Aufgrund eines unberechtigten Zugriffs auf das Archiv von Scalable Capital sind möglicherweise Daten von mehr als 30 000 Anlegern im Umlauf. Für Depots besteht laut Anbieter kein Risiko, da keine Passwörter geknackt wurden – doch Scalable-Kunden sollten wachsam sein und mit Betrugsversuchen wie Phishing und Identitätsdiebstahl rechnen. test.de sagt, welche Daten betroffen sind und was Betroffene tun können.
Unberechtigter Zugriff auf Archivdokumente
Bei Scalable Capital, einem bekannten Robo-Advisor und Onlinebroker, hat es laut eigenen Angaben einen größeren „Datenvorfall“ gegeben. Man habe die zuständigen Aufsichtsbehörden darüber informiert. Wie der Anbieter seinen Kunden mitteilte, haben Unbekannte unberechtigt auf Dokumente im digitalen Archiv von Scalable zugegriffen.
Wer ist betroffen?
Betroffen sind 23 000 aktive Kunden, außerdem weitere 9 000 Nutzer, die als Interessenten oder Testpersonen noch kein Konto eröffnet hatten, sowie ehemalige Kunden von Scalable Capital. Von dem Zugriff betroffen sind lediglich Anleger, die entweder die Vermögensverwaltung oder das Brokerage von Scalable Capital nutzen. Nicht betroffen sind dagegen Kunden der ING, die eine Vermögensverwaltung von Scalable abgeschlossen haben und Kunden, deren Vermögensverwaltung unter der Marke Oskar läuft.
Welche Daten sind betroffen?
Bei den abgegriffenen Daten handelt es sich zum Beispiel um Ausweisdaten, aber auch Kontonummern, Wertpapierabrechnungen und steuerliche Daten wie die Steueridentifikationsnummer. Der Zugriff erfolgte nicht durch externe Hacker, sondern laut Scalable „unter Zuhilfenahme von unternehmensinternem Wissen“.
Kein Risiko für Wertpapiere oder geparktes Geld
Wie Scalable betont, bestand zu keinem Zeitpunkt eine Gefahr für das Kundenvermögen und die im Depot verwahrten Wertpapiere. Auch die Passwörter und darauf gestützte Transaktionen waren demnach nicht von dem Vorfall betroffen.
Auf Betrugs- und Phishing-Versuche achten
Kunden von Scalable sollten dennoch wachsam sein. Es ist möglich, dass die gestohlenen Daten für Betrugs- und Phishing-Versuche missbraucht werden.
Phishing. Laut Scalable habe es bereits erste Kontaktversuche gegeben. Betroffene Kunden sollten nicht auf solche E-Mails antworten, keine Auskünfte am Telefon geben – und Scalable umgehend informieren (Phishing: Abfischen von Daten verhindern). „Kein seriöser Anbieter würde Sie dazu auffordern, per E-Mail oder per Telefon vertrauliche Zugangsdaten preiszugeben“, betont Scalable.
Identitätsdiebstahl. Betrüger könnten zudem versuchen, die gestohlenen Daten für die Eröffnung eines Kontos zu nutzen, warnt der Onlinebroker (Identitätsmissbrauch und Identitätsdiebstahl im Netz).
So schützen Sie sich vor Betrügern
- Klicken Sie nicht auf Links in Mails, bevor Sie nicht absolut sicher sind, dass der Absender wirklich der ist, der er zu sein vorgibt.
- Antworten Sie nicht auf Mails, in denen Sie aufgefordert werden, Ihre Passwörter oder Zahlungsdaten preiszugeben. Seriöse Firmen fragen grundsätzlich nicht per E-Mail nach derart sensiblen Daten.
- Löschen Sie alte Internetkonten, die Sie nicht mehr nutzen, das macht Sie weniger angreifbar. Die Webseite justdeleteme hilft dabei.
- Wenn das Kind schon in den Brunnen gefallen ist und ein Betrüger in Ihrem Namen Verträge abgeschlossen hat: Zahlen Sie nicht!
Mehr zum Thema in unserem Special 10 Tipps für Sicheres Surfen.
Bei Verdacht die zuständige Behörde informieren
Auf seiner Internetseite nimmt Scalable ausführlich zu dem Vorfall Stellung und beantwortet die wichtigsten Fragen zum aktuellen Vorfall. Anleger können sich mit Fragen oder Problemen aber auch an die zuständige Aufsichtsbehörde wenden:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: +49 (0) 981 180093–0
E-Mail: poststelle@lda.bayern.de.
