comdirect: Kontoauszüge anderer Kunden waren einsehbar
von caschy | 30 Kommentare
Wir berichteten am 12. Juli davon, dass die comdirect eine mehrere Stunden lange „Störung“ hatte. In der Nacht von Sonntag auf Montag führte man laut eigener Aussagen dringende Wartungsarbeiten durch. Allerdings meldeten sich am Montag Kunden, die laut eigener Aussagen Einsicht in die Kontoauszüge anderer Kunden bekamen als sie den CSV-Export in ihrem Konto nutzten. Kurz nachdem diese Aussagen bekannt wurden, wurden diverse Funktionen deaktiviert, auf der Seite der comdirect eine Funktionsstörung eingeblendet. Mittlerweile hat das Institut auf unsere Anfrage den Fehler bestätigt. Betroffene Kunden habe man informiert, den Vorfall entsprechenden Behörden gemeldet.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Au weia, das ist ja mal echt übel.
Ich bin da Kunde, habe aber nichts gehört. Klopf auf Holz.
Wenn schon sowas einfaches Fehler hat, wie schaut es dann mit wirklich kritischen Funktionen aus?
Klopf aufs Holz? Vielleicht hat ja ein Dritter deine Kontoauszüge gesehen!? Ich wäre da nicht so entspannt
Ich wäre da zumindest nicht so fürchterlich unentspannt wie offenbar viele andere. Vielleicht hat ein Dritter einen Blick auf meine Kontobewegungen werfen können … und jetzt? Ein Drama wäre das für mich jedenfalls nicht.
Das ist diese Integration in die Commerzbank…
….sagt wer ? Bzw ist wodurch belegt ?
Keine Frage solche Fehler sollten nicht passieren, und dürfen nicht passieren.
Wenn man aber nüchtern darüber nachdenkt erkennt man schnell, dass das reale Risiko das sich daraus ergibt, dass eine zufällige Person den Namen und den Kontostand einer anderen zufälligen Person sehen konnte, gering ist.
@elknipso „dass das reale Risiko … gering ist“
Schon klar.
Nur sollte man nicht wie die ING den Kunden mittlerweile mit vier(!) Auth-Merkmalen und der Begründung „EU ist schuld“ nerven, nur wenn man im Webbrowser mal schnell seinen Kontostand sehen will. Deutsche Drecksläden, allesamt.
Das Geht im Online Banking mittlerweile ganz einfach indem man mit der app schnell 2 qr codes scannt.
@Max Beringer „mittlerweile ganz einfach“
Viel Spaß in deiner begrenzten und kleinen Welt, ist aber nicht für jeden so. Barrierefreiheit, mal gehört?
Hoffentlich weisst du also noch die ING DiBa Telefonbanking PIN, um registrierte und mit anderen Telefonen verwendete Apps löschen zu lassen (Gerätewechsel hab ich öfter). Erinnert irgendwie an alte Sky-Abo Zeiten, wo jeder benutzte Browser als Gerät registriert wurde.
Dazu der Unfug, dass man für Registrierung der KKarte in Apple Pay neuerdings erst die DiBa App installieren muss, TAN Liste suchen, Login umstellen, App verifizieren, KK in Apple Pay registrieren, Login wieder auf Generator zurückschalten…
Eigentlich hatte ich Onlinebanking mal wegen der Einfachheit gestartet, mittlerweile kann man (fast) besser beim Bank-O-Maten mit Selbstbedienung vorfahren.
Wieso 2 QR-Codes scannen? Ist das nicht so einfach wie bei der DKB oder N26 zum Beispiel, wo ich am Handy einfach eine Benachrichtigung kriege, wo ich dann auf „akzeptieren“ drücke? Einen QR-Code fände ich ja schon unbequem, aber warum 2?
