23.07.2016

BankenLochkarte trifft auf App

Finanzkonzerne leiden unter einer Serie von IT-Pannen und Cyberattacken. Schützen müssen sich die Verbraucher selbst.
Der Twitter-Nutzer Sir Rant-A-Lot (@Revolvermann) teilt sein halbes Leben über den Kurznachrichtendienst mit, so auch sein Entsetzen am vergangenen Montag, als er sich auf seinem Comdirect-Konto einloggen wollte. "HOLY SHIT! Bei jedem neuen Login lande ich in einem anderen @comdirect account ... aber nicht in meinem." Auch weitere Nutzer warnten: "Sehe gerade Kontostände fremder Leute."
Der Grund für die Aufregung war offensichtlich: Seit Stunden landeten die Kunden auf den Konten fremder Nutzer, wenn sie sich online einloggten. Sie konnten dabei Gehaltseingänge sehen, Miet- und Kreditzahlungen, Wertpapierbuchungen und etliche andere Daten wildfremder Menschen, die so mancher Bankkunde nicht einmal seinem Ehepartner anvertrauen würde.
Es ist die wahrscheinlich peinlichste Datenpanne der jüngsten Zeit bei Banken: So gab es bei der Deutschen Bank kürzlich Millionen Doppelbuchungen, die Konten teils tief ins Minus rissen. Im Herbst konnten Sparkassenkunden aufgrund einer Fehlfunktion im Netzwerk in halb Deutschland kein Geld mehr abheben. Und im Juni kamen einer Fintech-Firma für Crowdfunding durch einen Hackerangriff 53 Millionen Dollar abhanden.
Je mehr sich das Geldgeschäft ins Internet und auf das Smartphone verlagert, desto gefährlicher scheint es für die Verbraucher zu werden. "In den letzten Jahren ist Onlinebanking immer mehr Ziel von Kriminellen geworden", sagt Konrad Rieck, Professor für Informatik an der Technischen Universität Braunschweig. Aber auch verheerende Pannen ohne Fremdeinwirkung nehmen zu.
Selbst hochrangige Banker erwarten, dass es in den nächsten Jahren häufiger zu Zwischenfällen kommt. Denn die IT-Systeme deutscher Banken stammen teils gefühlt noch aus der Lochkartenära des Computerzeitalters, es sind Programmiersprachen im Einsatz, die heute kaum noch jemand beherrscht, die Systeme gleichen großen Flickenteppichen.
Die Banken aber sind getrieben, müssen sich dem technischen Fortschritt anpassen, der eigentlich zu schnell für sie ist. Sie gehen deshalb mit technisch unausgereiften Produkten auf den Markt, die erst dann weiterentwickelt werden.
"Der Druck auf die IT-Abteilungen ist enorm, sie müssen verschärfte regulatorische Vorschriften in ihren Systemen umsetzen und gleichzeitig ihren Kunden ständig neue Features bieten", sagt der IT-Experte und Bankenberater Bernd Richter. Verbraucher wollen Geld per Smartphone überweisen, Kontostände jederzeit abfragen, selbst Kreditanträge oder Geldanlagen mobil erledigen. Wer das nicht schnell bietet, droht den Kampf um das Bankgeschäft der Zukunft zu verlieren.
Früher dauerte es bis zu 18 Monate, bis ein Bankprodukt entwickelt, die Umsetzbarkeit von der IT geprüft, das Angebot nachgebessert und schließlich auf den Markt gebracht wurde. Die Banken sammelten Neuerungen und spielten nur ein bis zweimal im Jahr neue Software auf, die dann aber umfassend getestet war.
Heute werden Produkte binnen zwei Wochen entwickelt und mehrmals wöchentlich Software-Updates durchgeführt. Die niederländische Großbank ING etwa hat ihre Organisation komplett umgekrempelt. Hunderte Programmierer arbeiten jetzt in kleinen Teams direkt mit den Produktentwicklern zusammen, um schneller mit neuen Angeboten am Markt zu sein.
Mit der Häufigkeit der Updates steigt das Risiko von Fehlern. Banken verfolgen außerdem in der Regel eine Strategie der zwei Geschwindigkeiten: Sie experimentieren einerseits mit schnell entwickelter, neuer IT, arbeiten aber im Kern mit den alten Systemen weiter – was an den Schnittstellen zusätzlich Fehler befördert.
Doch die internen Schwachstellen sind nur die eine Front, an der die Finanzbranche kämpft. Denn gleichzeitig werden die Verbrecher, die Banken und ihre Kunden angreifen, immer professioneller.
Wie jede andere Industrie setzt auch die Hacking-Branche mittlerweile auf Arbeitsteilung und effizienten Einsatz von Ressourcen. "Spezialisten hacken massenweise schlecht geschützte Privat-PC und vermieten diese im Internet an andere Kriminelle, für 5, 10 oder 20 Dollar das Stück", sagt IT-Professor Rieck.
Ein unangreifbares System zum Schutz vor solchen Angriffen gibt es nicht. Egal, welches Gerät und welche Identifizierung genutzt wird: Jedes Sicherheitssystem ist bislang irgendwann überwunden worden. Weder TAN und PIN noch Identifizierung per Fingerabdruck bieten 100-prozentigen Schutz.
Die gute Nachricht für Verbraucher ist: Wer regelmäßig Virenschutz, Betriebssystem und Anwendungsprogramme auf den neuesten Stand bringt, hat gute Chancen, verschont zu werden. "Viele Hacker konzentrieren sich auf die leicht zu knackenden PC, weil sie damit am Ende einfach mehr Geld machen", sagt Rieck.
Die Aufsichtsbehörden haben die Cybersicherheit zwar längst als große neue Schwachstelle bei den Banken erkannt. Die EZB hat die Kontrolle von IT-Risiken dieses Jahr zu einer Schwerpunktaufgabe gemacht und begonnen, eine Datenbank aufzubauen, an die Banken der Eurozone systematisch größere Zwischenfälle in ihren Systemen melden.
Doch erst im kommenden Jahr werden alle 130 von der EZB beaufsichtigten Banken an das Frühwarnsystem angeschlossen sein. Den Aufsehern fehlt es wie den Banken an gutem Personal, um mit den Cyberherausforderungen fertig zu werden.
Sanktioniert werden IT-Pannen von den Behörden bislang kaum, auch im Fall der Comdirect gilt eine Strafe wegen des blamablen Vorfalls als unwahrscheinlich. Experten halten das für fahrlässig. "Die Aufsichtsbehörden sollten klare Richtlinien für den Umgang mit Cyberrisiken, zur IT-Entwicklung und für Tests vorgeben und Manager persönlich für fehlerhafte Releases haftbar machen", findet Richter.

