Datenlecks sind keine schöne Sache, insbesondere wenn eine Bank betroffen ist. Doch zumindest eröffnen sie die Möglichkeit, Schwächen in der eigenen Netzwerkinfrastruktur zu erkennen und auszumerzen. Es gibt allerdings Pannen, gegen die auch die kompetenteste IT-Abteilung machtlos ist.

Eine solche ist der Commonwealth Bank (CBA), dem größten Bankhaus in Australien, passiert. Zwölf Millionen Kunden und 20 Millionen Konten sind betroffen, wurden aber seit zwei Jahren nicht darüber informiert. Wo ihre Daten sind, ist allerdings nicht klar. Sie könnten wortwörtlich von einem Laster gefallen sein, berichtet Buzzfeed.

Magnetbänder sollten zerstört werden

Es geht um die Transaktionsgeschichte von Kunden zwischen 2004 und 2014, die potenziell sensible Informationen enthalten könnte – wenn auch keine PINs oder Passwörter. Gespeichert waren die Daten unverschlüsselt auf Magnetbändern. Im Jahr 2016 erhielt das Unternehmen Fuji Xerox als Vertragsnehmer der Bank den Auftrag, ein Rechenzentrum abzubauen, in dem besagte Daten als Backup gelagert waren.

Vorgesehen war, die Magnetbänder zerstören zu lassen, jedoch konnte kein Zertifikat zur Bestätigung dieses Vorgangs gefunden werden. Schließlich leitete die Bank eine interne Untersuchung ein und informierte das Büro des australischen Datenschutzbeauftragten (OAIC) und die Austrialien Prudential Regulation Authority (APRA) über das Problem, elf Tage nachdem man das Fehlen des Zertifikats festgestellt hatte.

Aufwendige Untersuchung verlief erfolglos

Die Commonwealth Bank hat laut Buzzfeed "erhebliche Anstrengungen" unternommen, um herauszufinden, was mit den Magnetbändern geschehen ist. Rund 150 Personen waren über das Leck informiert, man holte ein externes Forensikteam ins Boot. Doch auch dieses konnten nicht herausfinden, wo die Bänder waren.

Letztlich musste man sich damit zufriedengeben, verschiedene Szenarien auszuarbeiten. Als wahrscheinlichste Annahme gilt, dass die Bänder zerstört wurden, aber kein Zertifikat ausgestellt wurde. Man rekonstruierte zudem die Fahrtroute des Lastwagens, der die Bänder transportierte. Als Möglichkeit zieht man auch in Betracht, dass die Bänder schlecht gesichert waren und vom Laster gefallen sind. Für keine der Theorien gibt es stichhaltige Beweise.

Bank entschied sich gegen Kundeninformation

Mitte Oktober 2016 lieferte die Bank nach Abschluss der forensischen Untersuchung einen zweiten Bericht an die Behörden. Die betroffenen Kunden informierte man allerdings nicht. Eine Entscheidung, die mittlerweile für einige Kritik gesorgt hat.

Bei der CBA sieht man sich dabei aber im Recht. Denn seit dem Vorfall habe es keinerlei Hinweise darauf gegeben, dass Kundenkonten kompromittiert worden wären. Gegenüber ABC News legte der CBA-Retailchef Angus Sullivan nach und meinte, dass es riskant wäre, "solche Vorfälle weit bekannt zu machen". Die Bank wolle allerdings allen Empfehlungen der APRA folgen, die CBA nach einer eigenen Evaluation mangelnde Aufsicht über Zuständigkeiten bei nichtfinanziellen Risiken vorgeworfen hat.

In Zukunft könnte ein Ausschweigen über solche Vorfälle allerdings unmöglich sein. Seit 2017 sieht das australische Datenschutzgesetz vor, dass Firmen ab drei Millionen australischen Dollar Jahresumsatz bei Datenlecks nicht nur den Datenschutzbeauftragen, sondern auch eventuell betroffene Kunden informieren müssen – andernfalls drohen hohe Geldstrafen. (gpi, 3.5.2018)