Nachrichten, die keiner hören will – Anleger nicht, Gründer nicht und auch Geschäftsführer nicht. Am vergangenen Montag wurde bekannt, dass es beim digitalen Vermögensverwalter Scalable Capital zu einem Datenleck gekommen ist. Gründer Erik Podzuweit ging in die Offensive und informierte darüber, das rund 20.000 Kunden betroffen von dem Leck seien. Ein Fünftel der Kunden sei betroffen. Diejenigen aus der Partnerschaft mit der ING oder anderen Kooperationspartnern allerdings nicht.
Dennoch: Die Kunden waren alarmiert. Die Auswirkungen ließen nicht lange auf sich warten: Innerhalb kürzester Zeit war weder über Webseite noch über die App ein Zugriff möglich – Systemüberlastung!
Anzeichen zeigen: interne und illegale Aktion
SuperGAU, oder nur ein Sturm im Wasserglas? Der in München ansässige Robo Scalable Capital reagierte schnell und schickte ihren Kunden Informationen und klärte auf, dass „unrechtmäßig auf einen Teilbestand von Dokumenten zugegriffen“ worden sei.
Jemand habe sich Zugriff auf Kontaktdaten, Ausweisdaten, Steuernummern, Wertpapierabrechnungen und Kontonummern verschafft. Kunden müssen bei Scalable Capital ein Referenzkonto bei einer anderen Bank hinterlegen. Die Passwörter der Kunden habe der Angreifer aber nicht lesen können, erklärte das Unternehmen. Es handelte sich teilweise um sensible Daten wie die Steuer-Identifikationsnummer und die Depotwerte.
Die Staatsanwaltschaft München ist eingeschaltet
Einen Hackerangriff schließt das Unternehmen aus, denn weiter heißt es: Der Zugriff auf das betroffene Archiv erfolgte unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar ist. Mittlerweile sind die Finanzaufsicht Bafin, die Datenschutzbehörde Bayern, Bundesbank und Staatsanwaltschaft eingeschaltet. Das Unternehmen hat umgehend das Ermittlungsverfahren eingeleitet.
Hackerangriffe, Datenlecks und Zugriffe auf Kundendaten kommen immer wieder vor, vor allem die Finanzbranche ist immer wieder beliebtes Ziel für IT-Hacker. Auch Experten schlagen immer wieder Alarm. Nicht zum ersten Mal wurden sensible Daten gehackt, zuletzt hatte es unter anderem Mastercard im Jahr 2019 hart getroffen.
Wie beurteilt das Payment & Banking-Team das Datenleck bei Scalable? Nur ein Sturm im Wasserglas oder welche Konsequenzen hat der Vorgang beim Münchner Robo-Advisor?
André M. Bajorat
WTF war auch mein Gedanke. Und zugleich gepaart mit der Frage, was wohl passieren kann mit meinem eigenen Depot bei Scalable. Die Antworten, die mir Scalable in der sehr klaren und offenen Kommunikation gab, beruhigten mich aber erst einmal. Die spannende Frage wird sein, ob jemand mit den gestohlenen Daten andere Dinge versuchen wird. Das wird die Zeit zeigen. Leider kann man sich gegen interne Angriffe wohl noch schlechter schützen als gegen externe.
Maik Klotz
Doof und ärgerlich, aber die wichtigere Nachricht ist: Es ist kein Datenleck. Es sind keine Daten von extern abgezogen worden, es gab keine externe Sicherheitslücke. Das Datenleck war wahrscheinlich ein Datendiebstahl. Das darf auch nicht passieren, aber es ist etwas komplett anderes als wenn Daten durch ein Sicherheitsloch von außen abgezogen werden. Vorbildlich war die Kommunikation nach außen. Ein Fintech, welches verstanden hat, wie Krisenkommunikation funktioniert. Scalable wird durch diese Krise gut kommen, davon bin ich überzeugt.
Christina Cassala
Der ganz große Aufschrei in der Branche ist bislang ausgeblieben. Zwar haben die Medien das Thema dankbar aufgegriffen, denn Datenklau oder -leck klingt immer nach Skandal und vielen geprellten Kunden. Doch so, wie sich die Situation aktuell jedoch zeigt, ist der ganz große Eklat bislang ausgeblieben, denn die Gründer haben besonnen und transparent kommuniziert. Es ist ein Beispiel dafür, wie wichtig und richtig es ist, sich als Gründer authentisch zu zeigen, Pannen einzugestehen und zu betonen, mit Hochdruck an der Behebung zu arbeiten. Davon könnten sich andere Akteure der Branche ein Scheibchen abschneiden. Kunden dürfen nicht vergessen werden, sondern müssen zu Mitwissern gemacht werden.
Kilian Thalhammer
Datenthemen sind immer relevant – also selten ein Sturm im Wasserglas. Allerdings dürfen wir auch nicht in die Denke verfallen „Das ist doch ein Startup – war ja klar, dass das da passiert“. Jeder sollte lieber selbst reflektieren, was „im eigenen Laden“ passieren könnte.
Die „Art der Daten“ erschreckt mich etwas, vor allem dann, wenn man im Kontext sieht, wie der ein oder andere Aufschrei da ist, wenn es „nur“ um „cc“-Daten geht. Als Enduser ist der Schaden überschaubar, denn die kann ich als Enduser schnell sperren.
Datendiebstähle werden leider zu nehmen – und oft kommt der Feind von innen – sehr schwer das zu managen v.a. um nicht die ganze Organisation zu “bestrafen” und sich dann ggf. auch einen Wettbewerbsnachteil reinholen. Da wünsche ich dem Gründer Erik Podzuweit gutes Augenmaß und Fokus (und das Ausblenden der Schlaumeier….).
Jochen Siegert
Nicht gut, gar nicht gut. Nicht gut für das notwendige Vertrauen einer breiten Öffentlichkeit in (skalierte) Fintech-Modelle und gar nicht gut für Scalable im speziellen. Dieses negative Beispiel sollte einmal mehr eine deutliche Warnung für andere StartUps sein viel mehr Fokus auf nicht-funktionelle Anforderungen zu setzen. Gerade bei einer schnellen Skalierung werden funktionale Anforderungen wie Kundenflows oft über nicht-funktionale Anforderungen priorisiert. Leider sieht man den Developmentaufwand z.B. in Security, Zugangskontrollen, Vieraugen-Prinzipien nicht. Aber diese nicht-funktionellen Anforderungen sind genauso wichtig, wie neue Produktfeatures. Klar, ein gezielter Mißbrauch von kriminellen Mitarbeitern lässt sich nie 100% ausschließen, aber zumindest stark minimieren. Wenn solch sensitive Kundendaten verschlüsselt abgelegt bzw. archiviert werden und kein einzelner Mitarbeiter über den alleinigen Zugangsschlüssel verfügt, lässt sich Missbrauch zumindest stark minimieren.