{"id":283454,"date":"2023-07-08T01:50:39","date_gmt":"2023-07-07T23:50:39","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283454"},"modified":"2023-07-15T17:44:03","modified_gmt":"2023-07-15T15:44:03","slug":"datenleck-bei-postbank-und-deutscher-bank","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/08\/datenleck-bei-postbank-und-deutscher-bank\/","title":{"rendered":"Datenleck bei Postbank und Deutscher Bank; ING und Comdirect"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Bei der Postbank und auch beim neuen Eigent\u00fcmer Deutsche Bank hat es ein Datenleck gegeben, bei der pers\u00f6nliche Kundendaten wie Name und IBAN in fremde H\u00e4nde gefallen sind. Betroffene Kunden haben wohl den \"Kontowechselservice\" dieser Banken genutzt und wurden jetzt per Brief \u00fcber den Vorfall informiert. Den Opfern drohen erh\u00f6hte Sicherheitsrisiken, wenn die T\u00e4ter mit der IBAN auch nicht auf die Konten zugreifen k\u00f6nnen. Die Banken d\u00fcrften zudem mit Schadensersatzanspr\u00fcchen konfrontiert werden. Erg\u00e4nzung:<\/strong> Auch die ING und Comdirect-Banken wurden Opfer des MOVEit-Hacks des Dienstleisters Majorel Deutschland GmbH.<\/p>\n

<\/p>\n

\"\"Kunden der Postbank bekommen es derzeit kn\u00fcppeldick: Seit dem Jahreswechsel werden Kunden der Postbank zum Quartalswechsel auf die IT-Infrastruktur der Deutsche Bank umgestellt – was bei manchen Konteninhabern entsprechende St\u00f6rungen und \u00c4rger verursacht. Ich hatte hier im Blog in diversen Beitr\u00e4gen \u00fcber diesen Sachverhalt berichtet (siehe Links am Artikelende).<\/p>\n

Datenleck bei Dienstleister<\/h2>\n

Aktuell informiert die Deutsche Bank wohl ihre Kunden \u00fcber einen Datendiebstahl, von dem auch Kunden der Postbank betroffen sind. Bei einem externen Dienstleister wurden, laut einem ersten Bericht des Bonner Generalanzeiger, der sich hinter einer Paywall befindet, pers\u00f6nliche Daten wie Name, Vorname und IBAN von Konteninhabern gestohlen. Spiegel Online hat mit Bezug auf den Bericht des Bonner Generalanzeigers in diesem Artikel<\/a> mehr Details ver\u00f6ffentlicht.<\/p>\n

Betroffen sind wohl Kunden der beiden Banken (die Postbank geh\u00f6rt inzwischen ja der Deutschen Bank), die in den vergangenen Jahren einen sogenannten Kontowechselservice der Institute genutzt haben. Dieser wurde wohl von einem externen Dienstleister abgewickelt, und dort wurden Daten durch unbekannte Angreifer gestohlen. Wer betroffen ist, sollte von den beiden Banken per Post \u00fcber den Vorfall informiert werden.<\/p>\n

Der Kontowechselservice<\/a> der Banken sollen sich Bankkonten von einer Bank zu einer anderen Bank umziehen lassen. Dabei werden Dauerauftr\u00e4ge und Lastschriften etc. des alten Kontos analysiert und die betreffenden Stellen \u00fcber die ge\u00e4nderte Bankverbindung f\u00fcr Lastschrift informiert sowie Dauerauftr\u00e4ge aufgelistet. Auf der Seite der Deutsche Bank<\/a> hei\u00dft es dazu: Mit unserem digitalen Kontowechsel-Service ziehen Sie schnell und bequem Ihr altes Konto zur Deutschen Bank um. Dabei werden Ihre Zahlungspartner wie z. B. Arbeitgeber, Mobilfunkanbieter oder Versicherungen automatisch \u00fcber Ihre neue Bankverbindung informiert. <\/em><\/p><\/blockquote>\n

Der externe Dienstleister hatte die Kontendaten gespeichert, um den Kontenwechsel abzuwickeln. Spiegel Online zitiert die Deutsche Bank, dass es um Kundinnen und Kunden gehe, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechsel-Service genutzt h\u00e4tten. Ein Sprecher erkl\u00e4rte gegen\u00fcber Spiegel Online, dass man die Betroffenen schriftlich informiert habe.<\/p>\n

