Der nachfolgende Erlebnisbericht ist so unglaublich, dass er glatt aus dem berühmten Paulanergarten stammen könnte – würde ich den Betroffenen nicht seit über 10 Jahren kennen. Daher weiß ich – das Beschriebene hat so stattgefunden. Also einmal tief durchatmen – und los!
Was ist passiert?
Ein langjähriger Geschäftspartner unterhielt seit mehr als 15 Jahren seine geschäftliche Bankverbindung mit einer großen deutschen Privat- und Geschäftskundenbank – nennen wir sie in diesem Artikel die X-Bank. Die X-Bank rief kürzlich bei meinem Geschäftspartner an; man bedauere, dass leider “systembedingt” am darauffolgenden Tag die Kündigung der Bankverbindung auf postalischem Wege eintreffen werde. Dies sei leider nur dadurch zu verhindern, dass die Bank in wenigen Minuten eine Email mit einem passwort-geschützten Anhang senden würde. Durch Öffnen des Anhangs (mittels des telefonisch übermittelten Passworts), Ausfüllen der darin angeforderten Informationen und umgehende Rücksendung an die Bank könne mein Geschäftspartner die Kündigung in letzter Minute noch verhindern.
Klingt nach einem Social Engineering-Angriff? Dachte sich mein Geschäftspartner auch – und zog geistesgegenwärtig noch während des laufenden Telefonats einen Kollegen hinzu. Dieser recherchierte im laufenden Gespräch auf der Webseite der X-Bank – auf der ausdrücklich vor solchen Anrufen und der vorgetragenen Story gewarnt wurde. Gemeinsam kamen beide zu dem Schluss, dass es sich um einen Betrugsfall handeln müsse – obgleich die Rufnummer im Display zweifelsfrei die der X-Bank war (was, so wussten beide, Betrüger leicht fälschen können). Folglich haben die beiden das Gespräch beendet.
Überraschung: am nächsten Tag trudelte tatsächlich auf dem Postweg ein Kündigungsschreiben der X-Bank ein. Man müsse die Geschäftsbeziehung leider mit Verweis auf verschiedene Paragrafen des Kreditwesengesetzes beenden. Das Telefonat vom Vortag was also echt – und kein betrügerischer Anruf, wie vermutet – und wie er so oft vorkommt.
Was danach geschah …
Mein Geschäftspartner war nachvollziehbarer Weise völlig “von den Socken”. Er hat bei der X-Bank angerufen und den Fall geschildert: Er habe zuerst am Tag zuvor einen von ihm als als betrügerisch eingeschätzten Telefonanruf und am Tag des Anrufs bei der X-Bank deren schriftliche Kündigung der Bankverbindung erhalten – und bat darum, den Vorgang nachzuvollziehen und die Kündigung aufzuhalten. Ein Unternehmen ohne Bankverbindung ist schließlich nur bedingt arbeitsfähig … . Die Dame am Telefon konnte auf den ersten Blick im System nichts finden und bat um etwas Geduld. Nach einer kurzen Recherche meldete sie sich zurück; leider stimme das, die Kündigung sei erfolgt, da mein Geschäftspartner seiner Verpflichtung zum Nachweis des wirtschaftlich Berechtigten für die Kontoverbindung seines Unternehmens nicht nachgekommen sei. Es habe Wochen zuvor eine postalische Aufforderung der X-Bank zur Abgabe einer entsprechenden Auskunft gegeben, der mein Geschäftspartner nicht nachgekommen sei. Und außerdem am Tag zuvor einen Telefonanruf seitens “der Fachabteilung”, um die Kündigung “im letzten Moment noch zu verhindern”…
Moment, sagte mein Geschäftspartner – er habe die Auskunft sehr wohl wie gefordert abgegeben – sogar noch in derselben Woche, in der er dazu aufgefordert wurde. Er habe das mehrseitige Formular ausgefüllt und wie gefordert ausgedruckt und mit eigenhändiger Unterschrift versehen an die X-Bank zurück geschickt. Zwischen dem postalischen Versand und dem Telefonat mit der X-Bank waren mehrere Wochen vergangen.
Da könne sie nun leider nichts machen, sagte die Dame von der X-Bank am Telefon. Im System seien die Informationen nicht sichtbar, weswegen die Kündigung nun wirksam werde. Auf die Frage meines Geschäftspartner, ob sie diese bitte zurücknehmen möge, bekam er die lapidare Antwort: das sei leider systemseitig nicht möglich. Es handle sich um einen Automatismus, den sie nicht aufhalten könne.
