Jump to content
Mangalica

Scalable Capital - Broker-Depot

Recommended Posts

Gamenick
Posted · Edited by Gamenick
vor 25 Minuten von Holgerli:

Nicht nur Du hast diese eMail bekommen. :(

 

Ich frage mich, wie ich folgenden Satz interpretieren soll (hervorhebung durch mich):

Der Zugriff auf das betroffene Archiv erfolgte unter Zuhilfenahme von unternehmensinternem Wissen, das nur über entsprechend gesicherte Zugänge verfügbar ist.

 

nach ca. 30 Minuten funktionierte das PW wieder...

 

Wenn ich raten müsste wahrscheinlich ein (Ex)-Mitarbeiter, der sich entweder ohne Berechtigung dort eingeloggt hat oder dies von außen gemacht hat. Glücklicherweise gehen solche Sachen meistens glimpflich aus, dass schlimmste was bei sowas passiert ist wohl das man Spam-Mails oder Anrufe an seine hinterlegte Nr. bekommt.

 

 

Share this post


Link to post
Holgerli
Posted · Edited by Holgerli

Wenn es wirklich so wäre, wie Du sagst wäre das richtig bitter: Das erste was man macht, wenn ein Mitarbeiter geht und besonders wenn er gegangen wird, dann wird sein Zugang zentral dicht gemacht, sodass er keinen Zugriff mehr hat.

Das wäre dann eine absolut amateurhafte Schlamperei, weil eine Sicherheitslücke soll es ja nicht sein

Share this post


Link to post
Gamenick
Posted
vor 1 Stunde von Holgerli:

Wenn es wirklich so wäre, wie Du sagst wäre das richtig bitter: Das erste was man macht, wenn ein Mitarbeiter geht und besonders wenn er gegangen wird, dann wird sein Zugang zentral dicht gemacht, sodass er keinen Zugriff mehr hat.

Das wäre dann eine absolut amateurhafte Schlamperei, weil eine Sicherheitslücke soll es ja nicht sein

https://de.extraetf.com/news/finanznews/scalable-capital-informiert-20-000-kunden-ueber-datenpanne

 

Lt. dem Artikel scheint es tatsächlich ein Ex Mitarbeiter zu sein, bestenfalls nur aus Rache um Scalable zu schaden, schlechtenfalls um die Kundendaten zu verkaufen...

 

Muss nochmal korrigieren: Ich bin erst davon ausgegangen, dass nur Email und Handynummer betroffen sind, wie ihr ja geschrieben habt sind auch Name, Adresse und Referenzkontonummer unter anderem betroffen, d.h. kompletter Identitätsdiebstahl ist möglich...

Share this post


Link to post
Holgerli
Posted

Positiv: man scheint den Kerl ja zu haben. Negativ: große Schlamperei auf Seiten von SC. Von einer Bank erwarte ich mir mehr bei der Security

Echt Bitter für mich: Ich bin erst knapp 3 Wochen bei dem Laden und Frage mich ob es eine 4. Woche wird.

 

Lohnt es sich als Betroffener  zusätzlich den Datenschutzbeauftragten hinzuzuziehen?

Share this post


Link to post
fonscho
Posted

Ich wurde auch angeschrieben und habe sehr schnell Auskunft bekommen, was betroffen ist:

Zitat

Sehr geehrer xxx,

vielen Dank für Ihre Nachricht.

Sie können die Liste der betroffenen Dokumente selbst einsehen; es betrifft die Dokumente in Ihrer Mailbox. Sie können die Mailbox über den Login-Bereich unserer Website oder die Apps erreichen. Wenn Sie Postident Video oder Filiale durchgeführt haben, sind auch Ausweiskopien betroffen. Wenn Sie PostIdent mit Online-Ausweisfunktion (eID) genutzt haben, wurde keine Ausweiskopie angefertigt.

Grundsätzlich sind Daten folgender Kategorien betroffen:

personenbezogenen Daten (Personalien und Kontaktdaten, Daten zur gesetzlich erforderlichen Identifizierung des Kunden (etwa Ausweisdaten), 

die im Rahmen der Geeignetheitsprüfung erfassten Informationen, 

Daten bezogen auf Konto und/oder Wertpapierdepot (etwa Referenzkontoverbindung, Berichte, Wertpapierabrechnungen, Rechnungen) sowie 

steuerliche Daten (etwa Steueridentifikationsnummer).