artin.hesse@spiegel.de, anne.seith@spiegel.de
Von Martin Hesse und Anne Seith Mail: M

DER SPIEGEL 30/2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


DER SPIEGEL 30/2016
Titelbild
Der digitale SPIEGEL
Diese Ausgabe jetzt digital lesen

Die digitale Welt der Nachrichten. Mit interaktiven Grafiken, spannenden Videos und beeindruckenden 3-D-Modellen.
Sie lesen die neue Ausgabe noch vor Erscheinen der Print-Ausgabe, schon freitags ab 18 Uhr.
Einmal anmelden, auf jedem Gerät lesen - auch offline. Optimiert für Windows 8, Android, iPad, iPhone, Kindle Fire, BlackBerry Z10 sowie für PC/Mac.

Abo-Angebote

Den SPIEGEL lesen oder verschenken und Vorteile sichern!

Jetzt Abo sichern
Ältere SPIEGEL-Ausgaben

Kostenloses Archiv:
Stöbern Sie im kompletten SPIEGEL-Archiv seit
1947 – bis auf die vergangenen zwölf Monate kostenlos für Sie.

Wollen Sie ältere SPIEGEL-Ausgaben bestellen?
Hier erhalten Sie Ausgaben, die älter als drei Jahre sind.

Artikel als PDF
Artikel als PDF ansehen

Banken:
Lochkarte trifft auf App

Video 01:39

Planespotter-Videos Spektakuläre Manöver am Flughafen Düsseldorf

  • Video "Brexit-Debatte: May attackiert Abgeordnete scharf" Video 02:17
    Brexit-Debatte: May attackiert Abgeordnete scharf
  • Video "Dramatisches Bodycam-Video: US-Polizist fängt Kinder aus brennendem Haus auf" Video 01:58
    Dramatisches Bodycam-Video: US-Polizist fängt Kinder aus brennendem Haus auf
  • Video "Skifahrer filmt Lawinenabgang: Plötzlich bricht der Schnee weg" Video 00:38
    Skifahrer filmt Lawinenabgang: Plötzlich bricht der Schnee weg
  • Video "Unterhaussprecher Bercow: Der Brexit-Star in Zivil" Video 01:30
    Unterhaussprecher Bercow: Der Brexit-Star in Zivil
  • Video "Verendeter Wal: 40 Kilo Plastik im Bauch" Video 01:19
    Verendeter Wal: 40 Kilo Plastik im Bauch
  • Video "Tausende evakuiert: Historische Fluten in den USA" Video 01:00
    Tausende evakuiert: Historische Fluten in den USA
  • Video "Neuseeländischer Bauer gibt Waffe ab: Das ist das Risiko nicht wert" Video 02:11
    Neuseeländischer Bauer gibt Waffe ab: "Das ist das Risiko nicht wert"
  • Video "Virales Video: Elfjähriger dribbelt auf dem Laufband" Video 00:48
    Virales Video: Elfjähriger dribbelt auf dem Laufband
  • Video "Überschwemmte Straße in England: Die einen schaffen's - und die anderen..." Video 01:27
    Überschwemmte Straße in England: Die einen schaffen's - und die anderen...
  • Video "Überwachungsvideo: Trennzaun-Domino" Video 01:17
    Überwachungsvideo: Trennzaun-Domino
  • Video "AKW-Abriss: Mit Flex, Kärcher und Wischlappen" Video 06:44
    AKW-Abriss: Mit Flex, Kärcher und Wischlappen
  • Video "Schüsse in Utrecht: Was über den Attentäter bekannt ist" Video 01:47
    Schüsse in Utrecht: Was über den Attentäter bekannt ist
  • Video "Türkei: Wasserwerfer gegen PKK-Anhänger" Video 01:05
    Türkei: Wasserwerfer gegen PKK-Anhänger
  • Video "Videoanalyse zu 737 Max: Wie Boeing sich selbst kontrolliert" Video 04:28
    Videoanalyse zu 737 Max: Wie Boeing sich selbst kontrolliert
  • Video "Planespotter-Videos: Spektakuläre Manöver am Flughafen Düsseldorf" Video 01:39
    Planespotter-Videos: Spektakuläre Manöver am Flughafen Düsseldorf