FRANKFURT (dpa-AFX) - Das am Freitag bekannt gewordene Datenleck bei einem Dienstleister für den Kontowechsel trifft mehr Bankkunden als zunächst bekannt. Auch die Direktbank ING und die zur Commerzbank gehörende Comdirect sind von dem Hackerangriff betroffen gewesen, wie beide Häuser am Dienstag bestätigten. Zuvor hatte das "Handelsblatt" berichtet.

Am Freitag hatte bereits die Deutsche Bank als Reaktion auf einen Medienbericht öffentlich gemacht, dass bei ihr und bei der Postbank personenbezogene Daten einer nicht genannten Anzahl von Kundinnen und Kunden in Hände von Unbekannten gelangt seien. Nach Informationen des "Bonner General-Anzeigers" ging es um Vornamen, Namen und Kontonummer (IBAN).

Ein Sprecher der ING Deutschland teilte am Dienstag auf Nachfrage mit: "Auch wir haben Kenntnis darüber, dass kürzlich ein Hackerangriff auf einen Dienstleister verübt wurde, mit dem wir im Rahmen der gesetzlichen Kontowechselhilfe zusammenarbeiten." Dabei hätten Unbefugte Zugriff auf personenbezogene Daten erhalten, die der Dienstleister für den Kontowechsel verarbeitet. "Nach aktuellem Kenntnisstand ist eine niedrige vierstellige Zahl an Kundinnen und Kunden betroffen, die im Rahmen einer Girokontoeröffnung bei uns die gesetzliche Kontowechselhilfe genutzt haben", hieß es von der ING.

Bei dem Dienstleister handelt es sich um die Majorel Deutschland GmbH, die über ihre 100-Prozent-Tochter Kontowechsel24.de Bankkunden den Wechsel von einem Geldhaus zum anderen erleichtern will. "Im Rahmen einer Sicherheitslücke der Software MOVEit, von der viele Unternehmen auf der ganzen Welt betroffen sind, ist Majorel Deutschland Ziel eines Hackerangriffs geworden", erklärte eine Majorel-Sprecherin. "Unser Cybersecurity-Team hat die Sicherheitslücke nach Bekanntwerden unverzüglich geschlossen und alle notwendigen Maßnahmen ergriffen, um die Sicherheit unserer Systeme zu gewährleisten."

Die Banken haben nach eigenen Angaben die betroffenen Kundinnen und Kunden über den Vorfall informiert. Die Deutsche Bank rief nach Angaben eines Sprechers Betroffene auf, ihre Konten auf verdächtige Abbuchungen oder ungewöhnliche Aktivitäten zu überprüfen. Unautorisierte Lastschriften könnten bis zu 13 Monate rückwirkend zurückgegeben werden. Das Geld werde dann von der Bank erstattet.

Im Fall von Deutscher Bank und Postbank ging es nach Angaben des größten deutschen Geldhauses um Kunden, die in den Jahren 2016, 2017, 2018 und 2020 den Kontowechsel-Service genutzt hatten. Auch bei der ING Deutschland handelt es sich nach Angaben eines Sprechers um Kontowechsel, die einige Jahre zurückliegen.

Eine Commerzbank-Sprecherin teilte am Dienstag mit: "Wir sind ausschließlich mit der Marke Comdirect vom Datenleck bei Majorel betroffen. Kunden der Marke Commerzbank sind nicht betroffen."

Seit September 2016 sind Geldinstitute in Deutschland gesetzlich verpflichtet, Verbraucherinnen und Verbraucher beim Kontowechsel zu unterstützen. Das neue Institut muss ein- und ausgehende Überweisungen sowie Lastschriften des alten Kontos übernehmen. Nach spätestens zwölf Geschäftstagen soll das neue Konto eingerichtet sein. Die Regelungen sind Teil des Zahlungskontengesetzes, mit dem eine EU-Richtlinie in deutsches Recht umgesetzt wurde.

Anbieter wie Kontowechsel24.de werben mit einem "schnellen und unkomplizierten" Wechsel der Bankverbindung. Im Geschäftsjahr 2019 führte das Unternehmen nach eigenen Angaben über sein System 400 000 Kontenwechsel durch und stellte drei Millionen Bankverbindungen um./ben/DP/ngu