23.07.2016

BankenLochkarte trifft auf App

Finanzkonzerne leiden unter einer Serie von IT-Pannen und Cyberattacken. Schützen müssen sich die Verbraucher selbst.
Der Twitter-Nutzer Sir Rant-A-Lot (@Revolvermann) teilt sein halbes Leben über den Kurznachrichtendienst mit, so auch sein Entsetzen am vergangenen Montag, als er sich auf seinem Comdirect-Konto einloggen wollte. "HOLY SHIT! Bei jedem neuen Login lande ich in einem anderen @comdirect account ... aber nicht in meinem." Auch weitere Nutzer warnten: "Sehe gerade Kontostände fremder Leute."
Der Grund für die Aufregung war offensichtlich: Seit Stunden landeten die Kunden auf den Konten fremder Nutzer, wenn sie sich online einloggten. Sie konnten dabei Gehaltseingänge sehen, Miet- und Kreditzahlungen, Wertpapierbuchungen und etliche andere Daten wildfremder Menschen, die so mancher Bankkunde nicht einmal seinem Ehepartner anvertrauen würde.
Es ist die wahrscheinlich peinlichste Datenpanne der jüngsten Zeit bei Banken: So gab es bei der Deutschen Bank kürzlich Millionen Doppelbuchungen, die Konten teils tief ins Minus rissen. Im Herbst konnten Sparkassenkunden aufgrund einer Fehlfunktion im Netzwerk in halb Deutschland kein Geld mehr abheben. Und im Juni kamen einer Fintech-Firma für Crowdfunding durch einen Hackerangriff 53 Millionen Dollar abhanden.
Je mehr sich das Geldgeschäft ins Internet und auf das Smartphone verlagert, desto gefährlicher scheint es für die Verbraucher zu werden. "In den letzten Jahren ist Onlinebanking immer mehr Ziel von Kriminellen geworden", sagt Konrad Rieck, Professor für Informatik an der Technischen Universität Braunschweig. Aber auch verheerende Pannen ohne Fremdeinwirkung nehmen zu.
Selbst hochrangige Banker erwarten, dass es in den nächsten Jahren häufiger zu Zwischenfällen kommt. Denn die IT-Systeme deutscher Banken stammen teils gefühlt noch aus der Lochkartenära des Computerzeitalters, es sind Programmiersprachen im Einsatz, die heute kaum noch jemand beherrscht, die Systeme gleichen großen Flickenteppichen.
Die Banken aber sind getrieben, müssen sich dem technischen Fortschritt anpassen, der eigentlich zu schnell für sie ist. Sie gehen deshalb mit technisch unausgereiften Produkten auf den Markt, die erst dann weiterentwickelt werden.
"Der Druck auf die IT-Abteilungen ist enorm, sie müssen verschärfte regulatorische Vorschriften in ihren Systemen umsetzen und gleichzeitig ihren Kunden ständig neue Features bieten", sagt der IT-Experte und Bankenberater Bernd Richter. Verbraucher wollen Geld per Smartphone überweisen, Kontostände jederzeit abfragen, selbst Kreditanträge oder Geldanlagen mobil erledigen. Wer das nicht schnell bietet, droht den Kampf um das Bankgeschäft der Zukunft zu verlieren.
