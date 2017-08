Login bei der Fidor Bank Eine technische Panne sorgte am Mittwochabend für Aufsehen. (Foto: Screenshot)

DüsseldorfKunden der Fidor-Bank staunten am Mittwochabend nicht schlecht: Als sie sich mit ihren Zugangsdaten online einloggten, wurden sie auf die Übersicht eines vollkommen fremden Kontos geleitet, das sie einsehen konnten. Wer sich aus- und dann wieder einloggte, wurde erneut willkürlich auf ein fremdes Drittkonto geführt.

Zahlreiche Nutzer beschwerten sich in der Community der Bank über die technische Panne. Die Direktbank reagierte am Abend mit einer Stellungnahme. Der Fehler sei umgehend behoben worden, hieß es dort. „Die Fidor Bank ist außerordentlich auf Online-Sicherheit bedacht und bedauert diesen Vorfall zutiefst.“ In dem Statement schrieb die Direktbank von einer „sehr begrenzten Anzahl“ in einem „sehr begrenzten Zeitfenster“.

Wie die Bank am Donnerstagabend auf Handelsblatt-Anfrage mitteilte, hatten circa 0,8 Prozent der Kunden die Möglichkeit, fremde Konten einzusehen. Etwa 0,14 Prozent der Kunden haben dies auch – wahrscheinlich unfreiwillig – getan. Betroffen waren demnach ausschließlich Kunden aus Deutschland, sagte ein Sprecher. Dieser betont, dass lediglich eine Einsichtnahme, allerdings kein Kontozugriff erfolgen konnte. Das Problem hätten Experten nach etwa 45 Minuten gelöst. Am Folgetag ist auch die Ursache für die Panne bekannt geworden: Bei einer von einem Partnerunternehmen gelieferten Applikation für die Website sei ein technischer Fehler aufgetreten, so der Sprecher.

Die Fidor Bank wurde 2009 gegründet und im Sommer 2016 von der französischen Großbank BPCE übernommen. Die Münchener nennen sich halb-ironisch die „die älteste Fintech-Bank der Welt“. Das Angebot richtet sich an digitalaffine Kunden, darunter viele Fans der Online-Währung Bitcoin. Derzeit zählt die Direktbank etwa 200.000 Kunden. Das Magazin Finance Monthly zeichnete Vorstandschef Matthias Kröner erst kürzlich mit dem CEO Award 2017 aus.

Ein ähnlicher Fall bei der Comdirect, in deutlich größerem Umfang, hatte im Juli vergangenen Jahres ebenfalls für Aufsehen gesorgt. Auch damals landeten Nutzer nach dem morgendlichen Login nicht auf dem eigenen, sondern auf völlig fremden Konten anderer Comdirect-Kunden. Viele fragten sich damals, ob mit ihrem Geld Schindluder getrieben worden sei. Erst am Nachmittag des gleichen Tages beruhigte die Comdirect-Bank per Facebook: Das Vermögen der Kunden sei „jederzeit erhalten“ geblieben. Bei Facebook sprach die Bank bei einzelnen Kundenbeschwerden von einem „Fehler, den wir gerade beheben. Sorry!“.

Sicherheit im Online-Banking PIN Beim diesem Autorisierungsverfahren müssen Nutzer lediglich ihre Kontonummer oder einen Nutzernamen eintragen und eine dazugehörige PIN eingeben. Bitkom hält diese Autorisierung für sehr unsicher. Sie sei lediglich für Umsatzabfragen oder den Zugang zur Nachrichtenbox geeignet. (Quelle: Bitkom)

iTAN Indizierte Transaktionsnummer (iTAN) sind Transaktionsnummern, die von der Bank auf einer Liste in einem Index zusammengestellt wurden. Für Überweisungen müssen sie dann eine bestimmte TAN der Liste eingeben. Laut Bitkom besteht bei Verwendung von iTAN nur ein geringes Risiko eines Datenabgriffs. Wenn auch Manipulationen durch zwischengeschaltete Schadsoftware während der Eingabe der TAN möglich sind.

SMS-TAN/M-TAN Mobile TAN werden per SMS-Nachricht an den Bankkunden übertragen. Jeder eingeleitete Buchungsvorgang des Kunden muss mit der dazugehörigen verschickten mTAN bestätigt werden. Weil Smartphones, die die SMS-TAN empfangen, heute aber häufig mit dem Internet verbunden sind, besteht auch hier die Gefahr eines illegalen Abgriffs der TAN. Bitkom ordnet SMS-Tan als unsicher ein.

TAN-Generator Über ein Lesegerät erzeugt der Bankkunde mit seiner EC-Karte eine TAN. Verschiedenste Varianten von smart-TAN, Chip-TAN bis zu e-TAN gelten laut Bitkom als sichere Authenifikationswege.

chip TAN comfort Viele Sparkassen und VR-Banken nutzen das Verfahren: Der Kunde muss weiterhin eine Karte in einen TAN-Generator stecken. Sobald er eine Überweisung im Onlinebanking ausführt, erscheint ein Schwarz-Weiß-Code auf dem Bildschirm. Diesen muss er dann mit seinem TAN-Generator samt EC-Karte einscannen. Aus den Daten des Schwarz-Weiß Codes liest der Generator die Überweisungsdetails und kreiert eine zugehörige TAN, die dann im Onlinebanking eingegeben werden muss. Bitkom schätzt die Verwendung als mindestens so sicher wie das iTAN-Verfahren.

NFC-TAN Kunden müssen bei einer Überweisung einen COde auf dem PC-Bildschirm mit ihrem Smartphone scannen. Anschließend halten sie zur Verifizierung ihre NFC-fähige EC-Karte an das Smartphone. Über das Internet (oder auch per Hand) wird dann eine TAN übertragen. Nicht alle Smartphones und EC-Karten sind für dieses Verfahren ausgestattet. Laut Bitkom besteht dafür aber ein geringes Risiko, dass Hacker Daten abgreifen.

Die Handelsblatt-Redaktion machte damals den Test und bekam fehlerhaften Zugriff auf ein Bankkonto. Ein Redakteur erhielt Einblick auf das Giro- und Tagesgeldkonto eines Comdirect-Kunden mit einem Guthaben von über 50.000 Euro. Zunächst konnte sich der Redakteur in dem fremden Konto frei bewegen und etwa Kontoauszüge aus der „Postbox“ aufrufen und sich auch alle Überweisungen anschauen. Zu erkennen war auch, dass der Betroffene mit hochspekulativen Differenzkontrakten (CFD) handelte, die den Gewinn oder Verlust einer Aktie oder eines Index um einen Faktor von bis zu 100 erhöhen können. Einige Klicks weiter erschien die Meldung „Funktionsstörung“. Aber danach konnte der Redakteur sich wieder frei in dem Konto des Fremden bewegen.

Auf eigenen Wunsch erhielten damals alle betroffenen Kunden eine neue Kontonummer und neue Kreditkarten. Diese Möglichkeit räumt auch die Fidor Bank ihren betroffenen Kunden ein. Bis zum späten Donnerstagabend lagen allerdings weniger als zehn Wünsche einer neuen Kontonummer vor, erklärte der Sprecher.