Wie gehabt, der Kunde wird mit nervigen Maßnahmen drangsaliert und ihm im Zweifel Fahrlässigkeit unterstellt, während die Unternehmen im #Neuland lustig unsere Daten unter der Weltbevölkerung verteilen.
Du hast es auf den Punkt gebracht!
Sicherheitstheater nennt man das im Flugbetrieb. So lange die Daten nicht individuell verschlüsselt sind, wird es solche Probleme immer geben.
Es ist wenig überraschend, wie dieser schwere Vorfall bei comdirect von den Kunden selbst bagatellisiert wird. Tagein, tagaus wird über Datenschutz sinniert und wenn bei einer Bank sämtliche Dämme brechen, dann ist das Alles gar nicht so schlimm. „Ich bin seit x Jahren zufriedener Kunde“, „Die Anderen (Klarna. N26, usw.) sind auch nicht besser.“ Na ihr zufriedenen comdirect-Kunden, dann stellt doch eure Kontoauszüge gleich öffentlich zur Verfügung! Es wird schon nichts passieren, wenn zufällig mal jemand draufschaut. Mir bleibt da nur noch Kopfschütteln…
Kommen Sie mal wieder runter, weil ein User hier im Kommentarbereich den Vorfall verharmlost, heißt das nicht, das alle so denken. Ich hoffe dringlichst, dass der Datenschutzbeauftragte heute bei der comdirekt vor der Tür steht.
Ich „verharmlose“ den Vorfall nicht, ich ordne ihn nur im richtigen Kontext ein.
Leider neigen viele Menschen zu faktenferner Panikmache ohne sich einfach mal nüchtern die Sachlage und die tatsächlich daraus resultierenden Gefahren anzusehen.
Das hat nichts mit verharmlosen zu tun, sondern einfach damit, zu selektieren, welche Dinge es wert sind, sich so darüber aufzuregen. Natürlich darf sowas nicht passieren, aber Fehler passieren nun mal. Wenn das dann doch der Regelfall wird, würde ich das selbstverständlich anders bewerten, aber so ist es im Moment nun mal nicht.
Es gibt weder perfekte Software noch perfekte Menschen; ergo Shit happens. Da wo Daten gespeichert werden, können sie auch ausbrechen, egal ob bei einem Hack oder weil jemand einen Bedienfehler gemacht hat. Das nächste Mal, vielleicht bei der DeutschenNorisPostbank oder bei REWE oder bei VW oder beim Finanzamt. Daran, dass es ein „nächstes Mal“ geben wird, wird wohl keiner der hier Mitlesenden zweifeln.
@Johann
Na wenn das so ist, dann brauchen wir uns ja um Datenschutz keine Sorgen mehr zu machen. Warum dann noch viel Geld für irgendwelche unperfekte Sicherungsmaßnahmen investieren? Unsere Daten können jederzeit offen einsehbar werden und es ist einfach so. „Shit happens!“ Ab in die Tonne mit der DSGVO und sämtlichen Ermittlungsbehörden den freien Zugriff auf sämtliche Daten gewähren, an denen sie irgendwie Interesse haben.
Ich habe nicht gesagt, dass wir auf Datenschutz verzichten können, sondern dass Fehler überall auftreten können und nicht nur bei der comdirect/Commerzbank. Wer garantiert Dir, dass nicht schon morgen die Userdatenbank von Caschy gehackt wird oder jemand die Platte mit der Sicherung an der Bushaltestelle liegen lässt? OK, bei Carsten gehe ich davon aus, dass die Sicherung verschlüsselt ist :-), aber gilt das auch für Deinen Sportverein, den Pizzaservice um die Ecke oder den Onlineshop in dem Du ein Schnäppchen geschossen hast?
Wer sicher gehen will, dass seine Daten nie und nimmer in falsche Hände geraten, der sollte in eine Höhle ziehen oder sich eine paar falsche Identitäten zulegen.
