Eine schwere Sicherheitslücke bei Deutschlands größter Direktbank offenbarte ein Test der Verbraucherzentrale NRW: Wer Namen und Kontonummer eines Kunden kennt, kann auf einfachste Weise dessen ING-DiBa-Konto still legen.
Im September wandelte die Verbraucherzentrale NRW auf verbotenen Pfaden. Ihre Tester nämlich gedachten zu überprüfen, was sie so nicht glauben mochten: Wie einfach es ist, eines von bundesweit rund sieben Millionen ING-DiBa-Konten still zu legen. Beschafft hatten die Verbraucherschützer sich dazu das Einverständnis eines Kunden, der zuvor sein Tagesgeld-Guthaben auf wenige Euro reduziert hatte. Ausgerüstet allein mit dessen Namen sowie Kontonummer wurde der Kunde an der Hotline (0180-2 34 22 24) als „leider verstorben“ gemeldet.
Der Anruf kostete die Verbraucherzentrale NRW gerade mal sechs Cent; der größten deutschen Direktbank dürfte er dagegen das Vertrauen kosten, verantwortungsvoll mit den Einlagen umzugehen. Denn binnen weniger Tage waren Tagesgeld-Konto und Wertpapier-Depot für den Kunden tot. Von der Hotline ging die mündliche Meldung an die Nachlass-Abteilung, die daraufhin das Ende der Zugriffsmöglichkeit vollzog.
Das alles passierte völlig ohne Nachweise: Weder wurde die PIN fürs Telefon-Banking verlangt, noch eine Sterbeurkunde oder ein Erbschein gefordert, geschweige denn die Identität des Anrufers überprüft. Die Angabe eines Phantasie-Namens und Phantasie-Adresse reichte aus.
Besonders schwer wiegt: Die Kontosperrung auf Zuruf ist kein Einzelfall. Die Verbaucherzentrale nämlich kennt einen weiteren ING-DiBa-Kunden, bei dem dies funktionierte. Was ein ING-DiBa-Pressesprecher „normale Routine“ nennt, ist für Markus Feck „eine üble Sicherheits-Panne“. Der Finanzjurist der Verbraucherzentrale NRW sieht bei der ING-DiBa eine „schwere Verletzung ihrer Vertragspflichten“, durch die sich die leichtfertige Bank unter Umständen schadenersatzpflichtig mache.
Die Folge: Für alle Kosten, die durch die Sperrung entstehen, muss die Bank gerade stehen. Das reicht von Straf-Zinsen für eine Überziehung des Kontos, die nicht ausgeglichen werden kann, bis hin zu Verlusten, weil geplante Aktienverkäufe nicht durchgeführt werden können. Und das kann – etwa bei einem Kurssturz der Wertpapiere – teuer werden.
In dem von der Verbraucherzentrale NRW provozierten Fall beispielsweise dauerte es mehr als vier Wochen, bis der tot gemeldete Kunde sich wieder erfolgreich beim Online-Banking einloggen konnte. Immer wieder wurde er zuvor von Mitarbeitern an der Hotline vertröstet: Die Freischaltung eines im Nachlass befindlichen Kontos sei „schließlich die Königsdisziplin“.
Solcher Service nach ING-DiBa-Art dürfte einzigartig in Deutschland sein. Der Versuch der Verbraucherzentrale NRW, ähnliche Sicherheitslücken bei einem weiteren Dutzend Geldinstituten aufzuspüren, scheiterte jedenfalls schon im Ansatz. Ob große Filial- oder kleine Direkt-Bank – stets forderten die Mitarbeiter qualifizierte Nachweise sowohl über den Tod ihres Kunden als auch über die Identität des Meldenden. (Pressemitteilung ING-DiBa)
Pingback: Stiftung Warentest sieht Datenmissbrauch bei Postbank - Seite 2 - Augsburger Allgemeine Community