Von der Deutschen Bank hei\u00dft es weiter, dass Ursache f\u00fcr den Vorfall von dem betroffenen Dienstleister identifiziert und behoben worden sei. Potenziell seien mehr als hundert Unternehmen in mehr als 40 L\u00e4ndern gesch\u00e4digt. Die Deutsche Bank gibt an, dass die eigenen Systeme der Bank zu keinem Zeitpunkt gef\u00e4hrdet worden seien. Auch habe der Datenschutzvorfall nichts mit der gerade abgeschlossenen IT-Integration der Postbank zu tun. Wie viele Datens\u00e4tze betroffen sind, ist nach bisherigen Medienberichten unbekannt.<\/p>\n

Es ist nirgendwo in meinen Quellen vermerkt, aber vom Bauchgef\u00fchl spekuliere ich mal, dass es mit der MOVEit-Schwachstelle, die Ende Mai 2023 bekannt und durch die Clop-Ransomware-Gruppe ausgenutzt wurde (siehe auch am Artikelende verlinkte Beitr\u00e4ge), zusammen h\u00e4ngen k\u00f6nnte. Dort waren auch Banken betroffen. Diese Meldung<\/a> der Verbraucherzentralen deutet auch in die Richtung Moveit.<\/p><\/blockquote>\n

Opfer sollten wachsam sein<\/h2>\n

Da die unbekannten Angreifer Zugriff auf Namen und IBAN hatten, sind die Betroffenen potentiell erh\u00f6hten Cyberrisiken ausgesetzt. So k\u00f6nnten die Informationen in Phishing-Mails f\u00fcr eine gezielte Ansprache der Opfer genutzt werden, wenn die T\u00e4ter den Namen mit E-Mail-Adressen, die aus anderen Datenlecks stammen, kombinieren – die Wahrscheinlichkeit, dass die Daten passen, ist hoch.<\/p>\n

Das gr\u00f6\u00dfere Risiko besteht darin, dass die Kontendaten durch Cyberkriminelle f\u00fcr Bankabbuchungen oder K\u00e4ufe im Internet missbraucht werden. Betroffene sollten die Kontenbewegungen genau beobachten, um unberechtigte Abbuchungen (durch die T\u00e4ter oder durch von diesen get\u00e4tigte Internetk\u00e4ufe) zu erkennen. Nicht autorisierte Lastschriften k\u00f6nnten bis zu 13 Monate r\u00fcckwirkend zur\u00fcckgegeben werden, so dass das Geld dann von der Bank erstattet werde.<\/p>\n

Bei verd\u00e4chtigen Transaktionen empfiehlt die Verbraucherzentrale Nordrhein-Westfalen<\/a> eine Anzeige bei der Polizei. Wenn Betroffene das rechtzeitig machen, haftet die Bank f\u00fcr m\u00f6gliche Sch\u00e4den. Lassen Betroffene sich dagegen zu viel Zeit, besteht die Gefahr, dass Sie selbst auf den Kosten sitzen bleiben, hei\u00dft es von der Verbraucherzentrale. Die Verbrauchersch\u00fctzer geben auch den Ratschlag, die Passworte f\u00fcr den Zugang zu den betroffenen Konten zu \u00e4ndern.<\/p>\n

Weiterhin weist die Verbraucherzentrale auf das Problem der negativen Eintr\u00e4ge bei Auskunfteien (Schufa, Creditreform) durch die zur\u00fcckgegebenen Lastschriften hin. Laut Verbraucherzentrale haben betroffene Kunden auch Schadensersatzanspr\u00fcche gegen\u00fcber der jeweiligen Bank (siehe auch den Anrisstext<\/a> des General-Anzeiger).<\/p>\n

Auch ING und Comdirect betroffen<\/h2>\n

Erg\u00e4nzung:<\/strong> Inzwischen haben sowohl die ING als auch die Comdirect Bank best\u00e4tigt, dass Kunden, die den Kontowechselservice der Institute genutzt haben (siehe diesen RND-Artikel<\/a>). Dort hei\u00dft es uniso, dass der Dienstleister, der gehackt wurde, die Sicherheitsl\u00fccke geschlossen habe.<\/p>\n

 <\/p><\/blockquote>\n

MOVEit-Schwachstelle bei Majorell?<\/h2>\n

Inzwischen wird auch klar, dass mein oben ausgedr\u00fccktes Bauchgef\u00fchl, dass die MOVEit-Schwachstelle f\u00fcr den Datenklau ausgenutzt wurde, durch den RND-Artikel<\/a> best\u00e4tigt. Der gehackte Dienstleister sei die Majorel Deutschland GmbH hei\u00dft es dort, die \u00fcber ihre 100-Prozent-Tochter kontowechsel24.de<\/a> Bankkunden den Wechsel von einem Geldhaus zum anderen erleichtern will.<\/p>\n

