Seit Jahren bekannte Sicherheitslücke im Online-Banking

geld 19
News

Wie kürzlich bekannt wurde, sichern viele Banken ihre Online-Banking-Websites nur ungenügend.

Einem 16-jährigen Schüler war es gelungen bei diversen Banken, darunter auch etliche Großbanken, Sicherheitslücken aufzudecken. Diese Sicherheitslücken hätten schlimmstenfalls dazu führen können, dass sich Hacker Zugriff auf Bankkonten verschaffen. Auch nachdem die Banken über das Bestehen der Sicherheitslücken informiert wurden, benötigten einige Banken 2 Wochen um die Sicherheitslücken zu schließen.

Pikanterweise müssen auch Banken nach dem Gesetz gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können.

Erwähnenswert ist dabei, dass es sich um ein seit Jahren bekanntes Problem handelte, auf welches in Fachmagazinen bereits hingewiesen wurde.

Abzuwarten bleibt, ob die betroffenen Banken die Betroffenen und die zuständigen Datenschutzbehörde hierüber informieren. Denn neuerdings schreibt das Gesetz diese Information (sog. Security-Breach-Notification) ausdrücklich vor.

So heißt es in § 42a BDSG:

Stellt eine nichtöffentliche Stelle (…) fest, dass bei ihr gespeicherte (…) personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, und drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen, hat sie dies nach den Sätzen 2 bis 5 unverzüglich der zuständigen Aufsichtsbehörde sowie den Betroffenen mitzuteilen (…).

Die gesetzlich vorgeschriebene Benachrichtigungspflicht hat es in sich

  • die Benachrichtigung des Betroffenen muss unverzüglich erfolgen
  • sobald angemessene Maßnahmen zur Sicherung der Daten ergriffen worden oder nicht unverzüglich erfolgt sind und die Strafverfolgung nicht mehr gefährdet wird
  • die Benachrichtigung der Betroffenen muss eine Darlegung der Art der unrechtmäßigen Kenntniserlangung und Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen enthalten
  • die Benachrichtigung der zuständigen Aufsichtsbehörde muss zusätzlich eine Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen enthalten
  • falls die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordert, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen

Die Nichtvornahme dieser Informationsverpflichtung kann nach dem Gesetz mit einem Bußgeld in Höhe von bis zu 300.000,- EUR geahndet werden.

Wer allerdings auf seit Jahren bekannte Sicherheitslücken nicht reagiert und dann zum Teil auch noch 2 Wochen benötigt um diese Risiken zu beseitigen und es dermaßen offensichtlich versäumt die Interessen seiner eigenen Kunden zu schützen, bei dem erscheint letztlich auch äußerst zweifelhaft, ob er seine Kunden unverzüglich über drohende Beeinträchtigungen informieren wird.

So bleibt letztlich wohl nur ein wachsames Auge der zuständigen Datenschützer zu wünschen übrig.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Aufbau, Optimierung und Überprüfung der IT-Sicherheit nach anerkannten Standards
  • Vorbereitung auf eine Zertifizierung nach ISO 27001 oder IT-Grundschutz
  • Stellung von externen IT-Sicherheitsbeauftragten

Informieren Sie sich hier über unser Leistungsspektrum: IT-Sicherheit

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.