Wir haben umgehend alle erforderlichen Maßnahmen ergriffen, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen. Darüber hinaus haben wir die zuständigen Aufsichtsbehörden informiert. Der Sachverhalt wird zur Zeit weiter analysiert, dokumentiert sowie laufend überwacht. Hierzu haben wir auch externe Experten für Informations- und IT-Sicherheit hinzugezogen. Ein Ermittlungsverfahren wurde eingeleitet.

Also schon relativ heftig die Sache!

Share this post


Link to post
Holgerli
Posted

Danke, dass Du Dich drum gekümmert hast:

 

vor 4 Minuten von fonscho:

Wenn Sie PostIdent mit Online-Ausweisfunktion (eID) genutzt haben, wurde keine Ausweiskopie angefertigt.

Für mich persönlich: Wenigstens etwas.

 

vor 5 Minuten von fonscho:

...steuerliche Daten (etwa Steueridentifikationsnummer)

Hier werde ich nochmal nachkarken: Da ich die nicht zur Hand hatte steht in dem Dokument "...wird angefragt...". Ggf. habe ich hier auch Glück gehabt.

 

Share this post


Link to post
Necoro
Posted · Edited by Necoro
Typo
vor 11 Stunden von Holgerli:

Lohnt es sich als Betroffener  zusätzlich den Datenschutzbeauftragten hinzuzuziehen?

Mindestens der bayerische (als zuständiger) ist bereits im Boot.

Share this post


Link to post
Holgerli
Posted
vor 1 Minute von Necoro:

Mindestens der bayrische (als zuständiger) ist bereits im Boot.

Das ist auch der einzig Zuständige. So gesehen sollte das so sein.

Ich frage mich nur gerade ob es nicht ggf. sinnvoll ist, da auch als Betroffener offiziell anzuklopfen um eine Art Spannungsfeld aufzubauen um zu verhindern, um zu zeigen, dass eine gewisse Öffentlichkeit da ist die auch mal kritisch nachfragt.

Share this post


Link to post
trend_investor
Posted
vor 13 Stunden von Holgerli:

Positiv: man scheint den Kerl ja zu haben. Negativ: große Schlamperei auf Seiten von SC. Von einer Bank erwarte ich mir mehr bei der Security

Echt Bitter für mich: Ich bin erst knapp 3 Wochen bei dem Laden und Frage mich ob es eine 4. Woche wird.

 

Lohnt es sich als Betroffener  zusätzlich den Datenschutzbeauftragten hinzuzuziehen?

Die Story mit dem Mitarbeiter glaube ich nicht. Wenn Mitarbeiter ausscheiden, werden doch sämtliche Zugänge gesperrt und VPN-Zugänge o.ä. deaktiviert...in jedem Fall echt heftig.

Share this post


Link to post
hattifnatt
Posted
vor 58 Minuten von trend_investor:

Wenn Mitarbeiter ausscheiden, werden doch sämtliche Zugänge gesperrt und VPN-Zugänge o.ä. deaktiviert

Stand auch nicht in dem Artikel von extraetf, dass es ein Ex-Mitarbeiter war - es kann auch ebensogut ein "normaler" Mitarbeiter gewesen sein.

Share this post


Link to post
Holgerli
Posted

In dem Artikel steht:

Mutmaßlich hat sich ein Mitarbeiter unberechtigt Zugang zu den Daten verschafft und diese unbefugt runtergeladen. Das Datenleck wurde am Freitag entdeckt.

 

Die Fragen die ich mir stelle:

- Wann hat der Vorfall genau stattgefunden? Hintergrund: Ich habe am 26.09. (Samstag) mein Konto eröffnet und habe die eMail bekommen. Das sind 3 Wochen.

- Wie hat man den unberechtigten Zugriff festgestellt?

- Was heisst "kein Hackerangriff"? Hat der "mutmaßliche" Mitarbeiter selber runtergeladen oder wurde durch "Social Engineering" von Dritten das Passwort abgegriffen?

- Wenn es ein Mitarbeiter war: Warum geht man direkt davon aus, dass die Daten schon im Umlauf sind und warnt? Ich meine, es ist das eine unbefugt Daten runterzuladen. Es ist aber komplett was anderes dann diese Daten auch zu verticken?

 

 

Share this post


Link to post
Ich lerne dazu
Posted

Ich habe selbst (zum Glück) kein Depot bei Scalable Capital, hatte aber überlegt, eines zu eröffnen. Mich hat die ganze Sache ziemlich geschockt. Vor allem das Ausmaß, was der/die Täter an Daten erbeutet haben. Ich habe nach näheren Infos gegoogelt und bin auf die „Erklär-Seite“ von Scalable Capital gestoßen.

https://de.scalable.capital/datenschutzvorfall

 

Besonders interessant fand ich folgende Punkte:

 

Wann wurde auf die Daten zugegriffen?

