Super-GAU: Fidor Bank loggte Kunden in fremde Konten ein

Fidor Bank Header

Ich teste und berichte gerne und viel über Fintechs. Dazu zählen auch Banken, die einiges anders machen, als ihre alteingesessenen Kollegen. Viele neue Funktionen probiere ich gerne aus. Wenn etwas schief läuft, gehört das aber genau so zur Berichterstattung. Aus diesem Grund sei der aktuelle Super-GAU der Fidor Bank erwähnt.

Ich bin kein Mensch, der leichtfertig mit extremen Bezeichnungen wie „Super-GAU“ um sich wirft. Was sich die Fidor Bank allerdings am gestrigen Abend geleistet hat, kann und muss man meines Erachtens leider so bezeichnen.

Login in fremde Konten

Eine (bisher) unbestimmte Anzahl an Kunden landete beim Web-Login mit ihren Zugangsdaten in fremden Konten. Das war reproduzierbar, man konnte also bei jedem erneuten Login (oder sogar Seitenwechsel) in ein anderes Konto schauen.

Dort waren dann für die fremden, nicht berechtigten Nutzer alle Kundendaten eines anderen Kontos einsehbar, darunter Kontostand, Sparbriefe, Zahlungsverlauf, Adressen, Kontaktdaten und mehr. Es waren Privat- und Geschäftskonten betroffen.

Transaktionen waren freilich nicht durchführbar, denn TANs landen bei Fidor per SMS beim Kunden. Das mildert die Schwere des Fehlers in meinen Augen allerdings in keinster Weise.

Zahlreiche betroffene Kunden

Die Bestätigung mehrere Kunden mit genanntem Problem liegt uns vor und ist ebenfalls bei Facebook oder zahlreich in der Fidor Community nachzulesen. So schreibt uns zum Beispiel ein Nutzer:

Beim Versuch in mein Fidor Konto zu gelangen, hatte ich im Zeitraum von etwa einer Stunde, Zugriff auf über 30 verschiedene fremde Konten und deren Daten. Hätte ich es gewollt, hätte ich noch mehr Konten einsehen können.

Telefonisch war der Fidor-Kundenservice für betroffene Kunden am gestrigen Abend nicht zu erreichen. Nachdem die Fidor Bank unter anderem bei Facebook auf den „Login-Fehler“ hingewiesen wurde, teilte man (vermutlich) noch ohne viel Hintergrundwissen mit, dass nur kurzzeitig eine kleine Anzahl von Nutzern betroffen waren.

Ehrlich gesagt zweifle ich das aktuell ganz klar an, denn dagegen sprechen alle derzeit verfügbaren Informationen. Ich ergänze später aber gerne weitere Details, falls es sie von der Fidor Bank noch geben sollte.

Vorläufige Stellungnahme der Fidor Bank

Aufgrund eines bereits behobenen technischen Fehlers, ist es am frühen Abend des 02.08.2017 vereinzelt und kurzzeitig nach dem Login in das Fidor Konto zu einer fehlerhaften Online Konto Ansicht gekommen.

Die Fehlerursache ist bekannt und behoben. Den bisherigen Analysen nach war nur eine sehr begrenzte Anzahl von Kunden betroffen, da es sich auch nur um ein sehr begrenztes Zeitfenster handelte.

Nutzer der mobilen App waren generell nicht betroffen. Generell war die Sicherheit der Kundenkonten zu keinem Zeitpunkt gefährdet, da keinerlei Transaktionen angestoßen werden konnten.

Kunden, die dennoch eine neue Kontonummer wünschen, können sich diesbezüglich an den Kundenservice wenden.

Die Fidor Bank ist außerordentlich auf Online-Sicherheit bedacht und bedauert diesen Vorfall zutiefst.

Der Vollständigkeit halber sei auch erwähnt, dass die Fidor Bank nicht die erste Bank ist, der solch ein enormer Fauxpas passiert. Erst im letzten Jahr hatten Comdirect-Kunden ebenfalls Zugriff auf fremde Konten. Die Fidor Bank zeigt sich auch verantwortlich für O2 Banking.

Die Fidor Bank hat eine weitere Stellungnahme mit mehr Details veröffentlicht. Weiterhin behauptet man, die Probleme traten „vereinzelt“ auf. Nach den uns vorliegenden Informationen, die sich im Laufe des Tages ergeben haben, wird damit das Problem an sich klein geredet.

