Sicherheits-Panne der Fidor Bank: 1.600 Kunden hätten fremde Kontodaten sehen können – 280 haben es …

Egal wie gut man ist – in jedem Code stecken Fehler. Das ist nun der Fidor Bank zum Verhängnis geworden. Ausgerechnet ein Sicherheitssystem eines Technologie-Partners (“herausragende internationale Unternehmen mit bester Reputation”) hätte den Fehler verursacht, über den sich 280 Fidor Bank Kunden bis zu 40 Minuten lang Kontodaten und Bewegungen anderer Kunden angesehen haben (mobiflip berichtete). Wir haben nachgefragt – und die Bank hat offen (soweit das geht) geantwortet.

Fidor selbst sagt: “Aufgrund dieses Fehlers kam es gestern vereinzelt und kurzzeitig nach dem Fidor Bank Konto-Login zu einer fehlerhaften Online-Konto-Ansicht”. Wir haben bei Fidor nachgefragt – hier die Antworten:

Was waren die Gründe für die Panne?

Bei einer Neukonfiguration von Parametern der Fidor.de-Webseite ist am 2. August ab ca. 17:50 Uhr für ca. 40 Minuten ein technischer Fehler aufgetreten. Dieser Fehler trat in einer Dritt-Applikation auf. Jedem Live-Gang einer Neukonfiguration gehen intensive Tests voraus. Dies gilt auch und insbesondere bei Dritt-Applikationen, also bei Systemen, die von Partnern geliefert werden. Im vorliegenden Falle handelte es sich – ironischerweise – um einen Bestandteil unserer Internet-Sicherheits-Software, die diesen Fehler verursacht hatte. Auch in diesem Fall wurde intensiv getestet, jedoch konnte der Fehler im Vorfeld offenbar nicht identifiziert werden. Gemeinsam mit dem Partner wird besprochen, wie derartige Fehler vermieden bzw. auch frühzeitig entdeckt werden können.

In welcher Dritt-Applikation trat der Fehler auf?

Sehen Sie uns bitte nach, wenn wir diese Frage nicht beantworten, da wir damit Teile unseres Sicherheitskonzepts sowie unserer Technologie-Partner offenlegen würden. Damit wäre weder Ihnen noch unseren Kunden geholfen. Ohne jedoch auf Sicherheitskomponenten einzugehen, können wir wie folgt konkretisieren: Wir werden unser schon umfangreiches Testing in Zukunft noch besser machen, um auch die verstecktesten Problemverursacher noch eher zu erkennen.

Unabhängig davon: Die vielschichtigen Sicherheitsmaßnahmen der Fidor Bank haben gut gegriffen und dazu beigetragen, dass trotz dieses Anzeige-Fehlers die Sicherheit der Kundenkonten zu keinem Zeitpunkt gefährdet war. Neben der technologischen Sicherheit gibt es bei der Fidor Bank auch organisatorische Sicherheitsmaßnahmen. Dazu gehört, dass wesentliche Funktionen wie das Ausführen von Transaktionen oder Adressänderungen nur per gesicherter MTAN und der Eingabe der persönlichen Geheimzahl FIN getätigt werden können und hierbei ein zweites Medium (Telefon) verwendet werden muss. Dies erscheint manchen Kunden manches Mal etwas umständlich, jedoch würde Einfachheit zu Lasten der Sicherheit gehen.

Dieser unerbetene Vorfall bestätigt diese Sicherheits-Philosophie der Bank. Die Fidor Bank bedauert diesen Vorfall zutiefst, denn gerade Sicherheit und im speziellen Internet-Sicherheit stehen bei Fidor Bank an oberster Stelle.

Die Investitionen der Bank sind ein wesentlicher und beeindruckender Teil des IT-Budgets. Unsere Technologie-Partner sind herausragende internationale Unternehmen mit bester Reputation. Umso ärgerlicher ist der Vorfall.”

Matthias Kröner, CEO der Fidor Bank

Heißt der Vorfall, dass ein fidorOS-Nutzer (Hub-Nutzer) Zugriff auf die Authentifizierung hatte und/oder die Möglichkeit die Authentifizierung zu verändern?

Eine solche Möglichkeit war zu jedem Zeitpunkt ausgeschlossen.

Wie kann eine Sicherheits-Software (Filter) Datenfreigaben auf einem anderen Konto ermöglichen?

Kein Kommentar – siehe oben.

Für 2015 meldete die FidorBank bereits 310.000 Kunden (Pressemitteilung). Wie viele Kunden hat die Fidor Bank heute?

Wir unterscheiden zwischen Fidor Bank AG-Kunden, die echte Bankkunden im bankrechtlichen und bankaufsichtsrechtlichen Sinne sind, also ein Konto bei der Fidor Bank AG haben und Community-Nutzern, die nur in der Fidor Community (Fidor Social Media Account) registriert sind. Aktuell gibt es knapp 200.000 volllegitimierte Bank-Kontoinhaber. In der Fidor Smart Community diskutieren dagegen bereits insgesamt rund 475.000 Mitglieder über Finanzfragen, geben Spartipps oder bewerten Produkte.

Wie viele Kunden waren betroffen?

Von diesem Vorfall waren weniger als 0,8% der Fidor Bank Kunden abstrakt betroffen (Einsichtnahme-Möglichkeit), und nur Kunden, die zu diesem Zeitraum über das Web-Frontend online waren. Wir wissen von rund 0,14% tatsächlich erfolgten Einsichtnahmen. Betroffen waren ausschließliche Kunden der Fidor Bank in Deutschland.

Es heißt “vereinzelt und kurzzeitig”. Fidor muss anhand der Logdateien wissen, wie viele Falschzugriffe erfolgt sind. Wie viele Falschzugriffe sind erfolgt?

Nach unseren Erkenntnissen sind bisher 0,14 % unserer Kunden tatsächlich betroffen. Es handelt sich ausschließlich um Einsichtnahmen von Fidor Kunden in die letzte Konto-Ansicht eines anderen Fidor Kunden und das auch nur in einem Zeitraum von insgesamt knapp 40 Minuten. Der Vorfall beschränkt sich zudem auf den Kreis der Kunden, die in diesem Zeitraum online waren. Ein Kontozugriff war zu keinem Zeitpunkt möglich.

Wie verhindert die Fidor Bank, dass in Zukunft solche Pannen passieren?

Die Gefahr, dass ein identischer Fehler in dieser Form nochmals geschieht, ist äußerst gering, denn unser Qualitätsmanagement ist diesbezüglich natürlich nun massiv zu diesem Thema alarmiert. Die Fidor Bank wird alle technischen und organisatorischen Maßnahmen ergreifen, damit so ein Fehler nicht mehr passieren kann.

Haben Sie die betroffenen Kunden bereits informiert, dass ihre Kontodaten von einem Dritten angesehen wurden? Wann werden Sie das tun?

Die betroffenen Kunden sind identifiziert und werden von uns im Verlauf der nächsten Tage bilateral angesprochen. Wir planen die Ansprache kurzfristig, bitten aber um Nachsicht, dass uns Sorgfalt hier wichtiger ist, als Geschwindigkeit.

Vielen Dank für die prompte und offene Reaktion!aj