Pressemitteilung der Verbraucherzentrale Nordrhein-Westfalen

Eine schwere Sicherheitslücke bei Deutschlands größter Direktbank offenbarte ein Test der Verbraucherzentrale NRW: Wer Namen und Kontonummer eines Kunden kennt, kann auf einfachste Weise dessen ING-DiBa-Konto still legen.

Im September wandelte die Verbraucherzentrale NRW auf verbotenen Pfaden. Ihre Tester nämlich gedachten zu überprüfen, was sie so nicht glauben mochten: Wie einfach es ist, eines von bundesweit rund sieben Millionen ING-DiBa-Konten still zu legen. Beschafft hatten die Verbraucherschützer sich dazu das Einverständnis eines Kunden, der zuvor sein Tagesgeld-Guthaben auf wenige Euro reduziert hatte. Ausgerüstet allein mit dessen Namen sowie Kontonummer wurde der Kunde an der Hotline (0180-2 34 22 24) als "leider verstorben" gemeldet.

Der Anruf kostete die Verbraucherzentrale NRW gerade mal sechs Cent; der größten deutschen Direktbank dürfte er dagegen das Vertrauen kosten, verantwortungsvoll mit den Einlagen umzugehen. Denn binnen weniger Tage waren Tagesgeld-Konto und Wertpapier-Depot für den Kunden tot. Von der Hotline ging die mündliche Meldung an die Nachlass-Abteilung, die daraufhin das Ende der Zugriffsmöglichkeit vollzog.

Das alles passierte völlig ohne Nachweise: Weder wurde die PIN fürs Telefon-Banking verlangt, noch eine Sterbeurkunde oder ein Erbschein gefordert, geschweige denn die Identität des Anrufers überprüft. Die Angabe eines Phantasie-Namens und Phantasie-Adresse reichte aus.

Besonders schwer wiegt: Die Kontosperrung auf Zuruf ist kein Einzelfall. Die Verbaucherzentrale nämlich kennt einen weiteren ING-DiBa-Kunden, bei dem dies funktionierte.
Was ein ING-DiBa-Pressesprecher "normale Routine" nennt, ist für Markus Feck "eine üble Sicherheits-Panne". Der Finanzjurist der Verbraucherzentrale NRW sieht bei der ING-DiBa eine "schwere Verletzung ihrer Vertragspflichten", durch die sich die leichtfertige Bank unter Umständen schadenersatzpflichtig mache.

Die Folge: Für alle Kosten, die durch die Sperrung entstehen, muss die Bank gerade stehen. Das reicht von Straf-Zinsen für eine Überziehung des Kontos, die nicht ausgeglichen werden kann, bis hin zu Verlusten, weil geplante Aktienverkäufe nicht durchgeführt werden können. Und das kann – etwa bei einem Kurssturz der Wertpapiere - teuer werden.

In dem von der Verbraucherzentrale NRW provozierten Fall beispielsweise dauerte es mehr als vier Wochen, bis der tot gemeldete Kunde sich wieder erfolgreich beim Online-Banking einloggen konnte. Immer wieder wurde er zuvor von Mitarbeitern an der Hotline vertröstet: Die Freischaltung eines im Nachlass befindlichen Kontos sei "schließlich die Königsdisziplin".

Solcher Service nach ING-DiBa-Art dürfte einzigartig in Deutschland sein. Der Versuch der Verbraucherzentrale NRW, ähnliche Sicherheitslücken bei einem weiteren Dutzend Geldinstituten aufzuspüren, scheiterte jedenfalls schon im Ansatz. Ob große Filial- oder kleine Direkt-Bank – stets forderten die Mitarbeiter qualifizierte Nachweise sowohl über den Tod ihres Kunden als auch über die Identität des Meldenden.

Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung wiedergibt.