Scalable Capital hat die eigenen Kunden gestern darüber informiert, dass es zu einer massiven Datenpanne gekommen ist. Demnach gab es einen unberechtigten Zugriff auf Kundendaten. FinanceFWD und Finanz-Szene hatten als erste über den Vorfall berichtet.

Um einen Hackerangriff hat es sich dabei aber nicht gehandelt. In der Nachricht an die Kunden, die auch in sozialen Medien kursiert, heißt es: "Der Zugriff auf das betroffene Archiv erfolgte unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar ist."

Das weißt daraufhin, dass es sich möglicherweise um einen "Insider-Job" durch einen eigenen Mitarbeiter gehandelt haben könnte. Eine "von außen ausnutzbare technischen Sicherheitslücke" habe es nicht gegeben.

Massiver Abfluss von Daten

Kundengelder sollen daher auch zu keinem Zeitpunkt gefährdet gewesen sein, betont Scalable Capital. Insgesamt erbeuteten die Datenräuber Personalien und Kontaktdaten der Kunden, Ausweisdaten, Konto- und Wertpapierdepot-Daten sowie steuerliche Informationen wie die Steueridentifikationsnummer aus dem Dokumentenarchiv des Roboadvisors.

Scalable warnt die Kunden vor einem möglichen Missbrauch dieser Daten: "Generell könnte mit Hilfe der Daten versucht werden, Sie zu bestimmten Verhaltensweisen zu bewegen, insbesondere zur Preisgabe von weiteren vertraulichen Informationen oder Zahlungen zu veranlassen. Weiterhin könnte der Versuch unternommen werden, Dritte mit Ihrer Identität zu täuschen, um sich Vorteile zu verschaffen (Identitätsmissbrauch)", heißt es in der Kundeninformation.

Insgesamt sollen rund 20.000 Kunden betroffen sein – darunter allerdings keine, die über die Vertriebskooperation mit der ING Diba zu Scalable fanden, und auch keine von Whitelabel-Partnern wie der Targobank, wie die Gründer gegenüber Finanz-Szene erklärten.

Ermittlungsverfahren eingeleitet

Scalable hat nach eigenen Angaben "alle erforderlichen Maßnahmen ergriffen, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen". Zudem wurden die zuständigen Aufsichtsbehörden informiert.

Zur Analyse des Sachverhalts hat das Fintech auch externe Experten für Informations- und IT-Sicherheit hinzugezogen. Ein Ermittlungsverfahren wurde eingeleitet.