Adressen und Namen offen zugänglich

Sicherheitslücke bei Postfinance hat Zugriff auf Kundendaten erlaubt

Uhr
von Pascal Wojnarski und lha

Postfinance hat eine Sicherheitslücke geschlossen, die Kundendaten öffentlich zugänglich machte. Über das Onlinebanking-Tool konnte ein Informatiker 350'000 Kundendaten herunterladen. Auch über andere Banken konnte auf diese Daten zugegriffen werden.

(Source: Feng Yu / Fotolia.com)
(Source: Feng Yu / Fotolia.com)

Eine Recherche von “Republik.ch” hat ergeben, dass persönliche Daten von Postfinance-Kunden teilweise öffentlich zugänglich waren. Der Quelle zufolge wurde die Sicherheitslücke am 12. und 13. Februar behoben.

Während seiner Recherche sei es Informatiker Simon Gantenbein gelungen, uneingeschränkt Adressen und Namen der Postfinance-Kundschaft zu finden. Es konnten auch private Anschriften von Nationalrätinnen, Regierungsräten und von einer Bundesrätin beschafft werden. Auch über andere Banken seien Kundendaten der Postfinance sichtbar geworden. Grund hierfür sei das Postkontoverzeichnis, das diesen Banken offenbar zur Verfügung steht.

Dem Beitrag nach würden diese Kontoauskünfte womöglich gegen das Bankgeheimnis verstossen. Die Post sieht sich laut "Republik" jedoch in einer Sonderrolle, da sie Überweisungen auch in Bargeld annimmt, müsse sichergestellt werden, dass ein Konto existiert. Diese Logik sei von der Post auch ins Digitale übertragen worden und wird "Kontoöffentlichkeit" genannt.

Das Vorgehen

Bei einer Onlineüberweisung über den Service von Postfinance geben Kunden und Kundinnen die IBAN- oder Postkontonummer, den Namen und die Adresse des Zahlungsempfängers ein. Diese Daten werden dann von der jeweiligen Bank kontrolliert. Bei deutlichen Abweichungen von Kontonummer und Namen würde so die Transaktion gestoppt.

Einzig bei Postfinance ergänzt das System die entsprechenden Angaben wie Namen und Adressen der Empfänger automatisch, wenn nur die Postkontonummer bekannt ist. Zwar enthalten Postkontonummern eine Prüfziffer "Doch deren Berechnung ist weder ein Geheimnis noch rechnerisch anspruchsvoll. Sie folgt der Logik einer öffentlich dokumentierten Formel", schreibt die "Republik".

Keine Stopp von Massenabfragen

Der Informatiker Gantenbein sei mit einer selbst programmierten Anwendung in der Lage gewesen, diese Kontonummern nachzubilden. Diese konnte er dann mithilfe des Postfinance-Service vervollständigen lassen. So habe er insgesamt 350’000 Datensätze abgreifen können. Die eigentliche Sicherheitslücke bestehe darin, dass der Webdienst Massenabfragen zulasse. Dem Beitrag nach hat Postfinance diese Lücke nun behoben. Eine dafür zuständige Sicherheitsvorkehrung sei im Jahr 2019 nicht korrekt in ein neues System migriert worden, äusserte sich die Post gegenüber "Republik".

Kritik hagelte es derweil auch für die Postomaten. Der Konsumentenschutz stellt ihnen puncto Bargeldeinzahlung ein schlechtes Zeugnis aus. Nur ein Viertel der Automaten funktioniere wie vorgesehen. Mehr dazu lesen Sie hier.

Webcode
DPF8_247383