Datenleck bei Banken: Hackerangriff betrifft auch ING und Comdirect
Der Hackangriff bei einer Arvato-Tochter betrifft nicht nur Kunden der Deutschen Bank. Auch die ING und Comdirect haben einen unbefugten Zugriff eingeräumt.
Der Hackerangriff bei einem externen Dienstleister betrifft auch Kunden der ING.
(Bild: ING-DiBa AG)
Das Anfang Juli 2023 bekannt gewordene Datenleck bei einem Finanzdienstleister fällt größer als bislang angenommen aus. Neben der Deutschen Bank sowie der Postbank, die bereits den Zugriff auf sensible Kundendaten durch Unbefugte eingeräumt hatten, sind nun auch weitere Finanzinstitute betroffen: Sowohl die ING sowie die zur Commerzbank gehörende Comdirect haben mit dem Dienstleister Kontowechsel24.de zusammengearbeitet.
Als Ursache für das Datenleck nannte das Unternehmen Majorel, zu dem Kontowechsel24.de über die KWS Kontowechsel Service GmbH gehört, gegenüber heise online eine Sicherheitslücke in der Software MOVEit. "Der Angriff hat stattgefunden, bevor die Sicherheitslücke der Software öffentlich wurde und betraf ausschließlich ein einzelnes System, das mit der MOVEit Software in Deutschland betrieben wird", so eine Unternehmenssprecherin. Wie viele Kunden konkret betroffen sind, konnte Majorel nicht beantworten.
Nicht alle Kunden sind betroffen
Derzeit ist davon auszugehen, dass nur ein Teil der Kundschaft der jeweiligen Banken betroffen ist. Laut Deutscher Bank und Postbank bestand der Zugriff nur auf Daten derjenigen, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechselservice des Finanzinstituts genutzt haben. Die ING erklärte auf Nachfrage gegenüber heise online, dass "eine niedrige vierstellige Zahl an Kundinnen und Kunden" betroffen sei. "Nach aktuellem Kenntnisstand war ausschließlich die gesetzliche Kontowechselhilfe, nicht aber der bei uns sehr viel häufiger genutzte Kontowechselservice betroffen", so ein ING-Sprecher. Comdirect konnte keine Zahl nennen.
Auf welche Daten die Hacker Zugriff erhalten haben, haben ING und Comdirect nicht kommentiert. Die Rede ist lediglich von personenbezogenen Daten. Zuvor hatten die Deutsche Bank sowie die Postbank eingeräumt, dass die Unbefugten Vor- und Zunamen sowie die IBAN der Kunden kopieren konnten. Für einen Kontozugriff reichen diese Daten nicht aus, sie ermöglichen aber unberechtigte Lastschriften – etwa für Bestellungen im Online-Handel. Kunden der Finanzinstitute sollten deshalb Abbuchungen genau kontrollieren und im Zweifel die Bank kontaktieren.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Die von Progress entwickelte Software MOVEit fiel in den vergangenen Wochen durch mehrere, teils kritische Sicherheitslücken auf. Die dadurch möglichen Cyberangriffe haben bislang allein in Deutschland neben den inzwischen bekannt gewordenen Banken auch verschiedene Krankenkassen, darunter die AOK Niedersachsen sowie die Barmer, getroffen. Laut KonBriefing sind es weltweit mehr als 250 Unternehmen aus den verschiedensten Branchen. (pbe)
