Finanz-Start-up Datendieb erpresste Kreditech

Das Hamburger Unternehmen Kreditech wirbt damit, automatisiert und minutenschnell über die Kreditwürdigkeit eines Antragstellers zu entscheiden. Jetzt hat es ein Datenleck gegeben, die Firma wurde erpresst.
Screenshot der Webseite von Kreditech: Herber Schlag für die junge Firma

Screenshot der Webseite von Kreditech: Herber Schlag für die junge Firma

Eingescannte Personalausweise, Kontoauszüge, Telefonnummern - ein Datenschatz aus besonders sensiblen Informationen wurde ausgerechnet einem Unternehmen gestohlen, das mit Daten sein Geld verdient. Es sind die Dokumente Tausender potenzieller Kunden, die dem Hamburger Start-up zur Prüfung der Kreditwürdigkeit ihre persönlichen Daten überließen.

Die Hamburger vergeben selbst keine Kredite, sondern nur über Tochtergesellschaften im jeweiligen Land. Die Auswertung der Daten läuft allerdings über die Firma. Der Angreifer glaubte wohl, das Team um die Gründer Sebastian Diemer und Alexander Graubner-Müller mit der Veröffentlichung seiner Beute erpressen zu können. Doch die Geschäftsführung ging anscheinend nicht darauf ein, denn die Daten geistern, garniert mit hämischen Kommentaren, nun bereits seit mehreren Wochen durchs Internet. Bis heute sind Teile davon online zu finden.

Das Hamburger Landeskriminalamt ermittelt in dem Fall wegen Erpressung gegen unbekannt. Das teilte die Staatsanwaltschaft auf Anfrage des manager magazins mit. Als Geschädigter wird dort Oliver Prill geführt, der COO von Kreditech.

Zum konkreten Tathergang sind bislang kaum Details bekannt. Laut Polizei verschaffte sich der Dieb vom internen Firmennetz aus Zugriff auf einen Zwischenspeicher für Antragsdaten, der die sensiblen Kundendaten enthielt. Ein Hackerangriff von außen könne demnach ausgeschlossen werden. Beobachter munkeln deshalb, dass es die Tat eines ehemaligen Mitarbeiters gewesen sein könnte, der Zugang zu den Firmenrechnern hatte.

Hochpreisige Kurzzeitdarlehen - eines der erfolgreichsten Fintechs in Deutschland

Ende März hatte zunächst das Portal "Gründerszene " über das zuvor geheim gehaltene Leck berichtet, was in der Szene für einigen Wirbel sorgte. Kreditech und seine hochpreisigen Kurzzeitdarlehen sind umstritten, ehemalige Mitarbeiter beklagen einen rauen Führungsstil.

Dennoch gilt das Unternehmen, das mittlerweile mehr als 220 Mitarbeiter zählt und erst im Januar 200 Millionen Dollar vom US-Investor Victory-Park einwerben konnte, als eines des erfolgreichsten Finanz-Start-ups (Fintech) in Deutschland.

Unklar ist bislang, wann genau die Daten erbeutet wurden und wann die Geschäftsführung davon erfuhr bzw. darauf reagierte. Kreditech teilt auf Anfrage mit, "im Sommer 2014 von dem einzelnen internen Sicherheitsereignis" erfahren und "sofort die Polizei informiert" zu haben. Nach Informationen des manager magazins wusste zumindest die Hamburger Polizei jedoch erst ab dem 11. Dezember 2014 von dem Vorfall, die Akte der Staatsanwaltschaft datiert auf den 18. Dezember. Eine in den Daten enthaltene Protokolldatei (Logfile) soll auf den 19. August als wahrscheinlichen Tattag deuten.

Herber Schlag für die noch junge Firma

Für die junge Firma ist der Vorfall ein herber Schlag - schließlich ist die Auswertung sensibler Daten der Kern ihres Geschäftsmodells. Kreditech wirbt damit, automatisiert und innerhalb von rund 15 Minuten über die Bonität eines Antragstellers zu entscheiden. Dazu werten Algorithmen bis zu 20.000 Einzelinformationen aus, zum Beispiel das Kaufverhalten bei Amazon oder die Struktur des Facebook-Freundeskreises. Selbst die Zeit, die ein Kunde zum Ausfüllen des Antragsformulars benötigt, fließt in die Berechnung mit ein. Zusätzlich sind bei der Beantragung zum Teil gescannte Ausweis- oder Kontoauszugkopien als Identitätsnachweis nötig, die nun in falsche Hände geraten sind.

Angesichts dieses Datenhungers ist Kreditech auf das Vertrauen seiner Kunden angewiesen. Wer will schon, dass der eigene Führerschein zusammen mit einem gewünschten Darlehensbetrag plus Zinssatz im Internet kursiert?

Nach dem Vorfall, betont das Unternehmen, hätten externe Experten die Sicherheit der Computersysteme bestätigt. Außerdem habe man "betroffene Geschäftspartner umgehend informiert".

Entscheidung über Bonität binnen 15 Minuten

Daran gibt es Zweifel, zumal unklar ist, warum die Firma von Geschäftspartnern spricht, wenn es doch lediglich um Antragsteller geht, die zum Teil gar keinen Kredit erhalten haben. Ein "Gründerszene"-Redakteur hatte zudem mehrere Betroffene angeschrieben, doch kein einziger davon mochte bestätigen, von Kreditech über das Datenleck informiert worden zu sein. Zwei Australierinnen schrieben ihm vielmehr, sie hätten nicht gewusst, dass ihre Daten im Internet kursieren.

Ein Sprecher der Hamburger Polizei, die ebenfalls angab, dass die Kunden über das Datenleck informiert worden seien, sagt auf Nachfrage, dass diese Information vom Unternehmen selbst stamme, die Polizei habe dies nicht überprüft. Kreditech wollte sich aus Rücksicht auf die laufenden Ermittlungen nicht weiter zu seiner Informationspraxis äußern.

Datenleck kurz vor dritter Finanzierungsrunde

Das Start-up hat derzeit besonders gute Gründe, Zweifel an der Sicherheit der eigenen Software zu zerstreuen oder sie bestenfalls gar nicht erst aufkommen zu lassen. Die Hamburger arbeiten bereits seit Anfang des Jahres an der Vorbereitung der dritten Finanzierungsrunde, die noch in diesem Quartal bis zu 150 Millionen Dollar frisches Kapital in die Kassen spülen soll. Dass das Datenleck gerade jetzt bekannt wurde, ist für Kreditech also besonders unangenehm.

Immerhin könnte der direkte finanzielle Schaden durch den Diebstahl zumindest abgefedert werden: Laut einem Bericht der "Süddeutschen Zeitung" hatte das Start-up beim US-Versicherer AIG eine der seltenen Policen gegen "Cyber-Risiken" abgeschlossen und kann nun womöglich mit einem zweistelligen Millionenbetrag rechnen.

Lesen Sie mehr über die Firma und den zweifelhaften Boom der Kredit-Start-ups in der Geschichte "Kredithai.com" im aktuellen manager magazin (Nr. 4/2015).

Die Wiedergabe wurde unterbrochen.