DatenschutzSchwachstellen

Lloyds-Banking-Panne: 450.000 Kunden von Transaktionsdaten-Leak betroffen

Lloyds-Banking-Panne: 450.000 Kunden von Transaktionsdaten-Leak betroffen
Zusammenfassung

Die britische Lloyds Banking Group ist von einem erheblichen Datensicherheitsvorfall betroffen, der etwa 450.000 Nutzer ihrer mobilen Banking-App betrifft. Der Incident ereignete sich am 12. März durch ein fehlerhaftes Software-Update, das dazu führte, dass Transaktionsdaten von Bankkundenkonto-Inhabern anderen Nutzern der Anwendung kurzzeitig zugänglich waren. Besonders kritisch: Die exponierten Informationen umfassten nicht nur Transaktionsbeträge und Daten, sondern auch sensitive Identifikationsnummern wie Versicherungsnummern, Kontonummern und Bankleitzahlen. Obwohl Lloyds betont, dass Kontostände nicht beeinträchtigt wurden und keine unbefugten Transaktionen möglich waren, unterstreicht der Vorfall die Anfälligkeit großer Finanzinstitutionen für Softwarefehler. Für deutsche Nutzer und Unternehmen ist dieser Fall von Bedeutung, da er aufzeigt, wie kritisch robuste Update-Prozesse und Tests sind. Deutsche Finanzinstitute müssen ähnliche Szenarien in ihren Sicherheitsprotokollen berücksichtigen, und Bankkunden sollten sensibilisiert werden, dass selbst etablierte Anbieter anfällig für solche Pannen sind. Die Regulierungsbehörden könnten daraus Lehren für strengere Anforderungen an Softwarequalität im Finanzsektor ziehen.

Die Lloyds Banking Group musste gegenüber dem britischen Treasury Committee einen erheblichen Datensicherheitsvorfall eingestehen. Am 12. März um 03:28 Uhr rollte das Unternehmen ein fehlerhaftes Software-Update aus, das bis 08:08 Uhr für eine Exposition von Kundendaten sorgte. Von den 21,5 Millionen Mobilbank-Nutzern waren insgesamt 447.936 Kunden betroffen – entweder weil ihnen Daten anderer Nutzer angezeigt wurden oder ihre eigenen Transaktionsinformationen anderen zugänglich waren.

Die technische Ursache war eine Race Condition im Code: Nur wenn zwei oder mehr Kunden innerhalb von Millisekunden gleichzeitig auf ihre Transaktionslisten zugreifen würden, käme es zur Datenvermischung. Von den 1,67 Millionen Nutzern, die während des Fehlers-Fensters angemeldet waren, sahen etwa 114.182 detaillierte Transaktionsinformationen anderer Kunden.

Die sichtbaren Daten variierten je nach Interaktion: Beim bloßen Betrachten der Transaktionsliste waren Beträge, Daten und Zahlungsidentifikatoren sichtbar, die auch National Insurance Numbers (britisches Äquivalent zur Rentenversicherungsnummer) enthalten konnten. Wer auf einzelne Transaktionen klickte, konnte Bankleitzahlen, Kontonummern, Versicherungsnummern oder sogar Kfz-Kennzeichen sehen – falls diese in Referenzfeldern eingetragen waren. Besonders problematisch: Teilweise waren auch Daten von Empfängern sichtbar, die keine Lloyds-Kunden waren.

Lloyds beruhigt mit der Feststellung, dass Kontostände nicht betroffen waren und keine unbefugten Transaktionen möglich waren. Die gesammelten Daten hätten nicht ausgereicht, um Betrug durchzuführen. Dennoch zahlte das Unternehmen etwa 139.000 Pfund (~184.000 Euro) als Kulanzausgleich an rund 3.625 Kunden für “Störungen und Unannehmlichkeiten”.

Der Vorfall ist symptomatisch für ein wachsendes Problem in der Fintech-Branche: Die Automatisierung von Software-Deployments beschleunigt zwar Innovation, erhöht aber auch das Risiko, dass fehlerhafte Updates in Produktionsumgebungen landen. Die Tatsache, dass das Problem erst nach dem Rollout erkannt wurde, deutet auf Lücken in der Qualitätssicherung hin. Deutsche Banken sollten diesen Vorfall zum Anlass nehmen, ihre Deployment-Prozesse zu überprüfen und Staging-Umgebungen stärker zu nutzen, um solche Race Conditions vor dem Go-Live zu identifizieren.

Ähnliche Artikel