Es wurde auf Dokumente zugegriffen, die vor dem 11. Oktober 2020 in unser digitales Datenarchiv eingestellt wurden. Der unbefugte Zugriff erfolgte an drei Zeitpunkten zwischen April und Oktober 2020.

Wie ist der Zugriff aufgefallen?

Wir konnten einen konkreten Fall von versuchtem, aber nicht erfolgreichen Identitätsmissbrauch dem Zugriff zuordnen. Im Zuge dessen wurde eine umfangreiche Analyse durchgeführt, bei der alle betroffenen Personen und Dokumente eingegrenzt werden konnten.

Fazit: Es wurde mehrmals über einen längeren Zeitraum auf die Daten zugegriffen, was niemandem aufgefallen ist. Letztlich war es wahrscheinlich nur Zufall, dass es überhaupt bemerkt wurde. Spricht eigentlich für einen aktiv dort tätigen Mitarbeiter.

Und dann das Statement:

Welche Maßnahmen/ Konsequenzen hat Scalable Capital getroffen?

Wir haben umgehend alle erforderlichen Maßnahmen ergriffen, um weitere unrechtmäßige Zugriffe auf das digitale Dokumentenarchiv auszuschließen….

Wenn es so einfach war, die „erforderlichen Maßnahmen“ zu ergreifen, frage ich mich, warum man dass nicht schon im Vorfeld getan hat. Schließlich weiß man doch, dass man mit hochsensiblen Daten arbeitet.

Share this post


Link to post
Ich lerne dazu
Posted
vor 22 Minuten von Holgerli:

- Wenn es ein Mitarbeiter war: Warum geht man direkt davon aus, dass die Daten schon im Umlauf sind und warnt? Ich meine, es ist das eine unbefugt Daten runterzuladen. Es ist aber komplett was anderes dann diese Daten auch zu verticken?

 

 

Wenn  Daten "geklaut" werden ist das Unternehmen verpflichtet, die Kunden darüber zu unterrichten. Auch um welche Daten es sich handelt. Unter Umständen müssen die Betroffenen Vorkehrungen treffen. Wenn es sich z.B. um Daten über Kreditkarten gehandelt hätte, müssten die Karten gesperrt werden. Das unberechtigte runterladen dürfte auch schon ausreichen, nicht erst das Verwenden der Daten.

Share this post


Link to post
hattifnatt
Posted
vor 8 Minuten von Ich lerne dazu:

Das unberechtigte runterladen dürfte auch schon ausreichen, nicht erst das Verwenden der Daten.

Ja, folgt z.B. aus der DSGVO: https://keyed.de/blog/datenpanne-dsgvo/

Share this post


Link to post
Holgerli
Posted

@Ich lerne dazu

Danke für den Link. Leider wurde der nicht aktiv kommuniziert.

Ja, ich denke Deine Analyse ist korrekt. Allerdings gab es ja einen konkreten Fall.

 

Für mich bleibt weiterhin die Frage:

- War es ein interner Mitarbeiter der einzeln gearbeitet hat oder waren auch Externe involviert? Wenn ersteres der Fall ist könnten die Opfer des letzten Angriffes (inkl. mir) Glück haben und die Daten sind ggf. noch nicht im Umlauf.

Share this post


Link to post
Ich lerne dazu
Posted
vor 7 Minuten von Holgerli:

@Ich lerne dazu

Danke für den Link. Leider wurde der nicht aktiv kommuniziert.

Ja, ich denke Deine Analyse ist korrekt. Allerdings gab es ja einen konkreten Fall.

 

 

Und nur wegen dem konkreten Fall ist der Datenklau überhaupt aufgefallen. Deswegen habe ich von Zufall gesprochen. Ich finde es schon bedenklich, dass sich ein Mitarbeiter mehrmals "bedienen" konnte und es niemandem aufgefallen ist. Das es keine interne Sperre gab, um Daten in dieser Größenordnung runterzuladen. 

Share this post


Link to post
EddisHerrchen
Posted

Hi,

ich bin davon auch als ehemaliger Kunde betroffen. Danke für den Link auf die FAQ von Scalable. Ich bin ehrlicherweise etwas angefressen wegen des Marketinggeschwurbels (Ihr Depot ist sicher ....)