Früher dauerte es bis zu 18 Monate, bis ein Bankprodukt entwickelt, die Umsetzbarkeit von der IT geprüft, das Angebot nachgebessert und schließlich auf den Markt gebracht wurde. Die Banken sammelten Neuerungen und spielten nur ein bis zweimal im Jahr neue Software auf, die dann aber umfassend getestet war.
Heute werden Produkte binnen zwei Wochen entwickelt und mehrmals wöchentlich Software-Updates durchgeführt. Die niederländische Großbank ING etwa hat ihre Organisation komplett umgekrempelt. Hunderte Programmierer arbeiten jetzt in kleinen Teams direkt mit den Produktentwicklern zusammen, um schneller mit neuen Angeboten am Markt zu sein.
Mit der Häufigkeit der Updates steigt das Risiko von Fehlern. Banken verfolgen außerdem in der Regel eine Strategie der zwei Geschwindigkeiten: Sie experimentieren einerseits mit schnell entwickelter, neuer IT, arbeiten aber im Kern mit den alten Systemen weiter – was an den Schnittstellen zusätzlich Fehler befördert.
Doch die internen Schwachstellen sind nur die eine Front, an der die Finanzbranche kämpft. Denn gleichzeitig werden die Verbrecher, die Banken und ihre Kunden angreifen, immer professioneller.
Wie jede andere Industrie setzt auch die Hacking-Branche mittlerweile auf Arbeitsteilung und effizienten Einsatz von Ressourcen. "Spezialisten hacken massenweise schlecht geschützte Privat-PC und vermieten diese im Internet an andere Kriminelle, für 5, 10 oder 20 Dollar das Stück", sagt IT-Professor Rieck.
Ein unangreifbares System zum Schutz vor solchen Angriffen gibt es nicht. Egal, welches Gerät und welche Identifizierung genutzt wird: Jedes Sicherheitssystem ist bislang irgendwann überwunden worden. Weder TAN und PIN noch Identifizierung per Fingerabdruck bieten 100-prozentigen Schutz.
Die gute Nachricht für Verbraucher ist: Wer regelmäßig Virenschutz, Betriebssystem und Anwendungsprogramme auf den neuesten Stand bringt, hat gute Chancen, verschont zu werden. "Viele Hacker konzentrieren sich auf die leicht zu knackenden PC, weil sie damit am Ende einfach mehr Geld machen", sagt Rieck.
Die Aufsichtsbehörden haben die Cybersicherheit zwar längst als große neue Schwachstelle bei den Banken erkannt. Die EZB hat die Kontrolle von IT-Risiken dieses Jahr zu einer Schwerpunktaufgabe gemacht und begonnen, eine Datenbank aufzubauen, an die Banken der Eurozone systematisch größere Zwischenfälle in ihren Systemen melden.
Doch erst im kommenden Jahr werden alle 130 von der EZB beaufsichtigten Banken an das Frühwarnsystem angeschlossen sein. Den Aufsehern fehlt es wie den Banken an gutem Personal, um mit den Cyberherausforderungen fertig zu werden.
Sanktioniert werden IT-Pannen von den Behörden bislang kaum, auch im Fall der Comdirect gilt eine Strafe wegen des blamablen Vorfalls als unwahrscheinlich. Experten halten das für fahrlässig. "Die Aufsichtsbehörden sollten klare Richtlinien für den Umgang mit Cyberrisiken, zur IT-Entwicklung und für Tests vorgeben und Manager persönlich für fehlerhafte Releases haftbar machen", findet Richter.

