Desjardins-Bank: Daten von 2,9 Millionen Kunden gestohlen

Die Bank hatte bereits im Dezember 2018 eine verdächtige Transaktion registriert und der Polizei von Laval (Quebec) gemeldet. Seitdem hat man mit den Behörden eng zusammengearbeitet, um den Zwischenfall zu untersuchen und den Drahtzieher zu finden. Das tatsächliche Ausmaß des Unglücks wurde erst kürzlich bekannt. Die Polizei informierte Desjardins umgehend am 14. Juni 2019.

Insgesamt wurden Daten von über 2,7 Millionen Privatkunden und 173.000 Geschäftskunden durch einen IT-Mitarbeiter entwendet und außerhalb der Organisation weitergegeben. Bei dem Datenvorfall handelt es sich also nicht um einen Cyberangriff durch Hacker, sondern um Datenmissbrauch aus den eigenen Reihen. Besonders bitter für das Geldinstitut, dessen Image gewiss noch für viele Jahre unter der Angelegenheit leiden wird.

Dem IT-Mitarbeiter ist es gelungen, Sicherheitsvorkehrungen zu umgehen, die verhindern sollten, dass eine einzelne Person auf alle Kunden-Datensätze zugreifen kann. Fest steht, dass das Berechtigungsmanagement von Desjardins nicht ausreichend ausgereift war, um den Angriff zu verhindern. Der Mitarbeiter wurde umgehend entlassen und von der Polizei festgenommen.

Von Privatpersonen wurden personenbezogene Daten entwendet. Dazu zählen Vor- und Nachnamen, Geburtsdatum, Sozialversicherungsnummer, Adresse, Telefonnummer, E-Mail-Adresse und Details zu Bankgewohnheiten und Desjardins-Produkten.

Passwörter, Sicherheitsfragen und Pins der Kunden sind vom Diebstahl nicht betroffen. Die Bank hat den Vorfall sofort öffentlich gemacht und betroffene Personen umgehend informiert.

Ganz abgesehen vom enormen Image-Schaden und dem Verlust der Glaubwürdigkeit gegenüber seinen Kunden, muss Desjardins nun mit erheblichen finanziellen Konsequenzen rechnen. In einer Sammelklage, die beim Obersten Gerichtshof von Quebec eingereicht wurde, wird das Geldinstitut beschuldigt fahrlässig gehandelt zu haben und der Verpflichtung, die Kundendaten ausreichend vor Missbrauch zu schützen, nicht nachgekommen zu sein.

Für Betroffene wird ein Schadenersatz von je 300 US Dollar gefordert. Zusätzlich bietet Desjardins allen betroffenen Kunden einen 5-Jahres-Kreditüberwachungsplan an. Der Service umfasst den täglichen Zugriff auf ihre Kreditauskunft, Benachrichtigungen über wichtige Änderungen und die Versicherung gegen Identitätsdiebstahl.

Seit Bekanntwerden des Angriffs arbeitet die Bank mit Polizei, Behörden und IT Security Experten daran, den Schaden möglichst gering zu halten und in Zukunft mehr Sicherheit gewährleisten zu können.

Nach dem Datenvorfall warnt die Finanzaufsichtsbehörde von Quebec, dass Desjardins-Kunden Ziel von betrügerischen E-Mails, Textnachrichten und Telefonanrufen werden könnten. Betrüger können Betroffene unter dem Vorwand kontaktieren, Sicherheitsmaßnahmen und Aktualisierungen im Zusammenhang mit dem Vorfall vornehmen zu wollen.

Die Angelegenheit zeigt, welcher enorme Schaden durch Mitarbeiter im IT Security Bereich verursacht werden kann. Während Firmen Angriffe durch Hacker besonders fürchten und in diesem Bereich Sicherheitsvorkehrungen treffen, vernachlässigen sie gleichzeitig die Gefahr von innen. Klar ist, dass Mitarbeiter nur jene Daten entwenden können, auf die sie tatsächlich zugreifen können.

Einen ausreichenden Schutz kann nur ein ausgereiftes Berechtigungsmanagement bzw. eine Software für Identity and Access Management bieten. In unserem Artikel Berechtigungsmanagement vs. IAM erfahren Sie, was der Unterschied zwischen diesen Lösungen ist, und für welche System sich für welches Unternehmen eignet.