 

Halten wir mal fest  Lt. Scalable sind 23000 aktive Kunden und 9000 ehemalige Kunden und ein paar Testkunden bzw. nicht vollständig abgeschlossene Kundenregistrierungen betroffen. Das sind schon mal mehr als 50% Steigerung zur ersten Kommunikation. Und obwohl man nichts mitbekommen hat, kann Scalable ausschließen das Kunden über ING oder Oskar grundsätzlich nicht betroffen seien (?).

Es wurde dreimal auf den Datenbestand großflächig zugegriffen ohne das die IT oder Security das mitbekommen hat. Das ist für mich ein krasses Zeichen von mangelhafter Security (Fehlendes Monitoring, fehlende Securtiy Awareness) in einer Bank/Broker.

Aufgefallen ist es nur, weil in einem bekannter Fall von Identitätsdiebstahl die Daten bereits verwendet wurden. Dh. der Trigger das festzustellen kam von außen.

 

Mein Schlußfolgerungen daraus:

Ich denke bei Umfang und Auswirkung war das noch nicht das Ende der Fahnenstange. ("Wichtiger Hinweis: Der Datenschutzvorfall wird zur Zeit weiter analysiert.")

Ich stelle mich auf richtig Ärger ein, denn die Daten sind in Umlauf (wurde ja bereits in einem Fall dokumentiert verwendet).

Ich habe bereits 2019 gekündigt. Aber das wäre ein Grund für mich die Aktivität dort sofort runterzufahren und die Depots zu transferieren. Mein Vertrauen in die IT Kompetenz und Security Awareness von Scalable ist zerstört.

 

Gruß

Eddisherrchen

 

 

Share this post


Link to post
laurooon
Posted

Was für ein Schaden könnte denn konkreten mit den angegriffenen Daten entstehen?

Share this post


Link to post
JFI
Posted · Edited by JFI

Scalable sollte den betroffenen Kunden jetzt entgegenkommen. Warum nicht in Kooperation mit der Schufa allen Betroffenen einen lebenslang kostenlosen Zugang zu meineschufa.de ermöglichen? So könnte man einen Identitätsdiebstahl zeitnah erkennen und gegensteuern, bevor der Schaden noch größer wird.

Share this post


Link to post
EddisHerrchen
Posted
vor 57 Minuten von laurooon:

Was für ein Schaden könnte denn konkreten mit den angegriffenen Daten entstehen?

Na, die abgezogenen Bankdaten sind ja deutlich hochwertiger als z.B. bei einem normalen Webshop oder ähnlichem. Daten zur Identifizierung (Personalausweis), Bankdaten, Vermögensdaten, Referenzkonto usw. Insofern ist natürlich hohes Potential da zur Ausnutzung. Immerhin waren diese Daten ausreichend um bei einer Bank Konten zu eröffnen. Zum Thema Identitätsdiebstahl: https://de.wikipedia.org/wiki/Identitätsdiebstahl

 

Share this post


Link to post
Gamenick
Posted
vor 1 Stunde von JFI:

Scalable sollte den betroffenen Kunden jetzt entgegenkommen. Warum nicht in Kooperation mit der Schufa allen Betroffenen einen lebenslang kostenlosen Zugang zu meineschufa.de ermöglichen? So könnte man einen Identitätsdiebstahl zeitnah erkennen und gegensteuern, bevor der Schaden noch größer wird.

Das wäre mal ein guter Vorschlag, nicht nur ist die normale (kostenlose) Auskunft ja sehr übersichtlich, auch dauert die zumindest bei mir immer ewig (3-4 Wochen zuletzt).

 

 

Share this post


Link to post
valuebuyer
Posted

Als ich gestern zum Thema "Scalable Capital Datenpanne" gegooglet habe, wurde ich durch eine Werbanzeige auf folgende Seite aufmerksam: https://eugd.org/schadenersatz/scalable-capital/. Es handelt sich dabei um ein junges Unternehmen, dass sowas wie das "flightright" für Datenschutzklagen sein will. Was mich ein wenig skeptisch macht ist, dass es den Anschein erweckt, als sei es eine Gesellschaft der EU oder ähnliches, obwohl es ein privates Unternehmen ist. Zudem findet man im Internet kaum Bewertungen/ Erfahrungsberichte. Würde daher gerne mal eure Meinung dazu hören. Wie schätzt ihr die Chancen/Höhe einer möglichen Schadensersatzzahlung ein? 

 

Übrigens: Man kann über dieses Tool des Hassno-Plattner-Instituts testen, ob seine E-Mail im Zusammenhang mit Datenleaks irgendwo im Internet veröffentlicht wurde / kursiert: https://sec.hpi.de/ilc/search?lang=de . Habe meine E-Mail getestet, mit der ich bei Scalable Capital registriert wurde und der Test war negativ (keine Befunde). 

