23.07.2016

BankenLochkarte trifft auf App

Finanzkonzerne leiden unter einer Serie von IT-Pannen und Cyberattacken. Schützen müssen sich die Verbraucher selbst.
Der Twitter-Nutzer Sir Rant-A-Lot (@Revolvermann) teilt sein halbes Leben über den Kurznachrichtendienst mit, so auch sein Entsetzen am vergangenen Montag, als er sich auf seinem Comdirect-Konto einloggen wollte. "HOLY SHIT! Bei jedem neuen Login lande ich in einem anderen @comdirect account ... aber nicht in meinem." Auch weitere Nutzer warnten: "Sehe gerade Kontostände fremder Leute."
Der Grund für die Aufregung war offensichtlich: Seit Stunden landeten die Kunden auf den Konten fremder Nutzer, wenn sie sich online einloggten. Sie konnten dabei Gehaltseingänge sehen, Miet- und Kreditzahlungen, Wertpapierbuchungen und etliche andere Daten wildfremder Menschen, die so mancher Bankkunde nicht einmal seinem Ehepartner anvertrauen würde.
Es ist die wahrscheinlich peinlichste Datenpanne der jüngsten Zeit bei Banken: So gab es bei der Deutschen Bank kürzlich Millionen Doppelbuchungen, die Konten teils tief ins Minus rissen. Im Herbst konnten Sparkassenkunden aufgrund einer Fehlfunktion im Netzwerk in halb Deutschland kein Geld mehr abheben. Und im Juni kamen einer Fintech-Firma für Crowdfunding durch einen Hackerangriff 53 Millionen Dollar abhanden.
Je mehr sich das Geldgeschäft ins Internet und auf das Smartphone verlagert, desto gefährlicher scheint es für die Verbraucher zu werden. "In den letzten Jahren ist Onlinebanking immer mehr Ziel von Kriminellen geworden", sagt Konrad Rieck, Professor für Informatik an der Technischen Universität Braunschweig. Aber auch verheerende Pannen ohne Fremdeinwirkung nehmen zu.
Selbst hochrangige Banker erwarten, dass es in den nächsten Jahren häufiger zu Zwischenfällen kommt. Denn die IT-Systeme deutscher Banken stammen teils gefühlt noch aus der Lochkartenära des Computerzeitalters, es sind Programmiersprachen im Einsatz, die heute kaum noch jemand beherrscht, die Systeme gleichen großen Flickenteppichen.
Die Banken aber sind getrieben, müssen sich dem technischen Fortschritt anpassen, der eigentlich zu schnell für sie ist. Sie gehen deshalb mit technisch unausgereiften Produkten auf den Markt, die erst dann weiterentwickelt werden.
"Der Druck auf die IT-Abteilungen ist enorm, sie müssen verschärfte regulatorische Vorschriften in ihren Systemen umsetzen und gleichzeitig ihren Kunden ständig neue Features bieten", sagt der IT-Experte und Bankenberater Bernd Richter. Verbraucher wollen Geld per Smartphone überweisen, Kontostände jederzeit abfragen, selbst Kreditanträge oder Geldanlagen mobil erledigen. Wer das nicht schnell bietet, droht den Kampf um das Bankgeschäft der Zukunft zu verlieren.
