Der BigBrotherAward in der Kategorie Finanzen geht an die finleap connect GmbH,
vertreten durch die Geschäftsführerin Nicola Breyer und den Geschäftsführer Marco Jostes, für den andauernden Versand von Kontowechsel-Briefen an falsche Empfänger.
Im Büro von Digitalcourage sind in den letzten Monaten etliche von Briefen voller privater Informationen angekommen. Sogar mit eingescannter Unterschrift der Betroffenen. Schreiben, in denen die Anschrift, die Kontodaten und andere sensible Daten mitgeteilt werden – darunter regelmäßige Abbuchungen vom Konto –, um eine Einzugsermächtigung zu ändern. Von Menschen, die in der Mitgliederdatenbank von Digitalcourage komplett unbekannt sind.
Was ist da los, wie kann das passieren?
Um das zu verstehen, müssen wir etwas ausholen:
Mit der Einführung der „Payment Services Directive“ der EU in der Version zwei (PSD2) wurde die Möglichkeit geschaffen, einem Dritten Zugriff auf die eigenen Kontodaten zu gewähren. In der Folge kann man z.B. über Cloud-basierte Anbieter sein Konto managen, also Zahlungseingänge prüfen, Überweisungen tätigen etc. – lauter Sachen, die sich auch ohne Cloud mit einer guten Homebanking-Software auf dem eigenen PC erledigen lassen.
Wozu dann der Weg über Dritte?
Zu Beginn des Online-Shopping-Booms gab es nur wenige Möglichkeiten, Käufe im Internet so zu bezahlen, dass der Händler auch sicher sein konnte, das Geld wirklich zeitnah auf seinem Konto zu sehen. Das rief den Anbieter „Sofortüberweisung“ auf den Plan. Der Kunde hat diesem Anbieter die Zugangsdaten für sein Online-Banking anvertraut – „Sofortüberweisung“ hat dann die Zahlung ausgelöst und die erfolgreiche Transaktion bestätigt. So konnte der Händler sicher sein, das Geld auch zu bekommen.
Die Firma „Sofortüberweisung“ gehört übrigens mittlerweile zu Klarna, unserem Preisträger aus dem letzten Jahr.
Weil dieses Verfahren nicht mit den Nutzungsbedingungen der meisten Banken vereinbar war, aber doch ein unbestreitbarer Bedarf an solchen Lösungen bestand, hat die EU mit der PSD2 eine regulierte Möglichkeit für Kundinnen und Kunden geschaffen, Dritten Zugriff auf ihre Konten zu gewähren. Dazu fragt der Drittanbieter per Online-Banking um Erlaubnis, und der Kunde muss dann den Zugriff bestätigen.
Eine der ersten „kreativen“ Ideen, was sich mit so einer Schnittstelle noch alles anfangen ließe, kam von der Schufa. Ihr Vorschlag: Man könnte der Schufa einfach per PSD2-Verfahren Zugriff auf seine Kontoauszüge geben, um damit seine Kreditwürdigkeit zu bestätigen. Eine tolle Idee! Die Kunden hätten also vor der Schufa die Hosen herunterlassen sollen, um einen positiven Schufa-Wert zu bekommen. Ganz freiwillig, selbstverständlich, wenn man überlegt, dass man nicht mal einen Mobilfunkvertrag ohne Schufa-Auskunft bekommt, geschweige denn eine Wohnung mieten kann.
Allerdings machte die Schufa schneller einen Rückzieher, als sie einen BigBrotherAward verliehen bekommen konnte.
Etwas älter als die PSD2-Richtlinie ist die gesetzliche Verpflichtung von Banken, beim Kontowechsel zu helfen. Wenn man also sein Girokonto kündigt und zu einer anderen Bank wechselt, ist die Vorgänger-Bank verpflichtet, dabei zu helfen, z.B. die Einzugsermächtigungen umzustellen. Da so was für Banken eine eher lästige Angelegenheit ist (der Kunde hat sich ja gerade verabschiedet), bietet es sich an, dieses Thema outzusourcen, also jemand anders damit zu beauftragen.
In Berlin, in bester Lage am Ku’Damm, residiert Finleap, ein sogenannter Fintech-Incubator. Also eine Art Dachgesellschaft, die wiederum einzelne Start-Ups als Tochtergesellschaften gründet, welche spezielle Dienstleistungen in der Finanzbranche erbringen sollen. Eine dieser Tochterfirmen ist die „finleap connect“ – unser Preisträger – die sich auf Anwendungen rund um besagte PSD2-Schnittstelle spezialisiert hat und als Dienstleistung einen Kontowechsel-Service anbietet.
