Der Datendiebstahl bei Scalable Capital macht hellhörig. Offenbar hat ein eigener Mitarbeiter sensible Daten, darunter Personalausweis-Daten und Steuernummern, von über 20.000 Kunden ausgespäht. Häme hört man in der Branche allerdings kaum - auch wenn sich die Frage stellt, wie das möglich war, auch wenn die Daten gut geschützt waren.

Was die Datenpanne bei Scalable Capital für Kunden und Partner bedeutet

Scalable Capital äußert sich zur Datenpanne

Scalable Capital kommen Kundendaten abhanden 

FinanzBusiness hat beim Konkurrenten Growney nachgefragt - wie werden dort Daten geschützt? Und wer hat darauf Zugriff?

Klar ist: Es fallen eine Menge hochsensibler Daten an. "Der Gesetzgeber verlangt zum Schutz vor Geldwäsche von Finanzdienstleistern ausdrücklich die Erfassung personenbezogener Daten, etwa die Steuer-ID oder die Ausweisnummern – daher werden diese auf den geschützten Servern unserer Robo Advice-Plattform abgelegt", sagt Thimm Blickensdorf Bereichsleiter Kundengeschäft bei Growney auf Nachfrage von FinanzBusiness.

Daten werden dort ausschließlich verschlüsselt abgelegt oder übermittelt. Dafür nutzt  der Neobroker entsprechende API-Schnittstellen, etwa wenn Daten mit der depotführenden Sutor Bank ausgetauscht werden.

"Als etabliertes FinTech ist uns dabei wichtig, dass diese Prozesse für Datensicherheit unabhängig vom Arbeitsort (Büro, Home-Office, mobiles Arbeiten) gewährleistet sind. Dies können wir sicherstellen, selbst jede interne Nachricht ist bei uns verschlüsselt", erklärt Blickensdorf.

Zugangsbeschränkung und Monitoring

Alle Zugriffe auf personenbezogene Kundendaten werden durch Logfiles überwacht. Darüber hinaus gibt es automatische Sofortmeldungen an den System-Administrator bei ungewöhnlichen Aktivitäten, etwa dem Download von Kundendaten. "Der Download von Kundendaten wäre eine solche Aktivität", so Blickensdorf.

"Was über den Fall bei Scalable bekannt ist, zeigt ja zumindest, dass es dort ein funktionierendes Monitoring gibt – sonst hätte dieser offenbar gezielte Datendiebstahl gar nicht auffallen können."

Zugriff auf die Daten bekommt bei Growney nur, wer diesen für seine Arbeit benötigt. "Das ist tatsächlich nur ein ganz kleiner Kreis", so Blickensdorf. Unabhängig davon seien aber alle Mitarbeiter zur Vertraulichkeit verpflichtet, insbesondere auch im Umgang mit personenbezogenen Daten von Kunden.

Dass bei Scalable auch Daten von Kunden abhanden kamen, die den Onboarding-Prozess noch nicht abgeschlossen hatten, ist wohl weniger verwunderlich, als man zunächst meinen könnte. 

"Rechtlich gesehen gibt es für bestimmte Prozesse und Dokumente auch gesetzliche/vertragliche Aufbewahrungsfristen. So muss ein Beratungsprozess für Kapitalanlagen mindestens für fünf Jahre vorgehalten und gesichert werden", sagt Blickensdorf.

Validierung und Verschlüsselung

Neben den strikten Zugangsbeschränkung und einem dauerhaften Monitoring setzt man bei Growney zudem auf externe Validierung und sichere Verschlüsselung der Daten.

"Die Kundendaten sind in einem zertifizierten Rechenzentrum ausschließlich vollverschlüsselt gesichert. Für solche Rechenzentren gelten strenge Regeln", sagt Thimm Blickensdorf.

Growney etwa arbeitet mit einem Rechenzentrum zusammen, dass die aktuellen Anforderungen des Bundesamt für die Sicherheit in der Informationstechnik (BIS) erfüllt und so zertifiziert ist, dass die Anforderungen des Kriterienkatalogs C5 (Cloud Computing Compliance Controls Catalogue) sowie verschiedene ISO-Normen (27001, 27017 und 27018) erfüllt sind.

Die Iso-Norm 27001 beschreibt etwa die Implementierung eines gesamten Managementsystems für Datensicherheit. "Beispielsweise werden organisatorische Regeln und konkrete Arbeitsschritte erstellt, um bestehende Sicherheitslücken zu schließen und potenzielle Risiken früh zu erkennen und systematisch zu verringern", so Blickensdorf.