Insiderangriff auf Neobroker

Hast du das von Scalable gehört? Ich habe mich letzte Woche erst dort angemeldet. Mit diesen Worten begrüßte mich Ende Oktober ein Freund auf dem Weg ins Büro. Die Folgen waren uns zu der Zeit noch nicht vollumfänglich bekannt.

Das Fintech-Start-up Scalable Capital startete nach Gründung mit einem Robo-Advisor und legte damit automatisiert und je nach Risikoprofil Kapital der Kund:innen an. Mittlerweile ist ein zweites Produkt dazugekommen und Scalable Capital launchte einen Neo-Broker, um es Kund:innen möglichst einfach zu machen Aktien, Derivate und ETFs zu erwerben und zu verwalten.

Schon vor einigen Wochen gab es Berichte zu einem Datenleck bei dem Fintech-Start-up. Am 19. Oktober informierte dann das Unternehmen seine Kund:innen über das Datenleck und den damit verbundenen unrechtmäßigen Zugriffen auf Daten von über 31.000 Kund:innen.¹ Dabei konnte auf Daten wie beispielsweise Kontakt- und Ausweisdaten, aber auch Steuer- und Kontonummern zugegriffen werden.

Die derzeitige Entwicklung von Cyberattacken zeigt, dass Cyberkriminelle mittlerweile sehr strukturiert vorgehen und Angriffe meist über Monate, teilweise über Jahre vorbereiten und auswerten. Im Fall von Scalable Capital mündet nun der Angriff in Erpressung der Opfer und Verkauf der abgefangenen Daten. So erhielten Betroffene unter anderem folgende besorgniserregende Nachricht:

Es hat sich so ergeben, dass uns persönliche Informationen über Dich vorliegen. Hier findest Du Deine Daten:

Weitere Betroffene berichten von unerwünschten Nachrichten und zum Teil kuriosen Anrufen. Opfer dieses Datenlecks werden sich in den nächsten Monaten auf täuschend echte Phishingmails einstellen müssen. Gerade Fintech-Unternehmen geraten immer öfter in das Visier von Cyberkriminellen. Diese verwalten meist sehr sensible Daten ihrer Kundschaft. Aus diesem Grund werden auch Stimmen von Experten lauter, welche ähnliche Regulierungen von Fintechs fordern wie für Banken. Für die sichere Verwahrung der Finanzmittel arbeiten junge Fintech-Start-ups meist mit größeren Banken zusammen, welche ohnehin BAFIN reguliert sind. Allerdings sollte für den Schutz der Kundschaftsdaten auch vorgesorgt werden. Berechtigungen und gerade Zugriffsrechte auf eine so hohe Anzahl von Kundschaftsdaten sollten nur sehr streng vergeben werden. Häufig genug werden zu viele Rechte an Mitarbeitende vergeben und diese auch nicht regelmäßig geprüft.

Aktuelle Statistiken zeigen, dass Angriffe von innen keine Seltenheit mehr sind und von Jahr zu Jahr weiter ansteigen. So berichtet das Unternehmen PwC in einem Forschungsbericht aus dem Jahr 2019, dass von allen befragten Unternehmen 40,00 % mit Insider-Angriffen Erfahrungen gemacht haben. Somit sollte sich jedes Unternehmen vermehrt mit dem Thema Access Management beschäftigen und alle Angestellten durch umfangreiche Awareness-Kampagnen sensibilisieren. Der Angriff auf den Vermögensverwalter Scalable Capital zeigt einmal mehr, wie wichtig die Zusammenarbeit zwischen Verantwortlichen aus dem Bereich Datenschutz und den zuständigen Kolleginnen und Kollegen aus der IT-Sicherheit ist, und wird für das junge Unternehmen schwerwiegende Folgen haben wie:

• Reputationsverlust
• Kundschaftsabfall
• Bußgeldforderungen

Umgang mit Datenschutzvorfällen in Unternehmen

Eine positive Nachricht gibt es aber dennoch in diesem Fall. Das Unternehmen hat schnell reagiert und die zuständigen Behörden und Betroffenen kurz nach Bekanntwerden informiert. Ein positives Beispiel für die Auswirkungen der Datenschutzgrundverordnung und der damit verbundenen höheren Informationspflichten.

_{¹Insider-Angriff mit Erpressermails und Spam-Anrufen: Daten von 31.000 Scalable-Kunden waren über sechs Monate ungeschützt. Business Insider. [online] https://www.businessinsider.de/wirtschaft/finanzen/insider-angriff-mit-erpressermails-und-spam-anrufen-daten-von-31-000-scalable-kunden-waren-ueber-sechs-monate-ungeschuetzt-c/ [04.11.2020].}