Hamburger Finanz-Start-up Kreditech untersucht Verlust von Nutzerdaten [Update]

Unbekannte haben offenbar Daten und Unterlagen des Hamburger Finanz-Start-ups Kreditech erbeutet. Der Sicherheitsexperte Brian Krebs wurde nach eigenen Angaben Anfang des Monats von einem 19-jährigen Internetnutzer aus West Virginia auf eine Website im Darknet aufmerksam gemacht, die die Daten vorhält. Eine Sprecherin des Unternehmens bestätigte ihm gegenüber einen „isolierten internen Sicherheitsvorfall“ im Sommer 2014. Die Hamburger Polizei haben jedoch bereits damals Ermittlungen eingeleitet.

Der Website zufolge hat sich eine Hackergruppe, die sich selbst „A4“ nennt, zu dem Diebstahl bekannt. Sie erbeutete demnach mehrere hundert Gigabyte Daten, darunter auch die Konfigurationsdateien der internen Server des Unternehmens. Außerdem enthielt die Website „zahllose Dokumente, gescannte Ausweise, Führerscheine und Kreditvereinbarungen“, die von Kreditechs Servern stammen sollen.

„Das Unternehmen, das millionenschwere Investitionen erhalten hat, hat wahrscheinlich entschieden, sie für alles Mögliche auszugeben, nicht aber für die Sicherheit der Daten ihrer Kunden“, zitiert Krebs aus einer auf der Website veröffentlichten Stellungnahme der Hacker. Die Sicherheit des Unternehmens sei „nicht schlecht“, sie sei „gar nicht vorhanden“. Die Gruppe kündigte an, alle entwendeten Daten zu veröffentlichen.

Kreditech vermute, es seien nur Daten von Nutzern entwendet worden, die einen Kreditantrag gestellt hätten – Daten von Kunden, also von Nutzern, denen ein Kredit gewährt wurde, seien nicht betroffen, so Krebs weiter. Die Kreditech-Sprecherin Anna Friedrich sagte ihm zufolge, ein Formular auf der Kreditech-Website habe Daten von Kreditanfragen zwischengespeichert. Sie seien erst nach einigen Tagen gelöscht worden. Einen Teil dieser Daten hätten die Hacker erbeutet.

Corey Wells, Krebs‘ Tippgeber, fand die Daten nach eigenen Angaben mit einem von ihm selbst entwickelten Crawler, der Websites indexieren soll, die nur über die Anonymisierungssoftware Tor erreichbar sind. Von ihm gefundene Log-Dateien mit dem Datum 19. August 2014 legen die Vermutung nahe, dass der Einbruch bereits vor sieben Monaten begann.

Wells zweifelt Krebs zufolge zudem die Aussage des Start-ups an, es seien keine Kundendaten entwendet worden. „Es gibt Beträge für Überweisungen und Kontosalden“, sagte Wells. „Einige davon sehen so aus, als hätten Leute bereits Konten bei ihnen.“

Kreditech orientiert sich bei der Kreditvergabe nicht alleine an einer klassischen Kreditauskunft, sondern bezieht Social-Networking-Daten ein, um das Risiko für einen Kredit zu ermitteln. Damit spricht es auch Kunden an, die ansonsten möglicherweise als nicht kreditwürdig gelten. In seine Risikobewertung bezieht das Unternehmen nach eigenen Angaben bis zu 15.000 Datenpunkte ein.

Wie TechCrunch berichtet, erhielt Kreditech Anfang des Jahres 200 Millionen Dollar Risikokapital von der US-Investmentfirma Victory Park Capital. Aus den entwendeten Daten geht laut Krebs hervor, dass Kreditech seine Dienste aber weder in den USA noch in Deutschland anbietet. Die Mehrheit der Kunden komme aus Ländern wie Brasilien, Tschechien, Mexiko, Polen, Russland, Spanien, Rumänien und der Dominikanischen Republik. Kreditech zweifelt auch diese Information an: In Brasilien und Rumänien plan man den Markteintritt zwar, sei jedoch noch nicht aktiv. Krebs habe den Sachverhalt diesbezüglich daher nicht korrekt wiedergegeben.

Update 25. März 11 Uhr 20: Inzwischen liegt auch ZDNet eine Stellungnahme des Unternehmens vor. Darin betont Kreditech noch einmal, dass man bereits 2014 sofort die Polizei informiert habe. Außerdem habe man Tests von internen und externen Experten durchführen lassen. Diese hätten bestätigt, dass der Zugriff auf das Kreditech-System von außen weder damals möglich war noch heute möglich ist. Die Kritik von Krebs an den Sicherheitsstandards bezeichnet man daher als „nicht nachvollziehbar und nicht richtig“. Es habe sich um ein „internes Problem“ gehandelt und man habe inzwischen Maßnahmen ergriffen um auszuschließen, dass ein vergleichbares Problem künftig noch einmal auftritt.

Tipp: Kennen Sie die berühmtesten Hacker? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.