Früher dauerte es bis zu 18 Monate, bis ein Bankprodukt entwickelt, die Umsetzbarkeit von der IT geprüft, das Angebot nachgebessert und schließlich auf den Markt gebracht wurde. Die Banken sammelten Neuerungen und spielten nur ein bis zweimal im Jahr neue Software auf, die dann aber umfassend getestet war.
Heute werden Produkte binnen zwei Wochen entwickelt und mehrmals wöchentlich Software-Updates durchgeführt. Die niederländische Großbank ING etwa hat ihre Organisation komplett umgekrempelt. Hunderte Programmierer arbeiten jetzt in kleinen Teams direkt mit den Produktentwicklern zusammen, um schneller mit neuen Angeboten am Markt zu sein.
Mit der Häufigkeit der Updates steigt das Risiko von Fehlern. Banken verfolgen außerdem in der Regel eine Strategie der zwei Geschwindigkeiten: Sie experimentieren einerseits mit schnell entwickelter, neuer IT, arbeiten aber im Kern mit den alten Systemen weiter – was an den Schnittstellen zusätzlich Fehler befördert.
Doch die internen Schwachstellen sind nur die eine Front, an der die Finanzbranche kämpft. Denn gleichzeitig werden die Verbrecher, die Banken und ihre Kunden angreifen, immer professioneller.
Wie jede andere Industrie setzt auch die Hacking-Branche mittlerweile auf Arbeitsteilung und effizienten Einsatz von Ressourcen. "Spezialisten hacken massenweise schlecht geschützte Privat-PC und vermieten diese im Internet an andere Kriminelle, für 5, 10 oder 20 Dollar das Stück", sagt IT-Professor Rieck.
Ein unangreifbares System zum Schutz vor solchen Angriffen gibt es nicht. Egal, welches Gerät und welche Identifizierung genutzt wird: Jedes Sicherheitssystem ist bislang irgendwann überwunden worden. Weder TAN und PIN noch Identifizierung per Fingerabdruck bieten 100-prozentigen Schutz.
Die gute Nachricht für Verbraucher ist: Wer regelmäßig Virenschutz, Betriebssystem und Anwendungsprogramme auf den neuesten Stand bringt, hat gute Chancen, verschont zu werden. "Viele Hacker konzentrieren sich auf die leicht zu knackenden PC, weil sie damit am Ende einfach mehr Geld machen", sagt Rieck.
Die Aufsichtsbehörden haben die Cybersicherheit zwar längst als große neue Schwachstelle bei den Banken erkannt. Die EZB hat die Kontrolle von IT-Risiken dieses Jahr zu einer Schwerpunktaufgabe gemacht und begonnen, eine Datenbank aufzubauen, an die Banken der Eurozone systematisch größere Zwischenfälle in ihren Systemen melden.
Doch erst im kommenden Jahr werden alle 130 von der EZB beaufsichtigten Banken an das Frühwarnsystem angeschlossen sein. Den Aufsehern fehlt es wie den Banken an gutem Personal, um mit den Cyberherausforderungen fertig zu werden.
Sanktioniert werden IT-Pannen von den Behörden bislang kaum, auch im Fall der Comdirect gilt eine Strafe wegen des blamablen Vorfalls als unwahrscheinlich. Experten halten das für fahrlässig. "Die Aufsichtsbehörden sollten klare Richtlinien für den Umgang mit Cyberrisiken, zur IT-Entwicklung und für Tests vorgeben und Manager persönlich für fehlerhafte Releases haftbar machen", findet Richter.

