Stellen Sie sich vor, sie loggen sich bei Ihrem Zahlungsdienstleister ein und sehen plötzlich die Daten eines fremden Accounts. Genau das ist beim schwedischen Zahlungsanbieter Klarna Ende Mai passiert. Neben Namen und Fotos fremder User waren auch sensible Daten wie die Zahlungshistorie, Bankdaten oder Adressen einsehbar. Rund 90.000 Nutzerinnen und Nutzer waren betroffen, heißt es aus Unternehmenskreisen. Der Grund für die Panne: ein menschlicher Fehler. Man arbeite intern daran, das Datenleck aufzuarbeiten und betroffene Klarna-Kundinnen und -Kunden zu informieren. Auch die zuständigen Behörden seien in Kenntnis gesetzt worden.
Was hinter den „Unannehmlichkeiten“ steckt, wie Klarna den groben Fehler zunächst bezeichnete, weiß Clara Schneidewind, Nachwuchsforschungsgruppenleiterin am Max-Planck-Institut für Sicherheit und Privatsphäre in Bochum: „Die Datenpanne von Klarna ist auf ein fehlerhaftes Update zurückzuführen, was eigentlich nicht passieren dürfte. Unternehmen sollten definierte Prozesse haben, die ablaufen, bevor ein Update ausgeliefert wird. Mit etablierten Verfahren wie dem Regressionstest, der vereinfacht ausgedrückt sicherstellt, dass alle Funktionalitäten nach dem Update noch genauso sind wie vorher, sollte es solch massive Lecks nicht geben.“
Dass es dennoch dazu kommen konnte, zeigt, unter welchem Druck aufstrebende Fintechs aktuell stehen – auch oder gerade, wenn sich Investoren vermehrt für ihre Geschäftsmodelle interessieren. So hatte Klarna erst Anfang März eine Finanzierungsrunde von einer Milliarde US-Dollar bekannt gegeben, um seine internationale Expansion zu beschleunigen. Die Runde wurde vierfach überzeichnet – von neuen und bestehenden Investoren – und schloss mit einer Post-Money-Bewertung von 31 Milliarden US-Dollar ab, was Klarna auf einen Schlag zum am höchsten bewerteten privaten Fintech in Europa und zum zweithöchsten weltweit machte.
Aus Sicht von Schneidewind sind es aber nicht nur die Fintechs, bei denen Gefahren für Daten- und IT-Sicherheit lauern. Die Forscherin hält auch die Legacy-Systeme der etablierten Player für risikoreich. Zwar sei die Finanzwelt einer der Vorreiter in Sachen Digitalisierung, damit sei aber auch die Systemlandschaft mittlerweile an vielen Stellen veraltet und ein solcher Flickenteppich sei auf Dauer nicht ungefährlich: „Viele der etablierten Banken und Finanzdienstleister stehen mit Blick auf ihre IT-Infrastruktur vor dem Problem der Stagflation. Und vor dem Hintergrund dessen, dass wir immer mehr über IT- und Datensicherheit wissen und lernen, entsprechen gerade die Systemlandschaften der frühen Digitalisierungstage heute schlicht und ergreifend nicht mehr dem gängigen Sicherheitsniveau.“
Allerdings räumt Schneidewind auch ein, dass es kein leichtes Unterfangen sei, alte Systeme zu renovieren. Es scheint also, als müssten beide Welten – die neue und die alte Systemwelt – noch einmal ordentlich in ihre IT- und Datensicherheit investieren und an der ein oder anderen Stelle ihre Hausaufgaben sorgfältiger machen. Ansonsten droht ein Vertrauensverlust, der schwerer wiegt als jede einzelne Datenpanne.
Illustration: Marie Corbi
