Blick in fremde Konten: Massive Probleme beim Onlinebanking von Comdirect
Kunden von Comdirect hatten am heutigen Montagmorgen Zugriff auf die Konten anderer Kunden. Wenn sie sich einloggten, landeten sie nicht in ihren Konten sondern konnten fremde Kontostände einsehen. Comdirect hat sich noch nicht geäußert.
Kunden der Direktbank Comdirect hatten am Montagmorgen nach dem Einloggen in ihr Konto Einblick in fremde Konten. Mehrere Leser von heise online konnten das Problem nachvollziehen. Demnach konnten sich die Nutzer zwar einloggen, sahen dann aber die Kontodaten – also beispielsweise den Kontostand – anderer Nutzer und konnten auch das Postfach einsehen. Teilweise gelang der Login allerdings erst nach mehreren Versuchen, dann aber landeten die Nutzer in fremden Konten.
Wie weit die Zugriffsrechte gingen, ist derzeit noch unklar. Von Comdirect gibt es derzeit noch keine Stellungnahme zu der massiven Lücke. Die Bank hatte für die Nacht zum Montag "umfangreiche Wartungsarbeiten" angekündigt; auf den Facebook- und Twitter-Accounts von Comdirect häufen sich mittlerweile die Berichte von Kunden zu dem schwerwiegenden Fehler, ohne dass Mitarbeiter der Bank bislang darauf reagiert hätten.
[Update 18.07.2016 10:33]:
Als erste Reaktion scheint die Bank ihren Online-Auftritt offline genommen zu haben: Derzeit ist die Site nicht erreichbar. Die SSL-Verbindung beim Zugriff wird vom Server zurückgesetzt, da die Seiten nicht geladen werden können.
[Update 18.07.2016 11:11]:
Die Website von Comdirect ist zwar wieder erreichbar, der "persönliche Bereich" mit dem Kunden-Login zum Konto ist aber weiterhin offline. Kunden, die bereits eingeloggt waren, erhalten die Meldung, eine Funktionsstörung liege vor. Eine Stellungnahme der Bank zu der Panne steht allerdings weiterhin aus, auch auf den Social-Media-Kanälen gibt es bislang keine Informationen für die betroffenen Kunden.
[Update 18.07.2016 11:20]:
In einer ersten Information an die Kunden zur Erklärung der Website-Probleme hieß es von Comdirect auf Facebook. "aufgrund technischer Probleme" würden die Systeme der Bank gerade neu gestartet: "Dieser Neustart führt zu einer eingeschränkten Erreichbarkeit der Website. Wir bedauern die Störung und bitten euch um Geduld."
[Update 18.07.2016 11:40 Uhr]
Inzwischen hat sich Comdirect gegenüber heise online zu den Fehlern geäußert. Die Bank bestätigte, dass in der Nacht zum Montag routinemäßig neue Software eingespielt worden sei. Nach den Berichten über die Probleme beim Kontenzugriff habe man am Montagvormittag ein Update durchgeführt, wodurch die Seite für etwa 30 Minuten nicht zugänglich gewesen sei. Inzwischen sei der Zugriff für Kunden wieder problemlos möglich. Was genau davor passiert war, werde nun geprüft. Sobald intern klar sei, was zu dem Fehler geführt habe, in welchen Umfang Zugriff auf fremde Konten möglich war und wieviele Kunden betroffen gewesen seien, werde man sich äußern und sich auch an eventuell betroffene Kunden wenden.
[Update 18.07.2016 13:40 Uhr]
Wie heise online aus internen Quellen zugetragen wurde, war wohl ein Datenbank-Fehler für die Probleme verantwortlich. Intern sei bereits kurz nach 9 Uhr aufgefallen, dass etwas nicht klappte, aber auf einen Hinweis sei anderthalb Stunden lang nicht reagiert worden. Wie viele Kunden betroffen waren, sei nicht abzusehen, da nur ein Bruchteil sich gemeldet haben dürfte. Außerdem sei ein finanzieller Schaden für die Kunden aufgrund der Sicherheitsvorkehrungen quasi ausgeschlossen. Der Schaden dürfte sich auf den Ruf des Unternehmens und den Datenschutz der Kunden beschränken.
Die Online-Bank hat rund 2 Millionen Privatkunden. Für sie werden rund 959.000 Depots und 1,29 Millionen Girokonten verwaltet (Stand: 1. Quartal 2016). Das betreute Vermögen betrug Ende März 39,80 Milliarden Euro. Die Commerzbank ist zu 81,30 Prozent Haupteigentümer von Comdirect, die übrigen Aktien befinden sich in Streubesitz.
[Update 18.07.2016 16:20 Uhr]
Comdirect hat den Fehler inzwischen gegenüber heise online eingestanden, aber versichert, dass er nun nicht mehr auftreten könne. Betroffen waren demnach "nur wenige Tausend" der 2 Millionen Privatkunden. In einem fremden Konto seien keine Überweisungen nach außen möglich gewesen, aber interne – beispielsweise von einem Tagesgeld- auf ein Girokonto. Dafür werde keine TAN benötigt. (mho)