Plot Twist: Es gibt hier keine User 🙂
@Johann: Es ist sogar noch sehr viel einfacher, denn wer wirklich sicher gehen und die tatsächliche Kontrolle über seine Daten behalten möchte, darf sie einfach keinem anderen geben. Sobald man sie einem Dritten gibt, hat man naturgemäß keinen Einfluss mehr darauf, was damit geschieht.
Naja, ich sehe schon einen Unterschied zwischen Daten die ich dem Sportverein oder einem wenig seriösen Händler im Internet anvertraue oder ob es sich da um die Daten meiner finanziellen Transaktionen geht, die von der Bank meines Vertrauens generiert und aufgrund einer „Störung“ veröffentlicht wurden. Gerade Finanzinstitute und der Staat haben da für uneingeschränkte Sicherheit zu sorgen. Die Ausrede, das sowas ja nicht der Regelfall ist, lasse ich nicht gelten. Als Kunde dieser Bank würde ich meine Konsequenzen ziehen. Just my 2 Cents!
Solange Menschen und von Menschen programmierte Computer beteiligt sind, gibt es keine „uneingeschränkte Sicherheit“.
Das ist ja ein interessantes Fehlerbild und erstaunlich, dass so etwas überhaupt technisch möglich ist.
Das spricht nicht gerade dafür, dass sich auf Software-/Server-Seite jemand ernsthaft Gedanken gemacht hat.
Ich habe keinen Einblick und weiß nicht was da vorgefallen ist… Wenn ich aber mal ins Blaue schießen sollte:
– Die Daten aller Kund*innen liegen in einer gemeinsamen Datenbank
– voneinander getrennt sind die Daten lediglich durch eine ID, die pro Nutzer*in eindeutig ist
– Bei „Wartungsarbeiten“ (oder Datenbank-Aktualisierungen/-Erweiterungen) könnte es einen Vorfall gegeben haben, der dafür sorgte, dass diese eindeutige ID plötzlich weniger Platz hat… was wiederum dazu führen kann, dass aus einem Long-int ein Int werden könnte und plötzlich mehrere dieselbe ID erhalten (was schon krass wäre wenn das bei der Umstellung zu keinem Fehler führte)… oder wenn es ein String war, dass Stellen abgeschnitten wurden und so doppelte IDs entstanden bzw. Datensätze auf identische IDs zusammengefasst wurden…
WENN das irgendetwas in dieser Richtung gewesen sein sollte, wäre das grob fahrlässig für so ein Unternehmen…
Ich hätte eigentlich erwartet, dass die Kund*innen Daten gegeneinander schon dadurch gesichert sind, dass sie mit einem anderen Schlüssel verschlüsselt gespeichert sind und es technisch gar nicht möglich wäre, dass irgendein anderes Device diese Daten überhaupt entziffern könnte…
… ist aber vermutlich nicht so, weil ansonsten ja auch die Bank selbst keinen Einblick mehr hätte …
Kann jemand ein kostenloses Konto mit Apple Pay empfehlen?
Ich habe damals nur wegen Apple Pay bei Comdirect ein Konto eröffnet.
Mein Standard Tipp seit 15 Jahren: DKB, mittlerweile auch mit Apple Pay Unterstützung.
Die betroffenen Kunden wurden übrigens bislang noch nicht informiert, ein 30-Minunten alter Tweet kündigt die Information erst noch an: https://twitter.com/comdirect/status/1414879530259472385
Also leider keine Entwarnung für alle, die gehofft haben, ihre Umsatz-Daten wären nicht betroffen gewesen, weil sich comdirect noch nicht bei ihnen gemeldet hat.
OMG, ich lese Cashys Blog schon seit über 5 Jahren ^^
https://stadt-bremerhaven.de/schwere-panne-bei-comdirect-ein-blick-in-fremde-konten/
Ach wenn’s alle paar Jahre mal vorkommt ist es doch nicht so schlimm. 😉
@Sven S. – Danke für den Hinweis!