IT-Dienstleister: Daten von 400.000 Unicredit-Kunden kompromittiert

Die Bank Unicredit hat bestätigt, dass private Informationen über rund 400.000 Kunden in falsche Hände gelangt sind. Betroffen sind nach Angaben der Bank Kunden aus Italien, die Sicherheitslücke soll mittlerweile geschlossen worden sein.

Die Informationen wurden offenbar bei zwei verschiedenen Angriffen kopiert. Der erste Angriff fand demnach im September und Oktober 2016 statt, ein zweiter Angriff wurde erst vor kurzem identifiziert und soll im Juni und Juli 2017 stattgefunden habe. Insgesamt sollen 400.000 Daten betroffen sein. Der Zugriff soll über einen "unautorisierten Zugang durch einen italienischen Dienstleister" erfolgt sein. Die Informationen beziehen sich auf Kredite von Privatkunden.

Kein Zugriff auf Kundenaccounts möglich

In einer Investorenmitteilung schreibt die Bank: "Es wurden keine Daten abgerufen, die einen Zugriff auf Kundenaccounts zulassen oder für illegale Transaktionen genutzt werden können, wie etwa Passwörter." Es seien aber "persönliche Daten" und IBAN-Nummern abgerufen worden. Unicredit hat nach eigenen Angaben einen internen Audit veranlasst und will eine Mitteilung bei der Staatsanwaltschaft in Mailand einreichen. Die von den Angreifern verwendete Schwachstelle soll mittlerweile geschlossen worden sein.

Betroffene Kunden sollen von dem Unternehmen kontaktiert werden. Unicredit schreibt, dass "Datensicherheit und IT-Security" eine Top-Priorität hätten; in den kommenden Jahren sollen 2,3 Milliarden Euro in die Verbesserung der eigenen IT investiert werden. Neben dem Verlust von Daten treten bei Banken immer wieder Probleme mit der IT auf, so dass falsche Kontostände angezeigt werden oder Buchungen nicht ausgeführt werden.