Wenn diese Firma von der abgehenden Bank mit dem Kontowechsel-Service beauftragt wird, ruft finleap über die besagte PSD2-Schnittstelle die alten Kontoumsätze ab und filtert aus diesen die regelmäßigen Abbuchungen heraus.
Aus den Informationen über regelmäßige Abbuchungen versucht finleap dann automatisiert den entsprechenden Lastschriftempfänger herauszufinden und ihm per Brief die neue Bankverbindung mitzuteilen. Angenommen, Finleap findet in den Kontodaten regelmäßig Abbuchen von einem großen Online-Versand, dann wird versucht, diesen als Lastschriftempfänger zuzuordnen und bestenfalls sogar noch eine Kundennummer o.ä. aus dem Verwendungsweck zu extrahieren.
Was kann da schon schief gehen?
Um den Kontowechsel-Service zu nutzen, müssen noch ein paar weitere Angaben gemacht werden, denn die Lastschrift-Empfänger (das sind Firmen wie Amazon, Stromanbieter oder Vereine wie Digitalcourage, die ihre Mitgliedsbeiträge einziehen), benötigen natürlich genaue Informationen, welche Kundendaten nun geändert werden sollen. Also eine Kundennummer o.ä. – plus noch einige Daten, um glaubhaft zu machen, dass es wirklich der Kunde ist, der diese Änderung wünscht. Zum Beispiel das Geburtsdatum und natürlich die Anschrift. Mit all diesen Informationen ausgestattet, setzt finleap ein Schreiben auf – „Bitte ändern Sie meine Daten“ – und schickt es dem Lastschrift-Empfänger per Post zu. Das sieht dann so aus, als ob der wechselwillige Kunde dies selbst und eigenhändig getan hätte. Sogar eine eingescannte Unterschrift kann unter dem Brief sein!
Eigentlich ein praktischer Service. Wenn da nicht die quer schlagende IT bei finleap connect wäre, die Briefe mit persönlichen Daten (nämlich Name, Anschrift, Geburtsdatum Kontodaten und sogar noch Zeilen aus dem Kontoauszug) wild in der Gegend rumschickt, also irgendwelche Kundendaten an irgendwelche Empfänger. Wie in unserem eingangs erwähnten Beispiel an Digitalcourage.
Da der Versand an falsche Empfänger völlig zufällig zu sein scheint, ist davon auszugehen, dass es sich um ein größeres Problem handelt, dass also jeden Monat sehr viele Daten in falsche Hände geraten. Digitalcourage hat den Anbieter mehrmals auf dieses Problem hingewiesen. Finleap bat daraufhin um die Daten der Betroffenen – eine Bitte, der Digitalcourage aus nachvollziehbaren Gründen nicht entsprechen wollte. Aber auch ohne diese Daten sollte finleap in der Lage sein, solche Irrläufer zu stoppen. Weit gefehlt!
Weiterhin trudeln irregeleitete Kontowechsel-Briefe ein, aus denen hervorgeht, welche regelmäßigen Abbuchungen die Betroffenen haben. Und die mit vielerlei privaten Daten gespickt sind.
Ein Softwareproblem? Ein rachsüchtiger Mitarbeiter? Absicht? Wir wissen es nicht.
Für Betroffene kann das ganz schön peinlich sein, schließlich kann so ein Stück vom Kontoauszug auch den Kernbereich der privaten Lebensgestaltung berühren. Stichwort „Erotik-Versand“, oder vielleicht auch private Arztrechnungen.
Solche detaillierten Informationen aus den Irrläufer-Briefen sind Gold wert in der Hand von Kriminellen. Mit fremden Identitäten lässt sich viel Schaden anrichten für die Betroffenen. Warenbestellbetrug, gezielte Phishing-Attacken und ähnliches. Genug Details stehen in den versendeten Briefen. Für die Betroffenen auf jeden Fall sehr ärgerlich.
Vielleicht hilft ja unser BigBrotherAward dabei, diesen Murks ein für allemal zu beenden. Herzlichen Glückwunsch, liebe finleap connect GmbH!
Laudator.in
https://www.it-finanzmagazin.de/klarna-erringt-bgh-urteil-gegen-banken-agb-wettbewerbswidrig-106234/
„Sofortüberweisung“ gehört mittlerweile Klarna, unserem Preisträger aus dem letzten Jahr
https://www.bafin.de/DE/Verbraucher/Bank/Kontenwechsel/kontenwechsel_artikel.html