Fremde Kontodaten einsehbar: Die Hintergründe zur großen Comdirect-Panne

Wenn Bankkunden kurzfristig auf ihr Konto oder Depot nicht zugreifen können, dann ist das ärgerlich genug. Noch ärgerlicher als ein solcher Ausfall ist aber, wenn die Kunden Informationen und Kontobewegungen mitsamt Verwendungszweck über fremde Konten einsehen können. Und genau das ist aufgrund einer technischen Panne bei der Comdirect, der zur Commerzbank gehörenden Direktbank aus Quickborn passiert. Und selbst als die Comdirect davon ausging, das Problem unter Kontrolle zu haben, war der Spuk noch nicht vorbei. – Das sind die Hintergründe und das sagt das Institut zu dem Vorfall, den es vor fünf Jahren schon mal mit ähnlichen Auswirkungen gab.

Die Onlinebank Comdirect hatte am Montag mit einer recht hartnäckigen IT-Panne zu kämpfen. Nach einem in der Nacht von Sonntag auf Montag geplanten monatlichen Release-Update kam es zu einem technischen Problem, das in den zuvor erfolgten Tests nach Angaben der Bank nicht aufgetreten war. „Betroffen war die Exportfunktion auf unserer Website, die Kunden nutzen, um Konto- und Depotumsätze gesondert abzuspeichern. Ab dem Morgen konnten Kunden vereinzelt kundenbezogene Informationen wie Konto- und Depotumsätze anderer Kunden einsehen“, erklärt eine Sprecherin der Comdirect auf Anfrage von IT-Finanzmagazin.

Dabei trat der Fehler auf, wenn sich Nutzer den Kontenverlauf der vergangenen 30 Tage anzeigen ließen. Es sei ausschließlich die Ansicht der Daten möglich gewesen – und dies auch nur beim CSV-Export, den wohl nur ein Teil der Kunden nutzen dürfte. Transaktionen seien nicht möglich gewesen, betont die Bank. Man sei aber noch mit der Analyse des Vorfalls beschäftigt, räumt die Sprecherin ein.

Dennoch ist all das natürlich ein ernsthaftes Problem in Hinblick auf die Privatsphäre, was das Unternehmen auch nicht in Abrede stellt. Denn selbst wenn die persönlichen Daten der jeweiligen Kontoinhaber nicht aufgeführt waren, ermöglichen die Verwendungszweck-Einträge der Buchungen in vielen Fällen Rückschlüsse auf die Personen, die es betrifft. Offenbar waren neben den Bewegungen des Girokontos und der dazugehörigen Kreditkarte auch Börsentransaktionen einsehbar, was naheliegend ist, da das Depotkonto frei wählbar ist und auch das Girokonto sein kann.

Bugfix zunächst nicht erfolgreich – zweiter Anlauf nötig

Um dies schnellstmöglich zu unterbinden, hat die Bank die Anzeige der Kontoumsätze und Depotumsätze auf der Website für alle Kunden deaktiviert, also die Kunden kurzerhand ausgesperrt. Aktionen wie Überweisungen und der Handel von Wertpapieren waren für die Kunden aber weiterhin jederzeit möglich, da die Comdirect-App davon nicht betroffen war. Und natürlich war auch – anders als bei größeren Pannen anderer Banken im vergangenen Jahr – weder der Zugriff auf Geldautomaten gestört noch das bargeldlose Bezahlen.

Doch das Bugfixing lief offenbar nicht so reibungslos wie erhofft: Denn anders als erwartet bestand das Problem am frühen Nachmittag weiterhin, sodass die Comdirect einen zweiten Anlauf starten musste, den Bug zu fixen. „Um 16:17 Uhr war das Problem behoben. Kunden konnten sich dann auch wieder die Kontoumsätze und die Depotübersicht auf der Website korrekt anzeigen lassen“, erklärt die Sprecherin.

Die Deaktivierung betraf alle Kunden, die die Depotübersicht oder die Kontoumsätze auf der Website aufrufen wollten – eine Vielzahl, die dies über die App tut, dürfte indes von dem Fehler gar nicht bemerkt haben. Was aber wiederum auch bedeutet, dass die Handelsfähigkeit und die Funktionen des Kontos an sich nicht eingeschränkt waren, außer für jene Kunden, die die App gar nicht nutzen und folglich auch nicht freigeschaltet hatten – ein wichtiges Thema, wenn es um gegebenenfalls zu verantwortenden Schadensersatz geht.

Ob man als Kunde von dem Vorfall betroffen war, lässt sich im Postfach nachlesen. Die Comdirect erklärt, man bedauere den Vorfall sehr und werde die betroffenen Kunden voraussichtlich am Dienstag schnellstmöglich darüber informieren. Zusätzlich stehe man mit Datenschutzbehörden im Austausch.

Wir sind uns der Tragweite solcher Themen bewusst. Und wir setzen weiterhin alles dran, hier bestmögliche Sicherheit zu gewährleisten. Selbstverständlich führen wir bei allen Software-Updates sehr umfangreiche Vorabtests durch. Wir haben in Folge des aktuellen Vorfalls weitere technische und organisatorische Maßnahmen ergriffen, die sicherstellen, dass sich dieser Fehler nicht wiederholt.”

Eine Comdirect-Sprecherin

Comdirect-Panne: Parallelen zu einem Vorfall von 2016

Welche Maßnahmen dies konkret sind, dazu macht die Bank keine Angaben. Klar ist aber, dass eine solche Datenpanne, insbesondere wenn sie wiederholt vorkommt, einen enormen Imageverlust bedeuten würde – auch und insbesondere für eine etablierte Bank, der man das agile Neobanken-Image nicht unterstellt und bei der knapp zwei Millionen Konten ihre Kontoverbindung haben (und in vielen Fällen das Erstkonto dort unterhalten). Wir erinnern uns: Einen gravierenden Fall, bei dem Kunden fremde Konten einsehen konnten, hatte das Unternehmen bereits 2016. Und die Commerzbank, zu der die Comdirect ja mehr denn je gehört, in die sie gerade integriert wird, hatte im Sommer vergangenen Jahres zwei größere Ausfälle.

Ob es zu dem Fall vor fünf Jahren unter der Haube technische Parallelen gibt, bleibt bislang unklar. Im Ergebnis ähneln sich die Fälle jedenfalls. Einiges deutet darauf hin – und natürlich fragt man sich, ob der Fehler im Zusammenhang mit der technischen Integration der Comdirect in die Commerzbank steht. Hierzu erklärt das Unternehmen, mit der Integration von Comdirect in die Commerzbank habe der Fehler nichts zu tun gehabt. Wirklich beruhigend ist all das für die Kunden dennoch nicht. tw