigtem Low-Fee-Broker) auf dem deutschen Markt, hat am Montag 20.000 Kunden darüber informiert, dass eine Person sich auf das Dokumentenarchiv Zugriff verschafft haben soll.

Nach unseren bisherigen Kenntnissen wurde unrechtmäßig auf einen Teilbestand von Dokumenten zugegriffen, der in unserem digitalen Dokumentenarchiv abgelegt ist. Der Zugriff auf das betroffene Archiv erfolgte unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechende Zugänge verfügbar ist.”

Aus dem Schreiben von Scalable Capital

Laut dem Unternehmen sei der Zugriff nicht durch eine technische Sicherheitslücke erfolgt, ein Hack von außen ist das Ganze also wohl nicht. Betroffen seien persönliche Daten der Kunden – etwa Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifikation des Kunden (also auch Ausweisdaten!) sowie die im Rahmen der Geeignetheitsprüfung erfassten Informationen und Daten zum Wertpapierdepot und Konto (also etwa Berichte, Wertpapierabrechnungen, Rechnungen) und steuerliche Daten (die Steuer-ID des Kunden).

Scalable Capital: Auf umfangreiche persönliche Daten zugegriffen

Alles in allem also eine ganze Menge an Daten, die man nicht anderswo sehen will. Und auch wenn die Scalable Capital betont, dass das bei der Depotbank verwahrte Vermögen zu keiner Zeit gefährdet gewesen sei, stimmt das Kunden und solche, die es werden wollen, nur wenig milde. Gut zu wissen, aber auch: Die Passwortdatenbank für den Zugriff auf den Scalable-Capital-Zugang sei nicht betroffen gewesen. Und: Unautorisierte Transaktionen, Auszahlungen und Wertpapierorders sind dadurch nicht möglich.

Wie gefährlich ist das nun für die betroffenen Kunden? Scalable Capital rät dazu, jetzt besonders vorsichtig zu sein, wenn jemand per E-Mail oder Telefon versucht, einen zu bestimmten Verhaltensweisen zu bewegen und dazu Teile der oben genannten Informationen angibt. Betrüger könnten in Zukunft versuchen, einen zur Preisgabe vertraulicher Informationen oder gar Transaktionen zu überreden. Auch lässt sich beispielsweise mit einigen der Daten bei Dritten Schaden anrichten (Identitätsmissbrauch, etwa mit der Steuer-ID oder den Ausweis- und Legitimationsdaten).

Scalable Capital: Achtung bei Phishing-Versuchen

Die Scalable Capital-Gründer Erik Podzuweit, Florian Prucker, Stefan Mittnik. Scalable Capital

Wie Scalable Capital mitteilt, analysiere und dokumentiere man derzeit noch den Sachverhalt weiter und arbeite mit externen IT-Security-Experten zusammen. Das wird das Unternehmen schon aus Dokumentationsgründen tun, etwa um entsprechende Sachverhalte im Nachhinein gegenüber den Ermittlungsbehörden, der Bayerischen Datenschutzbehörde und der Bafin sowie anderen Aufsichtsbehörden nachweisen zu können. Denn ein Nachspiel wird all das spätestens dann haben, wenn Kunden gegen das Unternehmen rechtlich vorgehen sollten.

Kunden sollten besonders in den nächsten Tagen und Wochen auf ihr Konto achten – und sich im Rahmen der BSI-Grundsätze insbesondere vor Phishing, Identitätsmissbrauch und ungewöhnlichen Kontobewegungen hüten. Immerhin lässt sich Geld vom Anlagekonto selbst bei einem Phishing-Versuch nicht direkt auf ein fremdes Konto transferieren (erst nach Änderung des Referenzkontos, was immerhin ein zweiter, vorgelagerter Schritt ist, den das Unternehmen wohl jetzt im Blick behalten wird). Wenig tröstlich allerdings, dass Scalable Capital hier nicht mehr tun kann, als den Kunden zur Wachsamkeit in Sachen Sicherheit anzuhalten. So oder so wird sich der Kundenservice des Unternehmens in den nächsten Tagen zahlreiche Fragen gefallen lassen müssen.tw

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert