Daten­klau bei Scalable Capital Was Anleger jetzt wissen sollten

Daten­klau bei Scalable Capital - Was Anleger jetzt wissen sollten

Aufgrund eines unbe­rechtigten Zugriffs auf das Archiv von Scalable Capital sind möglicher­weise Daten von mehr als 30 000 Anlegern im Umlauf. Für Depots besteht laut Anbieter kein Risiko, da keine Pass­wörter geknackt wurden – doch Scalable-Kunden sollten wach­sam sein und mit Betrugs­versuchen wie Phishing und Identitäts­diebstahl rechnen. test.de sagt, welche Daten betroffen sind und was Betroffene tun können.

Unbe­rechtigter Zugriff auf Archivdokumente

Bei Scalable Capital, einem bekannten Robo-Advisor und Onlinebroker, hat es laut eigenen Angaben einen größeren „Daten­vorfall“ gegeben. Man habe die zuständigen Aufsichts­behörden darüber informiert. Wie der Anbieter seinen Kunden mitteilte, haben Unbe­kannte unbe­rechtigt auf Dokumente im digitalen Archiv von Scalable zugegriffen.

Wer ist betroffen?

Betroffen sind 23 000 aktive Kunden, außerdem weitere 9 000 Nutzer, die als Interes­senten oder Test­personen noch kein Konto eröffnet hatten, sowie ehemalige Kunden von Scalable Capital. Von dem Zugriff betroffen sind lediglich Anleger, die entweder die Vermögens­verwaltung oder das Brokerage von Scalable Capital nutzen. Nicht betroffen sind dagegen Kunden der ING, die eine Vermögens­verwaltung von Scalable abge­schlossen haben und Kunden, deren Vermögens­verwaltung unter der Marke Oskar läuft.

Welche Daten sind betroffen?

Bei den abge­griffenen Daten handelt es sich zum Beispiel um Ausweis­daten, aber auch Konto­nummern, Wert­papier­abrechnungen und steuerliche Daten wie die Steueridentifikations­nummer. Der Zugriff erfolgte nicht durch externe Hacker, sondern laut Scalable „unter Zuhilfe­nahme von unter­nehmens­internem Wissen“.

Kein Risiko für Wert­papiere oder geparktes Geld

Wie Scalable betont, bestand zu keinem Zeit­punkt eine Gefahr für das Kunden­vermögen und die im Depot verwahrten Wert­papiere. Auch die Pass­wörter und darauf gestützte Trans­aktionen waren demnach nicht von dem Vorfall betroffen.

Auf Betrugs- und Phishing-Versuche achten

Kunden von Scalable sollten dennoch wach­sam sein. Es ist möglich, dass die gestohlenen Daten für Betrugs- und Phishing-Versuche miss­braucht werden.

Phishing. Laut Scalable habe es bereits erste Kontakt­versuche gegeben. Betroffene Kunden sollten nicht auf solche E-Mails antworten, keine Auskünfte am Telefon geben – und Scalable umge­hend informieren (Phishing: Abfischen von Daten verhindern). „Kein seriöser Anbieter würde Sie dazu auffordern, per E-Mail oder per Telefon vertrauliche Zugangs­daten preis­zugeben“, betont Scalable.

Identitäts­diebstahl. Betrüger könnten zudem versuchen, die gestohlenen Daten für die Eröff­nung eines Kontos zu nutzen, warnt der Onlinebroker (Identitätsmissbrauch und Identitätsdiebstahl im Netz).

So schützen Sie sich vor Betrügern

  • Klicken Sie nicht auf Links in Mails, bevor Sie nicht absolut sicher sind, dass der Absender wirk­lich der ist, der er zu sein vorgibt.
  • Antworten Sie nicht auf Mails, in denen Sie aufgefordert werden, Ihre Pass­wörter oder Zahlungs­daten preis­zugeben. Seriöse Firmen fragen grund­sätzlich nicht per E-Mail nach derart sensiblen Daten.
  • Löschen Sie alte Internet­konten, die Sie nicht mehr nutzen, das macht Sie weniger angreif­bar. Die Webseite justdeleteme hilft dabei.
  • Wenn das Kind schon in den Brunnen gefallen ist und ein Betrüger in Ihrem Namen Verträge abge­schlossen hat: Zahlen Sie nicht!

Mehr zum Thema in unserem Special 10 Tipps für Sicheres Surfen.

Bei Verdacht die zuständige Behörde informieren

Auf seiner Internetseite nimmt Scalable ausführ­lich zu dem Vorfall Stellung und beant­wortet die wichtigsten Fragen zum aktuellen Vorfall. Anleger können sich mit Fragen oder Problemen aber auch an die zuständige Aufsichts­behörde wenden:

Bayerisches Landes­amt für Daten­schutz­aufsicht (BayLDA)
Promenade 18, 91522 Ansbach
Telefon: +49 (0) 981 180093–0
E-Mail: poststelle@lda.bayern.de.

Mehr zum Thema

  • Robo-Advisor-Vergleich Digitale Vermögens­verwaltung im Test

    - „Auto­matisierte Vermögens­verwaltung“ – klingt gut. Doch unser Robo-Advisor-Vergleich zeigt große Unterschiede bei Kosten und Qualität der Anlage­vorschläge.