artin.hesse@spiegel.de, anne.seith@spiegel.de
Von Martin Hesse und Anne Seith Mail: M

DER SPIEGEL 30/2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGEL-Verlag Rudolf Augstein GmbH & Co. KG.

Dieser Artikel ist ausschließlich für den privaten Gebrauch bestimmt. Sie dürfen diesen Artikel jedoch gerne verlinken.
Unter http://www.spiegelgruppe-nachdrucke.de können Sie einzelne Artikel für Nachdruck bzw. digitale Publikation lizenzieren.


DER SPIEGEL 30/2016
Titelbild
Der digitale SPIEGEL
Diese Ausgabe jetzt digital lesen

Die digitale Welt der Nachrichten. Mit interaktiven Grafiken, spannenden Videos und beeindruckenden 3-D-Modellen.
Sie lesen die neue Ausgabe noch vor Erscheinen der Print-Ausgabe, schon freitags ab 18 Uhr.
Einmal anmelden, auf jedem Gerät lesen - auch offline. Optimiert für Windows 8, Android, iPad, iPhone, Kindle Fire, BlackBerry Z10 sowie für PC/Mac.

Abo-Angebote

Den SPIEGEL lesen oder verschenken und Vorteile sichern!

Jetzt Abo sichern
Ältere SPIEGEL-Ausgaben

Kostenloses Archiv:
Stöbern Sie im kompletten SPIEGEL-Archiv seit
1947 – bis auf die vergangenen zwölf Monate kostenlos für Sie.

Wollen Sie ältere SPIEGEL-Ausgaben bestellen?
Hier erhalten Sie Ausgaben, die älter als drei Jahre sind.

Artikel als PDF
Artikel als PDF ansehen

Banken:
Lochkarte trifft auf App

Video 00:59

Ungewöhnliches Rennen Wer gewinnt?

  • Video "Moorbrand in Meppen: Landkreis Emsland ruft Katastrophenfall aus" Video 00:00
    Moorbrand in Meppen: Landkreis Emsland ruft Katastrophenfall aus
  • Video "Über 300 Meter lang: Riesiges Spinnennetz an griechischer Küste" Video 00:35
    Über 300 Meter lang: Riesiges Spinnennetz an griechischer Küste
  • Video "Mordfall Peggy: Verdächtiger gesteht Transport der Leiche" Video 01:15
    Mordfall Peggy: Verdächtiger gesteht Transport der Leiche
  • Video "Vor laufender Kamera: Riesiger Gletscher-Abbruch in Grönland" Video 01:46
    Vor laufender Kamera: Riesiger Gletscher-Abbruch in Grönland
  • Video "Amateurvideo: Missglückte Bergungsaktion mit Bagger" Video 00:45
    Amateurvideo: Missglückte Bergungsaktion mit Bagger
  • Video "Staatschef am Drücker: Scharfschütze Putin" Video 00:49
    Staatschef am Drücker: Scharfschütze Putin
  • Video "Zahlen zum Kontrolltag: So gefährlich ist das Handy am Steuer" Video 01:47
    Zahlen zum Kontrolltag: So gefährlich ist das Handy am Steuer
  • Video "Merkels Tonprobleme bei Gipfel-PK: Was ist denn technisch hier los?" Video 01:57
    Merkels Tonprobleme bei Gipfel-PK: "Was ist denn technisch hier los?"
  • Video "Skurriler Unfall: Haus blockiert Highway" Video 00:34
    Skurriler Unfall: Haus blockiert Highway
  • Video "Zu geringer Kabinendruck: Flugpassagiere bluten aus Nasen und Ohren" Video 01:07
    Zu geringer Kabinendruck: Flugpassagiere bluten aus Nasen und Ohren
  • Video "Er war's, er war's: Nahles sieht Schuld für Maaßen-Debakel bei Seehofer" Video 01:36
    Er war's, er war's: Nahles sieht Schuld für Maaßen-Debakel bei Seehofer
  • Video "Video aus Kanada: Feuertornado saugt Feuerwehrschlauch an" Video 00:47
    Video aus Kanada: Feuertornado saugt Feuerwehrschlauch an
  • Video "Amateurvideo: Segelboot rammt Segelboot" Video 01:17
    Amateurvideo: Segelboot rammt Segelboot
  • Video "Lava-Spektakel auf La Réunion: Vulkanausbruch als Touristenattraktion" Video 01:28
    Lava-Spektakel auf La Réunion: Vulkanausbruch als Touristenattraktion
  • Video "Der Fall Maaßen/Seehofer: Ein Widerstandsnest gegen die Kanzlerin" Video 03:07
    Der Fall Maaßen/Seehofer: "Ein Widerstandsnest gegen die Kanzlerin"
  • Video "Ungewöhnliches Rennen: Wer gewinnt?" Video 00:59
    Ungewöhnliches Rennen: Wer gewinnt?