Es waren in der Theorie natürlich alle Kunden „betroffen“. Man konnte sich im genannten Zeitraum nicht einloggen, ohne fremde Daten zu sehen. Alleine durch den kurzen Zeitraum, war die Gesamtzahl der Nutzer, die damit auch wirklich konfrontiert wurden im Vergleich zur Gesamtkundenzahl gering.

Zumal man sich offensichtlich einen Trick zunutze macht. Würden die von der Fidor Bank veröffentlichen Zahlen von ca. 1.200 „betroffenen“ Nutzern stimmen, so sind das vermutlich nur die Nutzer, welchen die falschen Daten angezeigt wurden. Die waren zwar im Grunde mit dem Fehler konfrontiert, aber wirklich betroffen sind natürlich vielmehr die Kunden, deren Datensätze fälschlicherweise ausgespielt wurden und das waren allem Anschein nach mehr.

Nachfolgend die Stellungnahme im Wortlaut:

Bei einer Neukonfiguration von Parametern der Fidor.de Webseite ist am 2. August ab ca. 17:50 Uhr für ca. 40 Minuten ein technischer Fehler aufgetreten. Dieser Fehler trat in einer Dritt-Applikation auf.

Jedem Live-Gang einer Neukonfiguration gehen intensive Tests voraus. Dies gilt auch und insbesondere bei Dritt-Applikationen, also bei Systemen, die von Partnern geliefert werden. Im vorliegenden Falle handelte es sich – ironischerweise – um einen Bestandteil unserer Internet-Sicherheits-Software, die diesen Fehler verursacht hatte. Auch in diesem Fall wurde intensiv getestet, jedoch konnte der Fehler im Vorfeld nicht identifiziert werden.

Aufgrund dieses Fehlers kam es gestern vereinzelt und kurzzeitig nach dem Fidor Bank Konto-Login zu einer fehlerhaften Online Konto Ansicht. Der Fehler wurde schnell erkannt und entsprechende Maßnahmen zur Lösung getroffen.

Die vielschichtigen Sicherheitsmaßnahmen der Fidor Bank haben gut gegriffen und dazu beigetragen, dass trotz dieses Anzeige-Fehlers die Sicherheit der Kundenkonten zu keinem Zeitpunkt gefährdet war. Neben der technologischen Sicherheit gibt es bei der Fidor Bank auch organisatorische Sicherheits-Maßnahmen. Dazu gehört, dass wesentliche Funktionen wie das Ausführen von Transaktionen oder Adressänderungen nur per gesicherter MTAN und der Eingabe der persönlichen Geheimzahl FIN getätigt werden können und hierbei ein zweites Medium (Telefon) verwendet werden muss. Dies erscheint manchen Kunden manches Mal etwas umständlich, jedoch würde Einfachheit zu Lasten der Sicherheit gehen. Dieser unerbetene Vorfall bestätigt diese Sicherheits-Philosophie der Bank.

Von diesem Vorfall waren dank der schnellen Reaktion weniger als 0,8% der Fidor Bank Kunden betroffen: Ausschließlich Kunden, die im genannten Zeitraum Online waren sowie Kunden der Fidor Bank in Deutschland. Mit betroffenen Kunden steht der Kundenservice der Fidor Bank bereits in Kontakt. Die Fidor Bank bietet diesen Kunden eine neue Kontonummer verbunden mit einem kostenlosen Kontowechselservice an.

Die Fidor Bank bedauert diesen Vorfall zutiefst, denn gerade Sicherheit und im speziellen Internet-Sicherheit stehen bei Fidor Bank an oberster Stelle.

Matthias Kröner, CEO der Fidor Bank: „Die Investitionen der Bank sind ein wesentlicher und beeindruckender Teil des IT-Budgets. Unsere Technologie-Partner sind herausragende internationale Unternehmen mit bester Reputation. Umso ärgerlicher ist der Vorfall.“

Das Team der Fidor Bank bittet um Entschuldigung.

Teilen

Hinterlasse deine Meinung

Du kannst auch als Gast kommentieren (Anleitung). DISQUS respektiert „Do Not Track“ und bietet einen Datenschutz-Modus an. Informationen zum Datenschutz auf mobiFlip.de findest du hier.