Und hier bekommt die Geschichte noch einen g\u00e4nzlich anderen Drive, denn am 25. Juni 2023 hatte ich im Blog-Beitrag\u00a0Barmer: Hack bei Dienstleister betrifft Daten von Bonusprogramm<\/a> von einem Hack bei der Firma Majorel aus Luxemburg, Dienstleister der Barmer, berichtet. Dort wurde best\u00e4tigt, dass dieser Dienstleister \u00fcber die MOVEit-Schwachstelle kompromittiert wurde, so dass die Clop-Ransomware-Gruppe Daten abziehen lassen. Die Banken lie\u00dfen sich gut 14 Tage l\u00e4nger, bis zum Beginn des Juli 2023, Zeit, um \u00fcber den Datenklau zu informieren. Die Schwachstelle in MOVEit wurde \u00fcbrigens Ende Mai 2023 bekannt – damals h\u00e4tte Majorel proaktiv eine Warnung herausgeben k\u00f6nnen.<\/p>\n

Suche ich im Blog nach dem Begriff Majorell, werde ich auch 2021 im Blog-Beitrag\u00a0Schwachstellen bei COVID-19-Impfportalen und beim SORMAS-System<\/a> f\u00fcndig. Seinerzeit konnten Dritte pers\u00f6nliche Daten von Impfwilligen beim nieders\u00e4chsischem Impfportal abrufen. Ein White Hat-Hacker hat das Datenleck entdeckt und dann an das Computer-Notfallteam Niedersachsen-CERT und das Gesundheitsministerium gemeldet. Verantwortlich f\u00fcr die Implementierung des Portals war Majorel.<\/p>\n

Hintergrund zu Majorell aus Faz.net<\/a>: Majorel entstand 2019 durch die Zusammenlegung der Callcenter-Aktivit\u00e4ten der Bertelsmann-Tochtergesellschaft Arvato mit denen des marokkanischen Callcenter-Betreibers Saham und befindet sich mittlerweile im Besitz von Teleperformance, einem franz\u00f6sischen Anbieter von Call-Center-Dienstleistungen.<\/em><\/p>\n

Erg\u00e4nzung aus folgender Quelle<\/a>:\u00a0Majorel Deutschland, ein Dienstleister f\u00fcr f\u00fcr Callcenter- und andere Kundenservices gab gegen\u00fcber den\u00a0Handelsblatt<\/a>\u00a0am 10. Juli 2023 bekannt, Opfer einer Cyberattacke gewesen zu sein. Die T\u00e4ter haben eine Sicherheitsl\u00fccke in der Datentransfer-Software MOVEit ausgenutzt.<\/p>\n

Hinter dem Angriff steht die Erpressergruppe\u00a0CL0P, die \u00fcber die Schwachstelle bei Majorel die Daten zahlreicher Kunden abgreifen konnten. Zu den betroffenen Kunden geh\u00f6ren die\u00a0BARMER\u00a0Krankenkasse, die\u00a0Commerzbank\u00a0und vermutlich auch die\u00a0Deutsche Bank\u00a0sowie deren Tochter\u00a0Postbank\u00a0und die\u00a0ING Bank.\u00a0Das Tochterunternehmen KWS Kontowechsel Service GmbH (Kontowechsel24.de) bietet auch einen Kontowechselservice an.<\/p>\n

Bertelsmann k\u00fcndigte in einer\u00a0Pressemitteilung<\/a>\u00a0am 26. April 2023 an, dessen Anteile an Majorel in H\u00f6he von 39,5 Prozent an das franz\u00f6sische Unternehmen Teleperformance zu ver\u00e4u\u00dfern.<\/p>\n

Die CL0P Ransomware-Gang f\u00fchrt Arvato auf ihrer Darkweb-Seite auch als Opfer an. Nach R\u00fccksprache mit der Unternehmenskommunikation von Arvato betrifft diese jedoch ausschlie\u00dflich Majorel und keine anderen Unternehmen der Arvato-Gruppe.<\/p><\/blockquote>\n

Erg\u00e4nzung 2:<\/strong> Das Handelsblatt hat die Erg\u00e4nzung um Ing und Comdirect in diesem Artikel<\/a> gebracht. Es wird ein riesen Bohei um den Namen des Dienstleisters gemacht – RND hat dagegen den Zusammenhang mit dem Wechselportal konkret benannt. Beim Handelsblatt hei\u00dft es, dass weder Sparkassen noch Volks- und Raiffeisenbanken von diesem Thema betroffen seien, weil die Majorel nicht nutzen.<\/p>\n