  • Raisin Invest ETF Configurator Ein Helfer fürs ETF-Portfolio

    - Das Fintech Raisin bietet mit dem Raisin Invest ETF Configurator einen neuen ETF-Portfolio-Helfer an. Die Stiftung Warentest hat sich das Angebot angeschaut.

  • Nach­haltige Geld­anlage Wie gut beraten Banken?

    - Wir haben grüne Bank­beratung ausprobiert. Unser Fazit: Gute Ansätze, mittel­mäßige Fonds. Wirk­lich nach­haltig wird Ihr Depot mit den Top-Fonds aus unserem Fondsvergleich.

4 Kommentare Diskutieren Sie mit

Nur registrierte Nutzer können Kommentare verfassen. Bitte melden Sie sich an. Individuelle Fragen richten Sie bitte an den Leserservice.

Nutzer­kommentare können sich auf einen früheren Stand oder einen älteren Test beziehen.

Profilbild Stiftung_Warentest am 15.07.2021 um 11:25 Uhr
Schadensersatz

@Geschädigter315: Im ersten Schritt können sich Betroffene direkt bei Scalable beschweren und den Ersatz von Kosten verlangen, die ihnen im Rahmen der Beseitigung der Folgen des Datenlecks entstanden sind.
Hat das keinen Erfolg, ist der Weg zur Schlichtungsstelle eröffnet. Die zuständige Schlichtungsstelle finden Sie hier:
https://de.scalable.capital/impressum
Führt diese nicht zum gewünschten Erfolg, ist der Weg vor Gericht noch möglich. Dieser ist nicht mehr kostenfrei. Die rechtliche Durchsetzung eines Schadensersatzanspruches ist komplex und ohne die Zuhilfenahme rechtsanwaltlicher Hilfe für Laien schwer zu bewältigen. Vor dem Gang vor Gericht sollten Sie sich zu den Prozesskostenrisiken eines Verfahrens rechtsanwaltlich beraten lassen. (maa)

Geschädigter315 am 12.07.2021 um 21:58 Uhr
Betroffener

Welche Möglichkeiten gibt es rechtlich gegen Scalable vorzugehen. Leider werde ich seit etwa 2 Wochen täglich mit 10-20 Spam anrufen bombardiert, die meinen vollen Namen mit allen Vornamen einen angeblichen Gewinn versprechen. Da ich diese Daten lediglich bei wenigen Banken habe, können die Daten in Zusammenhang mit meiner nicht öffentlichen Handynummer nur aus diesem Datensatz stammen. Selbstverständlich habe ich bei den anrufen nie geantwortet oder ähnliches, mittlerweile hebe ich schweigend ab, dann wird immer sofort aufgelegt. Wer kommt für die Folgekostenverträge auf?
Danke

Profilbild Stiftung_Warentest am 04.11.2020 um 11:21 Uhr
Zahlungsdiensterichtlinie PSD2

@JürgenConny: Die Zahlungsdiensterichtlinie PSD2 gilt nur für den Zahlungsverkehr. Die Auslösung eines Kaufes oder Verkaufes von Wertpapieren über Scalable allein ist noch kein Zahlungsvorgang im Sinne der Zahlungsdiensterichtlinie. In den FAQ der Scalable Capital erklärt der Anbieter, warum Ein- und Auszahlungen nicht mit Zwei-Faktor-Authentifizierung geschützt sind:
„Ein- und Auszahlungen erfolgen ausschließlich über das von Ihnen angegebene Referenzkonto. Daher ist die Änderung des Referenzkontos ein besonders schützenswerter Vorgang. Dieser ist nur mit Zwei-Faktor-Authentifizierung möglich. (maa)

JürgenConny am 30.10.2020 um 09:45 Uhr
Zahlungsdiensterichtlinie PSD2?

Gilt bei einem Smartphone-Broker eigentlich nicht auch die Zahlungsdiensterichtlinie PSD2?
Während man sich beim Onlinebanking meist mehrfach authentifizieren und jede Transaktion (z.B. Überweisung), aber z.T. auch "nur" die Einsichtnahme in die Postbox oder das Anzeigen sämtlicher Umsatzdaten durch eine zusätzliche TAN-Freigabe bestätigen muss, verzichtet Scalabel auf jegliche Kundenauthentifizierung - zumindest auf der Internetseite.
Hier genügt es, sich mit E-Mail und einem selbst gewählten Passwort zu registrieren und man kann jegliche Transaktion (Wertpapier-Aufträge, Sparpläne) in beliebiger Höhe beauftragen und auch sämtliche Umsatzdaten einsehen, ohne eine zusätzliche TAN eingeben zu müssen. Über Scalable kann man - nach einfacher Anmeldung mit E-Mail und Passwort - auch Ein- und Auszahlungen auf sein Bankkonto in beliebiger Höhe vornehmen, ohne eine TAN eingeben zu müssen. Mit der durch PSD2 versprochenen "starken Kundenauthentifizierung" hat das wenig zu tun.
Darf das sei