Nach einer Attacke von Cyber-Kriminellen auf Postbank-Kunden hat die Finanzaufsichtsbehörde BaFin eine Geldstrafe in Höhe von 50.000 Euro gegen den Mutterkonzern Deutsche Bank verhängt. Die Behörde hat nach eigenen Angaben festgestellt, dass das Institut ihr gegenüber falsche Angaben zu einem schwerwiegenden kundenrelevanten IT-Sicherheitsvorfall gemacht hat. Zudem sei die Information „deutlich verspätet“ erfolgt.

Die Attacke fand den Angaben zufolge im vergangenen Juni statt, fiel also in die Zeit der Datenmigration der Postbank-Kunden auf die Systeme der Deutschen Bank. Das auch als Postbank-Debakel bekannte IT-Projekt mit dem Namen „Unity“ hat der Deutschen Bank einen Sonderbeauftragten der BaFin und einen großen Reputationsschaden beschert. Wochenlang klemmte es im Online-Banking der Bank, zahllose Kundenanliegen blieben unbearbeitet und bis dato sind die Rückstände im Backoffice noch nicht abgearbeitet.

Wie ein Sprecher der Deutschen Bank auf Anfrage sagte, bezog sich das Bußgeld jedoch auf die Meldung eines „innerhalb kürzester Zeit“ behobenen Sicherheitsvorfalls. Auch habe der Vorfall nicht im direkten Zugang mit dem Unity-Projekt. Auch sanktioniere die BaFin nicht den Sicherheitsvorfall an sich, sondern den Meldeprozess. Details dazu wollte der Sprecher nicht geben.

Banken und andere regulierte Finanzdienstleister müssen die BaFin unverzüglich informieren, wenn es zu schwerwiegenden Betriebs- oder Sicherheitsvorfällen bei ihren Zahlungsdiensten kommt. Die Frist, um den Vorfall als „schwerwiegend“ oder „nicht schwerwiegend“ zu klassifizieren, beträgt nach BaFin-Angaben 24 Stunden. Bei schwerwiegenden Fällen muss die Behörde innerhalb von nur vier Stunden informiert werden. Ändert sich die Einschätzung rückwirkend, gilt die verkürzte Frist ab dem Moment, in dem der Vorfalls als schwerwiegend eingestuft wird.

Wie zu erfahren ist, hatten Cyberkriminelle im vergangenen Jahr per Phishing-Attacke eine Schwachstelle des Zwei-Faktor-Authentifizierungsprozesses ausgenutzt. Diese wurde dann intern offenbar falsch klassifiziert und als Betriebs- statt als Sicherheitsvorfall an die BaFin gemeldet.

Wie die BaFin mitteilte, ist die Strafe rechtskräftig. Die Deutsche Bank hat den Bußgeldbescheid zum Meldebescheid nach eigenen Angaben akzeptiert. Damit sei der Vorgang abgeschlossen. Für die Versäumnisse bei der Kundenbetreuung im Nachgang der IT-Umstellung muss sich das Institut auf weitere Sanktionen der BaFin einstellen.