Die Deutsche Bank bestätigte 7. Juli 2023 in Frankfurt, dass es bei einem externen Kontowechseldienstleister zu einem Sicherheitsvorfall gekommen sei. Auch das Tochterunternehmen Postbank soll davon betroffen gewesen sein. Laut einem Serienbrief, der am 3. Juli 2023 versendet worden war, haben Angreifer eine Schwachstelle in der Software eines Dienstleisters ausgenutzt. Ein Sprecher der Deutschen Bank erklärte nach Medienberichten, dass das Datenleck nur Kunden betrifft, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechselservice beider Banken genutzt haben.

Jetzt erklärte die Deutsche Bank nach einem Bericht des Handelsblattes, sie sei von ihrem externen Dienstleister, der für das Institut die gesetzliche Kontowechselhilfe betreibt, darüber informiert worden, dass der Umfang des Datenlecks „MOVEit“ umfangreicher sei als im Juni 2023 mitgeteilt. Die Transfersoftware wird weltweit von unterschiedlichen Kunden benutzt. Auch diese sollen vom einem Datenleck in der Software betroffen sein.

„Laut unserer Kenntnis sind davon Kunden mehrerer Finanzinstitute betroffen, darunter ist auch die Deutsche Bank“, sagte ein Sprecher der Bank. Eine konkrete Zahl der betroffenen Kunden nannte er nicht.

Weder die Deutsche Bank noch die ING nennen den Namen des betroffenen Dienstleisters. Beide Institute arbeiten Branchenkreisen zufolge allerdings mit Majorel Deutschland zusammen.

Das Dienstleistungsunternehmen Majorel Deutschland, das unter anderem den Kontowechsel-Dienstleister Kontowechsel24.de betreibt und an dem Bertelsmann beteiligt ist, war im Sommer Ziel eines Hackerangriffs geworden.

Die Hackergruppe Clop hatte eine Schwachstelle des Dateitransferprogramms „MOVEit“ ausgenutzt, die monatelang unentdeckt geblieben war. Weltweit waren mehr als 260 Unternehmen und Behörden Opfer der Hackergruppe Clop geworden – darunter auch Majorel Deutschland. Im Juli hatte das Unternehmen erklärt, sein Cybersecurity-Team habe die Lücke umgehend geschlossen.

Verbraucherschutzverbände fordern Aufklärung über den Umfang des Datenlecks. „Die betroffenen Kunden haben ein Recht darauf zu wissen, welche Daten von ihnen gestohlen wurden“, sagte Burkhard Balz, Vorstandsmitglied des Verbraucherzentrale Bundesverbands. Der Bundesverband der Verbraucherzentralen (vzbv) hat eine Beschwerde bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) eingereicht. Der vzbv fordert die BaFin auf, die Banken zu verpflichten, die betroffenen Kunden über den Vorfall zu informieren und ihnen ein kostenloses Identitätsschutzpaket anzubieten.

Auskunftsrecht: Gemäß Artikel 15 Absatz 1 der Datenschutz-Grundverordnung (DSGVO) haben Nutzer das Recht, Informationen darüber zu erhalten, ob und in welchem Umfang sie von dem Datenleck betroffen sind. Dazu gehören Angaben über die Art der Daten, die betroffenen Personen und den Zeitraum der Verarbeitung.

Sofort die Zugangsdaten für Online-Bankgeschäfte geändert werden. Die betroffene Bank sollte sofort informiert werden, damit weitere Schäden verhindert werden können. Die entsprechende Phishing-Mail sollte nicht gelöscht werden, sondern als Beweismittel gesichert und an die Bank weitergeleitet werden. Unbedingt Strafanzeige erstatten.

Ein Datenleck beim Kontowechsel-Dienstleister Majorel hat deutlich größere Ausmaße als bislang bekannt. Die Deutsche Bank und ING Deutschland erklärten nach Medienberichten, bei ihnen seien mehr Kunden betroffen als bisher angenommen. Zu den abgegriffenen Daten sollen Vor- und Nachnamen sowie die IBAN gehören. Diese seien bereits im Darknet veröffentlicht worden, wird ein ING-Sprecher im Wirtschaftsmagazin Handelsblatt am 27. September 2023 zitiert. Mittlerweile sei eine „niedrige fünfstellige Zahl an Kundendaten“ betroffen. Im Juli hatte die Bank noch von einer niedrigen vierstelligen Zahl gesprochen. Die Verbraucherkanzlei Dr. Stoll & Sauer rät generell Verbrauchern, die möglicherweise Opfer eines Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check . Hier prüft die Kanzlei die Betroffenheit der Kunden und zeigt rechtliche Möglichkeiten auf. Mehr Infos zum Thema Datenleck und Datenschutz gibt es auf unserer Website. Der leichtfertige Umgang mit personenbezogenen Daten kann zu Verstößen gegen datenschutzrechtliche Normen führen. Hier können Verbraucher Schadensersatzansprüche geltend machen. Und diese erfolgreich. Das Unternehmen Meta ist zum Beispiel am Landgericht Zwickau aufgrund eines Datenlecks beim Tochterunternehmen Facebook zur Zahlung von Schadensersatz in Höhe von 1000 Euro verurteilt worden. Das Gericht machte deutlich: Facebook hätte die gestohlenen Daten besser schützen müssen. Auch der vorliegende Fall bei der Deutschen Bank und ING zeigt, wie schnell hochsensible Daten plötzlich für Dritte einsehbar und abgreifbar sind. Die Verbraucherkanzlei Dr. Stoll & Sauer fasst zusammen, was bisher zum Datenleck bei Deutscher Bank und ING in den Medien bekannt geworden ist:Das Datenleck bei Deutscher Bank und ING ist ein ernster Vorfall, der die Sicherheit der Nutzerdaten gefährden könnte. Betroffene Nutzer sollten sich generell über die möglichen Folgen eines Datenlecks im Klaren sein und entsprechende Maßnahmen ergreifen, um sich beispielsweise vor Phishing-Angriffen zu schützen. Mit den kombinierten Informationen aus anderen Datenlecks könnten es Cyberkriminellen ermöglichen, gezielte Phishing-Angriffe gegen Verbraucher durchzuführen. Dr. Stoll & Sauer rät Verbrauchern, die möglicherweise Opfer des Datenlecks geworden sind, zur kostenlosen Erstberatung im Online-Check . Hier prüft die Kanzlei auch die Betroffenheit von Verbrauchern.Opfern von Datenlecks haben Rechte auf Auskunft, Schadensersatz und Unterlassung.In unserer kostenlosen Erstberatung prüft die Kanzlei Dr. Stoll & Sauer im Online-Check auch die Betroffenheit von den gängigsten Datenlecks ab.Phishing bleibt eine beliebte Betrugsmasche unter Cyberkriminellen und scheint ein lukratives kriminelles Geschäftsmodell zu sein. Im April warnte das LKA Niedersachsen beispielsweise vor Phishing-SMS und -E-Mails, die Opfer mit angeblichen Zollgebühren lockten. Falls Verbraucher Opfer einer Phishing-Mail geworden sind, sollten sie folgende Maßnahmen ergreifen: