Kriminelle bieten Daten von Scalable-Kunden an

Exklusiv: Nach dem Datenklau bei Scalable Capital kursieren nun sensible Kundendaten im Netz. Kriminelle versuchen, Druck auf Unternehmen und Kunden auszuüben.

Nach dem Datenangriff auf den größten deutschen Robo-Advisor Sca­lable Capital verdichten sich Hinweise, dass Diebe die erbeuteten Kundenprofile für kriminelle Geschäfte nutzen. So zirkulieren Kundendaten im Netz, auch Finance Forward und Capital wurden Datensätze zugeschickt.

Mitte Oktober hatte Scalable Capital öffentlich gemacht, dass 30.000 Kunden – rund ein Drittel davon inaktiv – von einem Datenklau betroffen seien, und Anzeige erstattet. Erbeutet wurden demnach Ausweiskopien, Gesichtsfotos, Kontaktdaten, Kontonummern und Steuer-Identifikationsnummern – Daten, die für Identitätsdiebstähle genutzt werden können, aber auch, um weitere Daten und Passwörter zu stehlen oder Waren zu bestellen. Gegenüber Finance Forward berichtet bereits ein Kunde davon, dass mithilfe der Daten versucht worden sei, ihn zu erpressen.

Nachdem Scalable Capital den unerlaubten Zugriff Mitte Oktober entdeckt hatte, informierte das Startup seine Kunden nach eigener Darstellung umgehend. Der Zugriff sei „unter Zuhilfenahme von unternehmensinternem Wissen“ erfolgt, das „nur über entsprechend gesicherte Zugänge verfügbar“ sei, teilte das Unternehmen mit. Das deutet darauf hin, dass ein Mitarbeiter verbotenerweise auf die Daten zugegriffen hat. „Es handelt sich um keinen Hack“, betonte Scalable-Gründer Erik Podzuweit.

Angriff von außen – oder „Inside Job“?

Zu Ablauf und Umfang des Angriffs gibt es aber auch abweichende Darstellungen. So behauptete ein selbst erklärter Hacker gegenüber Finance Forward, über eine von außen nutzbare technische Sicherheitslücke an die Daten gelangt zu sein. Um die Glaubwürdigkeit seiner Darstellung zu untermauern, schickte die Person ein Paket sensibler Kundendaten mit. Finance Forward konnte einen Teil davon überprüfen und verifizieren, dass es sich zumindest bei diesem Teil um Daten tatsächlicher Scalable-Kunden handelte.

Dass die Daten aus einem Hackerangriff und nicht einem „Inside Job“ stammen, ist damit jedoch nicht bewiesen – ebensowenig, dass der selbsternannte Hacker einer ist. Ist er aber keiner, hat er auf andere Art und Weise die Daten bekommen und das hieße: Material aus dem Scalable-Datenfiasko kursiert nun offenbar in zwielichtigen Bereichen des Netzes.

Der selbsternannte Hacker will mit dem Gang an die Öffentlichkeit derweil den Druck auf das Fintech erhöhen. Er fordere eine Belohnung von Scalable für die angeblich gefundene Schwachstelle, ein sogenanntes Bug Bounty. Im Netz suche er nach schlecht-geschützten Webanwendungen und fordere eine Entlohnung für die Arbeit. Das Unternehmen habe bislang nicht reagiert.

Auf Anfrage bleibt Scalable bei seiner ursprünglichen Darstellung des Vorfalls. „Der Zugriff erfolgte nach unserem gegenwärtigen Kenntnisstand nicht unter Ausnutzung einer unmittelbar von außen nutzbaren technischen Sicherheitslücke bei Scalable Capital oder unseres IT-Dienstleisters AWS“, heißt es in einer Stellungnahme. „Wir gehen daher weiterhin davon aus, dass der Zugriff auf das betroffene Archiv unter Zuhilfenahme von unternehmensinternem Wissen erfolgte, auf das unberechtigt zugegriffen wurde.“

Eine 10.000-Euro-Forderung

Eine weitere Diskrepanz gibt es nach Darstellung des selbsternannten Hackers beim Umfang der erbeuteten Daten. Die Person spricht von 58.000 betroffenen Kunden, davon rund ein Drittel aus Großbritannien. Sca­lable hingegen betont, es gebe nur rund 30.000 Betroffene. Zudem liege „die Gesamtanzahl der ehemaligen und gegenwärtigen Kunden unseres britischen Geschäfts insgesamt im niedrigen vierstelligen Bereich“, so eine Sprecherin – also deutlich weniger als von dem mutmaßlichen Hacker behauptet. Tatsächlich hat Scalable auf der Insel in den vergangenen Jahren kaum Marketing betrieben; Finanz-Szene berichtete 2019, dass der Robo-Advisor in Großbritannien nur 120.000 Pfund Umsatz gemacht habe.

Was Scalable allerdings zugibt: Mehrere Kunden seien „unter Verwendung der Daten von Dritten“ kontaktiert worden. Gegenüber Finance Forward berichtet ein Kunde, er sei das Opfer einer versuchten Erpressung geworden. Er sei aufgefordert worden, 10.000 Euro zu zahlen, so der Kunde. Der Nachricht sei ein Foto seines Personalausweises beigefügt gewesen. Er habe sich allerdings geweigert zu zahlen und den Fall schließlich der Polizei gemeldet.

Von Scalable Capital heißt es, man arbeite weiterhin „in enger Abstimmung mit den Behörden und externen Beratern an der Aufklärung des Vorfalls“. Es werde empfohlen, nicht auf derartige E-Mails zu antworten, sondern sie dem Unternehmen weiterzuleiten, das die Mails den Ermittlungsbehörden zur Verfügung stellen werde.