IT-Sicherheitslücke : Bafin bestraft Deutsche Bank
Die Bafin hat der Deutschen Bank eine Geldstrafe von 50.000 Euro auferlegt. Grund ist die verspätete Meldung eines „kundenrelevanten IT-Sicherheitsvorfalls“, bei dem die Bank zudem laut der Bafin falsche Angaben gemacht hat.
Es soll sich um eine Sicherheitslücke bei der Kundenauthentifizierung zum Onlinebanking gehandelt haben. Betroffen waren Postbank-Kunden. Gemäß den Vorschriften müssen Banken die Bafin informieren, wenn es zu einem schwerwiegenden Betriebs- oder Sicherheitsvorfall bei ihren Zahlungsdiensten kommt. Dabei gelten enge Fristen. Spätestens nach 24 Stunden muss eine Bank angeben, ob der Vorfall schwerwiegend oder nicht ist. Steht von vornherein fest, dass es sich um eine schwerwiegende Angelegenheit handelt, bleiben Instituten nur vier Stunden zur Meldung.
Online-Zugang auf Postbank-Konten
Die in Rede stehende IT-Sicherheitslücke wurde im Juni 2023 entdeckt, zu einer Zeit, in der die Postbank große Probleme im Kundenservice hatte. Ein direkter Zusammenhang mit der IT-Datenmigration soll aber nicht bestehen. Auch konnte die Sicherheitslücke unmittelbar nach Entdeckung geschlossen werden. „Die Deutsche Bank hat einen Bußgeldbescheid der Bafin akzeptiert“, sagte ein Deutsche-Bank-Sprecher.