Ein besonders schwerer Fall von Datenmissbrauch beschäftigt gerade die kanadische Genossenschaftsbank Desjardins sowie die heimischen Behörden. Ein Mitarbeiter des Geldinstituts, der mittlerweile entlassen wurde, hat personenbezogene Daten von rund 2,9 Millionen Kunden gestohlen. Rund 40 % aller Desjardins-Kunden sind von dem Vorfall betroffen.

Die Bank hatte bereits im Dezember 2018 eine verdächtige Transaktion registriert und der Polizei von Laval (Quebec) gemeldet. Seitdem hat man mit den Behörden eng zusammengearbeitet, um den Zwischenfall zu untersuchen und den Drahtzieher zu finden. Das tatsächliche Ausmaß des Unglücks wurde erst kürzlich bekannt, die Polizei informierte Desjardins umgehend am 14. Juni 2019.

Insgesamt wurden Daten von über 2,7 Millionen Privatkunden und 173.000 Geschäftskunden durch einen IT-Mitarbeiter entwendet und außerhalb der Organisation weitergegeben. Bei dem Datenvorfall handelt es sich also nicht um einen Cyberangriff durch Hacker, sondern um Datenmissbrauch aus den eigenen Reihen. Besonders bitter für das Geldinstitut, dessen Image gewiss noch für viele Jahre unter der Angelegenheit leiden wird.

Dem IT-Mitarbeiter ist es gelungen, Sicherheitsvorkehrungen zu umgehen, die verhindern sollten, dass eine einzelne Person auf alle Kunden-Datensätze zugreifen kann. Fest steht, dass das Berechtigungsmanagement von Desjardins nicht ausreichend ausgereift war, um den Angriff zu verhindern. Der Mitarbeiter wurde umgehend entlassen und von der Polizei festgenommen.

Welche Daten sind betroffen?

Von Privatpersonen wurden personenbezogene Daten entwendet. Dazu zählen Vor- und Nachnamen, Geburtstdatum, Sozialversicherungsnummer, Adresse, Telefonnummer, E-Mail-Adresse und Details zu Bankgewohnheiten und Desjardins-Produkten.

Die Datensätze der Geschäftskunden enthielten den Firmennamen, die Geschäftsadresse, die Geschäftstelefonnummer, den Namen des Eigentümers und die Namen der Benutzer des AccèsD Affaires-Kontos.

Passwörter, Sicherheitsfragen und Pins der Kunden sind vom Diebstahl nicht betroffen. Die Bank hat den Vorfall sofort öffentlich gemacht und betroffene Personen umgehend informiert.

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

[GRATIS WHITEPAPER] Best Practices im Berechtigungsmanagement in Microsoft® Umgebungen

Wie man mit Berechtigungen in Microsoft® Umgebungen am besten umgeht, lesen Sie in unserem Whitepaper.

Zum Download

Konsequenzen für Desjardins

Ganz abgesehen vom enormen Image-Schaden und dem Verlust der Glaubwürdigkeit gegenüber seinen Kunden, muss Desjardins nun mit erheblichen finanziellen Konsequenzen rechnen. In einer Sammelklage, die beim Obersten Gerichtshof von Quebec eingereicht wurde, wird das Geldinstitut beschuldigt fahrlässig gehandelt zu haben und der Verpflichtung, die Kundendaten ausreichend vor Missbrauch zu schützen, nicht nachgekommen zu sein. Für Betroffene wird ein Schadenersatz von je 300 US Dollar gefordert.

Zusätzlich bietet Desjardins allen betroffenen Kunden einen 5-Jahres-Kreditüberwachungsplan an. Der Service umfasst den täglichen Zugriff auf ihre Kreditauskunft, Benachrichtigungen über wichtige Änderungen und die Versicherung gegen Identitätsdiebstahl.

Seit Bekanntwerden des Angriffs arbeitet die Bank mit Polizei, Behörden und IT Security Experten daran, den Schaden möglichst gering zu halten und in Zukunft mehr Sicherheit zu gewährleisten.

Finanzaufsichtsbehörde warnt vor Betrügern

Nach dem Datenvorfall warnt die Finanzaufsichtsbehörde von Quebec, dass Desjardins-Kunden Ziel von betrügerischen E-Mails, Textnachrichten und Telefonanrufen werden könnten. Betrüger können Betroffene unter dem Vorwand kontaktieren, Sicherheitsmaßnahmen und Aktualisierungen im Zusammenhang mit dem Vorfall vornehmen zu wollen.

Korrekte Zugriffsberechtigungen können schützen

Die Angelegenheit zeigt, welcher enorme Schaden durch Mitarbeiter im IT Security Bereich verursacht werden kann. Während Firmen Angriffe durch Hacker besonders fürchten und in diesem Bereich Sicherheitsvorkehrungen treffen, vernachlässigen sie gleichzeitig die Gefahr von innen. Klar ist, dass Mitarbeiter nur jene Daten entwenden können, auf die sie tatsächlich zugreifen können. Einen ausreichenden Schutz kann nur ein ausgereiftes Zugriffs- und Berechtigungsmanagament bieten.

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden

Melden Sie sich auch zu unserem Webinar an!

“Top 5 Gefahren im Access Management” –
mit Helmut Semmelmayer, tenfold Software GmbH

Jetzt kostenlos anmelden