artin.hesse@spiegel.de, anne.seith@spiegel.de
Von Martin Hesse und Anne Seith Mail: M

DER SPIEGEL 30/2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGEL-Verlag Rudolf Augstein GmbH & Co. KG.

Dieser Artikel ist ausschließlich für den privaten Gebrauch bestimmt. Sie dürfen diesen Artikel jedoch gerne verlinken.
Unter http://www.spiegelgruppe-nachdrucke.de können Sie einzelne Artikel für Nachdruck bzw. digitale Publikation lizenzieren.


DER SPIEGEL 30/2016
Titelbild
Der digitale SPIEGEL
Diese Ausgabe jetzt digital lesen

Die digitale Welt der Nachrichten. Mit interaktiven Grafiken, spannenden Videos und beeindruckenden 3-D-Modellen.
Sie lesen die neue Ausgabe noch vor Erscheinen der Print-Ausgabe, schon freitags ab 18 Uhr.
Einmal anmelden, auf jedem Gerät lesen - auch offline. Optimiert für Windows 8, Android, iPad, iPhone, Kindle Fire, BlackBerry Z10 sowie für PC/Mac.

Abo-Angebote

Den SPIEGEL lesen oder verschenken und Vorteile sichern!

Jetzt Abo sichern
Ältere SPIEGEL-Ausgaben

Kostenloses Archiv:
Stöbern Sie im kompletten SPIEGEL-Archiv seit
1947 – bis auf die vergangenen zwölf Monate kostenlos für Sie.

Wollen Sie ältere SPIEGEL-Ausgaben bestellen?
Hier erhalten Sie Ausgaben, die älter als drei Jahre sind.

Artikel als PDF
Artikel als PDF ansehen

Banken:
Lochkarte trifft auf App

Video 02:58

Webvideos der Woche Im Zaum gehalten

  • Video "Live-Band auf der Slackline: Konzert für Schwindelfreie" Video 01:10
    Live-Band auf der Slackline: Konzert für Schwindelfreie
  • Video "FAQ-Video zur DSGVO: Was ist das, und was heißt das für mich?" Video 03:20
    FAQ-Video zur DSGVO: Was ist das, und was heißt das für mich?
  • Video "Amateurvideo aus Hawaii: Häuser werden von Lava verschlungen" Video 00:57
    Amateurvideo aus Hawaii: Häuser werden von Lava verschlungen
  • Video "Animation zur DSGVO: Was Sie jetzt wissen müssen" Video 01:22
    Animation zur DSGVO: Was Sie jetzt wissen müssen
  • Video "Eine Minute Vorfreude - CL-Endspiel: Hoffentlich gewinnt Klopp mal ein Finale" Video 01:07
    Eine Minute Vorfreude - CL-Endspiel: "Hoffentlich gewinnt Klopp mal ein Finale"
  • Video "Filmstarts im Video: Der beste Pilot der Galaxie" Video 06:24
    Filmstarts im Video: Der beste Pilot der Galaxie
  • Video "NBA-Spieler für Falschparken getasert: Bucks-Spieler? Ich kenne Sie nicht!" Video 01:18
    NBA-Spieler für Falschparken getasert: "Bucks-Spieler? Ich kenne Sie nicht!"
  • Video "Hydrofoil-Surfing: Auftrieb mit Tragfläche" Video 02:23
    Hydrofoil-Surfing: Auftrieb mit Tragfläche
  • Video "Abtreibungs-Referendum in Irland: Das sind die Pro- und Contra-Argumente der Iren" Video 02:27
    Abtreibungs-Referendum in Irland: Das sind die Pro- und Contra-Argumente der Iren
  • Video "Riskanter Einsatz: TV-Reporterin stoppt Rennpferd vor laufender Kamera" Video 01:00
    Riskanter Einsatz: TV-Reporterin stoppt Rennpferd vor laufender Kamera
  • Video "Saddam Husseins Luxusjacht: Vom Diktatorenspielzeug zum Seemannshotel" Video 01:50
    Saddam Husseins Luxusjacht: Vom Diktatorenspielzeug zum Seemannshotel
  • Video "Haarschnitt für Nervenstarke: Die ultrascharfe Was passiert dann-Maschine" Video 00:56
    Haarschnitt für Nervenstarke: Die ultrascharfe "Was passiert dann"-Maschine
  • Video "Ehemalige IS-Hochburg: Die Leichenräumer von Mossul" Video 03:53
    Ehemalige IS-Hochburg: Die Leichenräumer von Mossul
  • Video "Faszinierender Zeitraffer: Tornado mit Touchdown" Video 00:52
    Faszinierender Zeitraffer: Tornado mit Touchdown
  • Video "Unvergleichlich: Luchse kämpfen - mit ihren Stimmen" Video 01:11
    Unvergleichlich: Luchse kämpfen - mit ihren Stimmen
  • Video "Webvideos der Woche: Im Zaum gehalten" Video 02:58
    Webvideos der Woche: Im Zaum gehalten