Kleine FinTechs sind von Angriffen natürlich nicht ausgenommen, Unicorns sind für Cyberkrimininelle allerdings ineressanter. Je nach Angriffsart und Motiven der Black Hats können die mögliche Zahl oder der Wert der Kundendatensätze, die mediale Wirkung oder im Falle von Ransomware-Attacken die theoretische Höhe des erpressbaren Lösegelds im Vordergrund stehen.
Der Schaden für die gesamte Wirtschaft und für die betroffenen Unternehmen ist immens. Je nach Ausmass der Attacke und auch abhängig vom Krisenmanagement oftmals verbunden mit einem nicht bezifferbaren Reputationsschaden.
Anfang Juli 2021 hat der Ransom-Angriff auf den Vergleichdienst Comparis Schlagzeilen gemacht. Das digitale Vergleichsportal hat sich nach eigenen Aussagen mit den kriminellen Hackern geeinigt, aus Gründen der Schadensbegrenzung, Comparis hat Lösegeld bezahlt. So nachvollziehbar eine "Einigung" sein kann, jede Zahlung von Lösegeld bestätigt das Geschäftsmodell von Erpressern und dürfte weitere Hackergruppen motivieren, auf den fahrenden Zug mit hohen Erträgen aufzuspringen.
Im Visier der Hacker: das FinTech Raisin DS
Das Spar- und Investment-Startup Raisin DS ist aus der kürzlichen Fusion von Raisin und Deposit Solutions entstanden. Zwei erfolgreiche Finanz-FinTechs, vor der Fusion Konkurrenten, haben ihre Angebote in den Bereichen Sparen, Zinsen, und Anlagen zusammengelegt und operieren seit Juni 2021 in neuer Unicorn-Grösse. Die beiden Startups sind vor allem durch ihre Plattformen Zinspilot und Weltsparen bekannt geworden – Raisin DS bedient über 550'000 Endkunden in 30 Ländern sowie einige hundert Banken auf Whitelabel-Basis.
Betroffen von der Hacker-Attacke sollen nach Angaben von Raisin DS allerdings weder Zinspilot noch Weltsparen sein, sondern der kleinere Bereich der Vorsorge-Plattform Raisin Pension. Der Angriff sei am Dienstag letzter Woche festgestellt worden, teilte Raisin DS mit, drei Tage später hätte das FinTech betroffene Personen informiert. Das Unternehmen kommuniziert den Vorfall an seine Kundinnen und Kunden mit folgendem Statement:
"Nach unseren bisherigen Kenntnissen wurde durch Dritte unrechtmässig auf Daten der Raisin Pension GmbH (ehem. fairr.de GmbH) zugegriffen und damit der Schutz Ihrer personenbezogenen Daten verletzt. Dabei wurde – soweit Sie uns diese übermittelt haben – auf Daten aus folgenden Kategorien zugegriffen: Personenstammdaten, Bankdaten (IBAN-Nummer Ihres hinterlegten Referenzkontos), weitere Vertragsdaten (soweit Sie uns diese übermittelt haben) sowie sogenannte "Hashes" von Zugangsdaten (diese ermöglichen keinen Zugriff auf den Online-Zugang, erlauben es aber prinzipiell, mit sehr erheblichem technischen Aufwand das Passwort für Ihren Zugang bei Raisin Pension (ehem. fairr.de) zu rekonstruieren). Es sind ausschliesslich Nutzerinnen und Nutzer von Raisin Pension (ehem. fairr.de) und des Raisin Pension Cockpit betroffen."
Raisind DS betont, dass Depotvermögen von Kundinnen und Kunden "zu keinem Zeitpunkt gefährdet" waren. Zudem: "Der Zahlungsverkehr und die Verwaltung Ihrer Gelder bei der Depotbank sind von dem Vorfall nicht betroffen. Aufgrund der 2-Faktor-Authentifizierung waren weder unautorisierte Transaktionen noch Änderungen der Portfoliozusammensetzung möglich."
