Kreditkarten Daten-Leck
Veröffentlicht von Oliver Polenz in News am 4. August, 2018 um 8:53 Uhr - Foto: Thinkstock / turk_stock_photographer

US-Kreditkartenaussteller TCM Bank hat Kundendaten ungewollt durchsickern lassen

Eine Fehlkonfiguration sorgte jetzt dafür, dass die TCM Bank die Daten von Kreditkartenbewerbern enthüllt hat. Zu den Daten gehören die Namen, Geburtsdaten, Adressen und Sozialversicherungsnummern.

Betroffen sind Tausende von Kunden, die sich zwischen Anfang März 2017 und Mitte Juli 2018 für eine Kreditkarte beworben haben.

Ein peinlicher Vorfall, der rasch gelöst wurde

Die TCM Bank ist eine Tochtergesellschaft der in Washington DC ansässigen ICBA Bancard Inc. Sie unterstützt mehr als 750 kleine US-Banken bei der Ausgabe von Kreditkarten. Es ist ein Geschäft, welches etliche Millionen einbringt. Dabei werden von den Kunden sensible Daten herausgegeben, die normalerweise Dritten nicht in die Hände fallen.

Durch ein Missgeschick ist dies bei der TCM Bank jedoch in den vergangenen Monaten passiert: Antragssteller hatten ihre Daten auf eine Webseite hochgeladen, die von einem Drittanbieter verwaltet wird und der diese ungewollt veröffentlichte.

Als die Bank dies am 16. Juli 2018 feststellte, sei das Problem am nächsten Tag gelöst worden. Kürzlich sind Briefe an die betroffenen Kunden herausgegangen. Es waren insgesamt lediglich 10.000 Verbraucher.

Welcher Drittanbieter versagt hatte, wollte ein Unternehmenssprecher von TCM aus vertraglichen Gründen nicht nennen. Er sei allerdings von der Bank aufgefordert worden, seine Technologien und Verfahren zu prüfen, um ähnliche Probleme zu identifizieren und vorzubeugen.

Drittanbieter: mal Sündenbock, mal die wirklichen Schuldigen

Die ICBA Bancard ist eine Zahlungstochter der Independent Community Bankers of America. Es ist eine Organisation, welche über 5.700 Finanzinstitute in den USA vertritt. In der Vergangenheit hat sie sich lautstark dafür starkgemacht, Händler für Kreditkartenverstöße zur Rechenschaft zu ziehen.

So zog 2017 die ICBA Equifax wegen der massiven Datenverstöße des Big-Three-Kreditbüros vor Gericht. Sie hatten die Sozialversicherungsnummern und andere sensible Daten von nahezu 150 Millionen US-Amerikanern enthüllt.

Es ist nicht selten, dass Unternehmen mit Datenlecks bevorzugt die Schuld für das Geschehen den Drittanbieter geben. Sie hätten die vertraulichen Informationen falsch behandelt. Teilweise liegt die Schuld tatsächlich bei den Drittanbietern. Leider klingen diese Vorwürfe in den Ohren der Betroffenen jedoch sehr oberflächlich.

Identitätsdiebstahlschutzanbieter LifeLock hat die Fehlkonfiguration seiner Website, bei der die E-Mail-Adressen von Millionen von Kunden offenlegt wurden, einen unbenannten Drittanbieter in die Schuhe geschoben. Ob dies gerechtfertigt ist, kann nicht nachgeprüft werden.

Banken in der Sorgfaltspflicht

Zweifelsohne ist das Management von Drittanbieter-Risiken vor allem für Organisationen mit Hunderten oder Tausenden von Partnern sehr schwierig. Nicht alles kann rund um die Uhr überprüft werden. Vertrauen in diesen Partnerschaften ist wichtig, damit es für das Unternehmen eine tatsächliche Arbeitserleichterung gibt.

Branchenexperten fordern trotzdem von Banken und anderen Unternehmen, die sensible Kundendaten sammeln, dass sie mit zu deren Sicherheit beitragen. Hierzu gehöre nicht nur die Auswahl der geeigneten Partner, sondern auch deren stetige Überprüfung. So könne verhindert werden, dass die Kunden das Vertrauen in ihre Bank verlieren.