Unklar, ob Majorel oder FinReach<\/h2>\n

Erg\u00e4nzung 3:<\/strong> An dieser Stelle bleibt aber unklar, ob bei der Postbank Majorel involviert war. Eine Blog-Leserin schrieb mir, dass sie denkt, dass Postbank und die Deutsche Bank den Kontowechselservice von FinReach und nicht den von Kontowechsel24 verwenden. FinReach hat 2018 die Zusammenarbeit mit der Postbank verk\u00fcndet und heute gibt die Postbank bei Girokonten f\u00fcr Gesch\u00e4ftskunden aktuell immer noch an:<\/p>\n

\"Mit dem Kontowechsel-Service unseres Kooperationspartners FinReach wechseln Sie innerhalb von wenigen Minuten Ihr Girokonto zur Postbank.\"<\/i><\/p><\/blockquote>\n

Und Privatkunden werden f\u00fcr den Kontowechselservice auf die gleiche Webseite wie die Gesch\u00e4ftskunden, n\u00e4mlich \"https:\/\/postbank-kontowechselservice.de\", weitergeleitet. Daraus l\u00e4sst sich der Schluss ziehen, dass die Postbank immer noch und ausschlie\u00dflich den digitalen Kontowechselservice \u00fcber FinReach anbietet (sofern die Info nicht veraltet ist). \u00c4hnliches l\u00e4sst sich f\u00fcr Deutsche Bank, laut deren Angaben ab Februar 2017 zum Kontowechselservice \u00fcber FinReach machen.<\/p>\n

Das ist ein Argument, welches nicht von der Hand zu weisen ist. Die Information hatte ich auch in einem Kommentar bei heise gelesen. Bez\u00fcglich der Benennung des Dienstleisters von Postbank und Deutsche Bank muss das nun offen bleiben, ob es Majorel oder FinReach betraf. Bei ING und Comdirect wurde dann aber wieder Majorel genannt. Letztendlich ist es egal, welcher der genannten Dienstleister betroffen ist – die Daten sind erst einmal in die H\u00e4nde Dritter gelangt.<\/p>\n

Insgesamt zeigt die Episode aber erneut die Kalamit\u00e4ten in der Branche: Es wird outgesourced, Daten m\u00fcssen \u00fcbertragen werden und wenn ein Dienstleister kompromittiert wird, sind die Kunden die Dummen.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nPostbank-St\u00f6rungen: Neue Postbank-App \u2013 \"The Master of Desaster\" (2. Jan. 2023)<\/a>
\nIT-Umzug der Postbank ab 31.3.2023<\/a>
\nPostbank geht am 30. Juni 2023 bis zum 3. Juli wieder in den Wartungsmodus<\/a>
\nSozialministerium Sachsen: Opfer von Internetbetr\u00fcgern, 225.000 Euro Schaden durch fingierte E-Mail<\/a>
\nBarmer: Hack bei Dienstleister betrifft Daten von Bonusprogramm<\/a><\/p>\n

Bedrohungsstufe 4: BSI-Warnung vor ausgenutzter MOVEit-Schwachstelle<\/a>
\nLace Tempest\/Clop-Ransomware-Gang nutzt MOVEit Schwachstelle CVE-2023-34362<\/a>
\nMOVEit-Schwachstelle tangiert 100 deutsche Firmen, AOKs von Datenabfluss betroffen?<\/a>
\nMOVEit Transfer: Neue Schwachstelle; dringend patchen!<\/a>
\nDas MOVEit-Desaster: Proof of Concept; Clop-Gang ver\u00f6ffentlicht Opferdaten<\/a>
\nCyber-News: MOVEit-Opfer, Zurich Insurance, Verivox etc. und weitere Cyber-Vorf\u00e4lle (19. Juni 2023)<\/a>
\nSicherheits-News: BIG-Krankenkasse, H\u00fclben, Rhein-Pfalz-Kreis, MOVEit, VMware (21. Juni 2023)<\/a>
\nVerivox-Datenschutzvorfall: Auswirkungen auf Maingau Energie?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Bei der Postbank und auch beim neuen Eigent\u00fcmer Deutsche Bank hat es ein Datenleck gegeben, bei der pers\u00f6nliche Kundendaten wie Name und IBAN in fremde H\u00e4nde gefallen sind. Betroffene Kunden haben wohl den \"Kontowechselservice\" dieser Banken genutzt und wurden jetzt … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-283454","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283454","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283454"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283454\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283454"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283454"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283454"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}