Mögliche Konsequenzen für betroffene Kundinnen und Kunden
Raisin DS reagiert insofern nach Lehrbuch, als auf einer Spezialseite sämtliche relevanten Informationen für Kundinnen und Kunden zusammengestellt worden sind. Unter dem Kapitel "Was sind mögliche Folgen für mich?" listet das FinTech die möglichen Missbrauchs-Gefahren für betroffene Kunden auf, die nicht ganz unerheblich sind:
"Unberechtigte Dritte könnten Ihre personenbezogenen Daten missbrauchen. Nach gegenwärtigem Erkenntnisstand könnten diese insbesondere folgende Möglichkeiten nutzen:
- Sie telefonisch oder per E-Mail zur Herausgabe weiterer Daten ("Phishing") sowie zur Leistung von Zahlungen zu verleiten. Häufig wird über den Einsatz von gefälschten E-Mails zum Anklicken von Links und zum Eingeben weiterer Daten animiert, indem z.B. ein Gewinn in Aussicht gestellt oder eine vertraute Instanz (z.B. Unternehmen) vorgetäuscht wird.
- Andere mit Ihrer Identität zu täuschen, um sich Vorteile durch einen Identitätsmissbrauch zu verschaffen.
- Lastschriften zu Lasten Ihres Referenzkontos durchzuführen.
- Durch Nutzung der "Hashes" Ihrer Zugangsdaten mit erheblichem technischen Aufwand das Passwort für Ihren Zugang bei Raisin Pension zu entschlüsseln. Der technische Aufwand hängt insbesondere von der Komplexität Ihres verwendeten Passwortes ab.
Bitte beachten Sie daher unsere Empfehlungen im Abschnitt „Wie sollte ich mich jetzt verhalten?“
Weitere Details zum Hack und zu den Abwehrmassnahmen sind auf der eingerichteten Spezialseite zusammengestellt:
Hätte es schlimmer kommen können?
Sofern der Umfang des Hacker-Angriffs auf Raisin Pension eingegrenzt bleiben und heute tatsächlich alle Fakten bereits auf dem Tisch liegen: Ja, es hätte viel schlimmer kommen können. Mit Raisin Pension haben die Hacker sich die kleinere Abteilung von Raisin DS ausgesucht und die deutlich grösseren Anlage-Plattformen mit weit mehr Kunden und involvierten Partnern und Banken ausgelassen. Ob dabei unterschiedlich wirkungsvolle Abwehrmechanismen oder generell andere Technologien eine Rolle spielen, kann von aussen nicht beurteilt werden.
Bleibt's beim aktuellen Fall mit den bisher bekannten Auswirkungen, wird Raisin DS wahrscheinlich keinen dauerhaften Reputationsschaden davontragen, zumal das FinTech offen informiert und seine Kundinnen und Kunden auch begleitet.
Fazit mit Blick auf die FinTech-Branche
Wie bereits angeführt, Hacker-Angriffe nehmen weltweit zu, das belegen sämtliche aktuellen Studien. FinTechs, Anlage-Plattformen von Startups und auch Neo-Banken sind bisher von schweren und erfolgreichen Hacker-Angriffen nicht vollständig, aber weitgehend verschont geblieben.
Das wird kaum so bleiben – Hacker unterscheiden nicht nach Startups, FinTechs und etablierten Unternehmen, die Attraktivität der Angriffsziele dürfte nach anderen Kriterien definiert werden. In Zeiten explodierender Finanzierungsrunden, Unicorn-Nachrichten, stark skalierender FinTechs und wachsender Kundenstämme dürften auch Finanz-FinTechs verstärkt in den Fokus von Hackergruppen rücken.
Gehört der Schutz von Systemen und Daten für sämtliche Unternehmen zu den vordringlichen Sicherheitsaufgaben, stehen diese Aspekte für FinTechs und für die ganze Branche sogar noch etwas stärker im Vordergrund. Unter anderem deshalb, weil in den letzten Jahren durch einige Vorfälle im Zusammenhang mit Regulierung und Neo-Banken ein Fundament für das (Vor-) Urteil geschaffen worden ist: "FinTechs können schnell wachsen, im Umgang mit Sicherheit, Datenschutz und Regulierung ticken sie etwas lascher".
Diese Betrachtung gehört widerlegt und darf sich nicht bestätigen. Letzteres könnte nämlich fatale Auswirkungen auf die ganze Branche haben – gerade auch auf das Vertrauen von Kundinnen und Kunden, das sich in letzter Zeit zugunsten der FinTech-Branche entwickelt hat und auch in Zukunft wachsen wird. Immer vorausgesetzt, es wird nicht durch Vorfällle infrage gestellt, die aufgrund von Versäumnissen oder einem laschen Umgang mit Sicherheitsaspekten begünstigt worden sind.