Share this post


Link to post
JFI
Posted
vor 1 Stunde von Gamenick:

Das wäre mal ein guter Vorschlag, nicht nur ist die normale (kostenlose) Auskunft ja sehr übersichtlich, auch dauert die zumindest bei mir immer ewig (3-4 Wochen zuletzt).

 

 

Wenn möglichst viele Betroffene den Kundenservice anschreiben, tut sich vielleicht was. 

 

Mögliche Vorlagen hier:

https://www.vielfliegertreff.de/showthread.php?p=3289745

Share this post


Link to post
JFI
Posted

Scalable hat schnell reagiert, löblich:

 

"

Bieten Sie einen Service zur Überwachung von Identitätsmissbrauch?

 

Wir möchten Ihnen schnell und unkompliziert helfen. Wir bieten betroffenen Kunden die Möglichkeit, sich kostenlos für den Identitätsschutz meineSCHUFA Plus zu registrieren. Scalable Capital übernimmt für Sie zudem die Kosten für das erste Vertragsjahr. Die Übernahme der Kosten erfolgt ohne Anerkennung einer Rechtspflicht. Bitte fragen Sie per E-Mail an service@scalable.capital Ihren persönlichen Aktivierungscode an, welchen Sie unter meineschufa.de/gutschein einlösen können. Nach erfolgreicher Einlösung folgen Sie bitte den Anweisungen, um sich für den Service meineSCHUFA Plus zu registrieren.

meineSCHUFA Plus bietet regelmäßiges Monitoring Ihrer persönlichen Daten im Internet, Deep Web sowie Darknet. Bei Verdacht auf Identitätsmissbrauch erhalten Sie umgehend eine Benachrichtigung per E-Mail und/oder per SMS. Weiterhin berät Sie das Expertenteam der SCHUFA 24/7 rund um geeignete Maßnahmen. Sofern die SCHUFA Holding AG Ihre personenbezogenen Daten verarbeitet, ist sie hierfür eigenständig verantwortlich. Bitte beachten Sie die AGB und Datenschutzinformationen der SCHUFA Holding AG.

Bei Fragen oder Problemen können Sie sich gerne an uns oder das SCHUFA-Serviceteam unter der Telefonnummer +49 611 92780 wenden.

Sollten Sie Opfer eines Identitätsbetrugs geworden sein, können Sie kostenfrei eine so genannte Einmeldung von Identitätsbetrug durch Betroffene bei der SCHUFA einreichen. Über die folgende Webseite erreichen Sie das dazugehörige Informationsblatt sowie Anmeldeformular: https://www.schufa.de/lp/eilmeldung-identitaetsmissbrauch/einmeldung-identitaetsmissbrauch.jsp

Bitte beachten Sie: Für die Einmeldung müssen Sie über den Vorfall bereits eine Strafanzeige erstattet haben. Bitte geben Sie die Staatsanwaltschaft/Polizeidienststelle sowie das Aktenzeichen Ihrer Strafanzeige im Formular an.

"

Share this post


Link to post
Mangalica
Posted
Am 21.10.2020 um 11:28 von valuebuyer:

Wie schätzt ihr die Chancen/Höhe einer möglichen Schadensersatzzahlung ein? 

Sehr gering, es sei denn, du kannst einen ganz konkreten finanziellen/materiellen Schaden nachweisen. Schmerzensgeld sprechen die Gerichte einem bei so etwas auch nicht zu und dein persönlicher Aufwand hat den Wert 0.

 

Ich habe da ja leider schon meine Erfahrung gemacht (und hier berichtet), wie z.B. mit einem fehlerhaften Schufa-Eintrag (nur weil eine Auskunftei mich mit einer anderen Person verwechselt hat) oder als ich Identitätsbetrugsopfer wurde. Mein persönlicher Aufwand, um das ganze durch das Schreiben von Faxen, Anzeigen und Beschwerden bei der Datenschutzaufsicht wieder gerade zu biegen, war mindestens 10-12 Stunden. Dafür wird mir aber kein Schadenersatz zustehen. Und weil mir ansonsten keine Kosten entstanden sind, kann ich eine Klage auf Schadenersatz von vornherein vergessen. Anwaltskosten kann man in der Regel als Schadenersatz geltend machen, aber da muss man ja auch zunächst in Vorkasse gehen. Die Datenschutzbehörden scheinen sich übrigens auch damit zufrieden zu geben, wenn das Unternehmen verspricht, den Fehler nicht noch einmal zu machen.

Share this post


Link to post

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×
×
  • Create New...