-
Digitale Vermögensverwaltung im Test
- „Automatisierte Vermögensverwaltung“ – klingt gut. Doch unser Robo-Advisor-Vergleich zeigt große Unterschiede bei Kosten und Qualität der Anlagevorschläge.
-
Fonds-Portfolios für vier Anlegertypen – eine gute Idee?
- Das Internetportal Weltsparen bietet mit Weltinvest einfache Fonds-Portfolios für verschiedene Anlegertypen als Komplettpaket. Je nach Risikotyp entscheiden sich die...
-
Pixit kommt, Werthstein geht
- Robo-Advisors bieten automatisierte Vermögensverwaltung mit Fonds. In der jungen Branche ist vieles in Bewegung: ein neuer Anbieter, Kooperationen und eine Schließung....
Diskutieren Sie mit
Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.
Nutzerkommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.
@Geschädigter315: Im ersten Schritt können sich Betroffene direkt bei Scalable beschweren und den Ersatz von Kosten verlangen, die ihnen im Rahmen der Beseitigung der Folgen des Datenlecks entstanden sind.
Hat das keinen Erfolg, ist der Weg zur Schlichtungsstelle eröffnet. Die zuständige Schlichtungsstelle finden Sie hier:
https://de.scalable.capital/impressum
Führt diese nicht zum gewünschten Erfolg, ist der Weg vor Gericht noch möglich. Dieser ist nicht mehr kostenfrei. Die rechtliche Durchsetzung eines Schadensersatzanspruches ist komplex und ohne die Zuhilfenahme rechtsanwaltlicher Hilfe für Laien schwer zu bewältigen. Vor dem Gang vor Gericht sollten Sie sich zu den Prozesskostenrisiken eines Verfahrens rechtsanwaltlich beraten lassen. (maa)
Welche Möglichkeiten gibt es rechtlich gegen Scalable vorzugehen. Leider werde ich seit etwa 2 Wochen täglich mit 10-20 Spam anrufen bombardiert, die meinen vollen Namen mit allen Vornamen einen angeblichen Gewinn versprechen. Da ich diese Daten lediglich bei wenigen Banken habe, können die Daten in Zusammenhang mit meiner nicht öffentlichen Handynummer nur aus diesem Datensatz stammen. Selbstverständlich habe ich bei den anrufen nie geantwortet oder ähnliches, mittlerweile hebe ich schweigend ab, dann wird immer sofort aufgelegt. Wer kommt für die Folgekostenverträge auf?
Danke
@JürgenConny: Die Zahlungsdiensterichtlinie PSD2 gilt nur für den Zahlungsverkehr. Die Auslösung eines Kaufes oder Verkaufes von Wertpapieren über Scalable allein ist noch kein Zahlungsvorgang im Sinne der Zahlungsdiensterichtlinie. In den FAQ der Scalable Capital erklärt der Anbieter, warum Ein- und Auszahlungen nicht mit Zwei-Faktor-Authentifizierung geschützt sind:
„Ein- und Auszahlungen erfolgen ausschließlich über das von Ihnen angegebene Referenzkonto. Daher ist die Änderung des Referenzkontos ein besonders schützenswerter Vorgang. Dieser ist nur mit Zwei-Faktor-Authentifizierung möglich. (maa)
Gilt bei einem Smartphone-Broker eigentlich nicht auch die Zahlungsdiensterichtlinie PSD2?
Während man sich beim Onlinebanking meist mehrfach authentifizieren und jede Transaktion (z.B. Überweisung), aber z.T. auch "nur" die Einsichtnahme in die Postbox oder das Anzeigen sämtlicher Umsatzdaten durch eine zusätzliche TAN-Freigabe bestätigen muss, verzichtet Scalabel auf jegliche Kundenauthentifizierung - zumindest auf der Internetseite.
Hier genügt es, sich mit E-Mail und einem selbst gewählten Passwort zu registrieren und man kann jegliche Transaktion (Wertpapier-Aufträge, Sparpläne) in beliebiger Höhe beauftragen und auch sämtliche Umsatzdaten einsehen, ohne eine zusätzliche TAN eingeben zu müssen. Über Scalable kann man - nach einfacher Anmeldung mit E-Mail und Passwort - auch Ein- und Auszahlungen auf sein Bankkonto in beliebiger Höhe vornehmen, ohne eine TAN eingeben zu müssen. Mit der durch PSD2 versprochenen "starken Kundenauthentifizierung" hat das wenig zu tun.
Darf das sei