Mehrere Telefonate mit verschiedenen Vertretern der X-Bank später kam heraus: die Rückantwort meines Geschäftspartners auf das Auskunftsersuchen der X-Bank war sehr wohl dort eingegangen, wie die Bank eingeräumt hat. Leider habe es einen Bearbeitungsrückstand gegeben und die Informationen meines Geschäftspartners seien noch im Posteingangskorb gelegen. Alle Bankverbindungen, für die bis zu einem bestimmten Stichtag die Informationen zum wirtschaftlich Berechtigten nicht ins System eingepflegt wurden, würden automatisch gekündigt. Die wenig kundenfreundliche Auskunft auf die Frage, was man nun tun könne – und ob die X-Bank-Repräsentantin irgendwie die Kündigung rückgängig machen könne, lautete: nichts. Es handle sich, wie schon einige Tage vorher durch die andere Mitarbeiterin kommuniziert, um einen nicht umkehrbaren Vorgang. Eine Wiedergutmachung – in welcher Form auch immer – könne sie leider nicht anbieten. Eine Entschuldigung oder ein irgendwie ausgedrücktes Bedauern seitens der Bank gab es auch nicht.
Halten wir fest: die X-Bank kündigt eine mehr als 15 Jahre lang bestehende Bankverbindung – weil sie eigenverschuldet über mehrere Wochen lang nicht in der Lage war, die fristgerecht eingegangenen Informationen zum wirtschaftlich Berechtigten des Unternehmens meines Geschäftspartners in ihre Systeme einzutragen. Mittels eines Automatismus‘, der sich durch manuelle Eingriffe von Bankmitarbeitern nicht aufhalten lässt.
Gibt’s doch gar nicht? Das dachte ich mir auch. Umso mehr lohnt eine kurze Analyse. Das geschilderte Szenario hat für mich zwei Dimensionen:
Schauen wir zunächst auf die bankinternen Abläufe. Ich frage mich zum einen, wie es im Jahr 2024 möglich sein kann, dass “systemseitige Automatismen” dazu führen, dass eine langjährige Kundenbeziehung gekündigt wird – und niemand in der Lage ist, diese Kündigung manuell aufzuhalten. Und weiter: wie kann es sein, dass ein Kunde angeforderte, regulatorisch notwendige Informationen fristgerecht einliefert – und diese dann bei der Bank einfach liegenbleiben? Ich sehe schon die üblichen Standardausreden vor mir: “aufgrund eines unerwartet hohen Anfrageaufkommens war es uns leider nicht möglich….”. Ehrlich, X-Bank? Ihr tragt die Konsequenzen aus Euren Obliegenheiten gegenüber der BaFin auf dem Rücken Eurer Kunden aus – indem ihr Bankverbindungen einfach so kündigt? Weil ihr nicht in der Lage ward, vorhandene Informationen in Eure Systeme einzupflegen? Dafür gibt’s nur ein Wort – das ist einfach nur: lächerlich!
Und nun zur IT-Sicherheit: wir betreiben viel Aufwand, um die Menschen für Gefahren und Angriffe aus dem Cyber-Raum zu sensibilisieren. Der eingangs beschriebene Anruf ist mittlerweile einer der Klassiker, um arglose Bankkunden zur Preisgabe von Zugangsdaten zu bewegen. Das Vorgehen war sogar auf der X-Bank-Webseite unter der Rubrik “Aktuelle Sicherheitshinweise” beschrieben. Wie kommt dann eine namhafte Bank wie die X-Bank darauf, für die Kundenansprache exakt dieselbe “Masche” zu verwenden wie Betrüger? Ich wollte meinem Geschäftspartner – der sich außerhalb der IT-Sicherheitsbranche bewegt – gerne zur gezeigten Sensibilität für Cyber-Gefahren gratulieren – und musste feststellen, dass in diesem Fall der Anruf echt war. Wie kann das sein? Wer bei der X-Bank trifft solche Entscheidungen, Mitarbeitende bei Kunden anrufen zu lassen – und zu erzählen, dass eine unmittelbare Kündigung der Bankverbindung drohe? Das kann doch nicht wirklich sein. Doch, kann es – bei der X-Bank!
Die X-Bank hat jetzt einen Unternehmer-Kunden weniger. Und ich zweifle ernsthaft an der Kompetenz der handelnden Menschen dort. Es ist mir unerklärlich, wie amateurhaft man sich als eine der größten Banken der Republik so dilettantisch verhalten kann – sowohl in Sachen IT-Sicherheit, also auch in Bezug auf den Umgang mit seinen Kunden. Ich bin mir sicher: jeder mittelständische Unternehmer, der so mit seiner Kundschaft umgeht, könnte seine Firma innerhalb kürzester Zeit zusperren. Die X-Bank nicht. Und ich schüttle den Kopf, wenn ich an den großflächig plakatierten Werbebotschaften vorbeilaufe.
Tags
Beitrag teilen
Thomas Neeff 
Thomas Neeff 
