E-Banking – Ein Luzerner Anwalt entdeckt in seinem E-Banking-Portal der Postfinance fremde Transaktionen. Der Finanzdienstleister spricht von einem Einzelfall.
Von Livio Brandenberg
Der Luzerner Anwalt Thomas Rothenbühler hat nicht schlecht gestaunt, als er sich vor gut einer Woche in das E-Banking-Konto seiner Kanzlei bei der Postfinance eingeloggt hat. An der Stelle eines Felds, wo normalerweise Postfinance-Eigenwerbung zu finden ist (siehe Bildstrecke), fand Rothenbühler ein Feld mit der Bezeichnung «ESR/ASR» vor. ESR steht für den orangen Einzahlungsschein für Rechnungssteller. Aus Neugier klickte der Anwalt auf das ihm unbekannte Feld, nach einem weiteren Klick landete Rothenbühler auf einer Übersicht von eingehenden Transaktionen – jedoch nicht seiner eigenen. Ein Verstoss also gegen das Bankkundengeheimnis.
Dem Anwalt war schnell klar, dass mit dem neuen Feld auf seiner Einstiegsseite etwas nicht stimmen konnte, denn seine Kanzlei verwendet die ESR-Einzahlungsscheine gar nicht. «Als ich dann auf einzelne Transaktionen geklickt habe, konnte ich eingehende Zahlungen mit allen Detailangaben auf dem fremden Konto einsehen, zurück bis in den Juli 2015», erzählt Rothenbühler. Mit einem einfachen Trick fand Rothenbühler schnell heraus, wem das falsch bei ihm aufgeschaltete Postfinance-Konto gehört. Er öffnete eine Überweisungsmaske – als würde er eine Zahlung tätigen wollen –, in die er die Kontonummer eintippte. Und sogleich erschien der «Begünstigte»: Société pour le Quartier de l’Innovation de l’EPFL Lausanne – die Vereinigung des Innovationsparks der ETH Lausanne.
Auch die Mitarbeiter waren ratlos
Rothenbühler meldete sich umgehend beim Kundenservice der Postfinance und schilderte die Angelegenheit im Detail. Dass er auf einen Teil der Bewegungen eines fremden Kontos Zugriff hatte, war ihm äusserst unangenehm. Doch als er den Fall geschildert habe, habe ihm der zuständige Sachbearbeiter erst glauben wollen, nachdem Rothenbühler diesen per Fernzugriff auf seine E-Banking-Seite zugreifen liess. Der Postfinance-Mitarbeiter sei dann auch ratlos gewesen und habe lediglich gesagt, dass es sich um einen Fehler handle und dass diese Kontoinformationen so nicht ersichtlich sein dürften, erzählt Thomas Rothenbühler. Der Anwalt wurde an die Technik-Abteilung weitergeleitet. Auch dort wiegelte man ab. «Ich äusserte meine Bedenken, dass so etwas ein weiteres Mal vorfallen könnte, und wollte wissen, ob auch das Konto meiner Kanzlei in irgendeiner Weise betroffen sei», sagt Rothenbühler. Doch der Postfinance-Techniker habe nur geantwortet, das sei sicher nicht der Fall, und er solle sich nicht weiter sorgen; er werde über die Untersuchung des Vorfalls informiert.
Die Betroffenen wurden noch nicht informiert
Thomas Rothenbühler macht keinen Hehl daraus, dass er sich vorkam, als wolle man ihn abspeisen. Doch er beliess es beim Versprechen des Postfinance-Spezialisten und wartete auf eine Erklärung. Nach einer Woche ohne Bescheid entschied er sich, die Sache publik zu machen. «Das ist nicht, was ich unter Krisenmanagement verstehe», sagt Rothenbühler. Er hätte mindestens eine Erklärung erwartet. Immerhin wurde das Feld auf der Einstiegsseite zügig entfernt.
«Das ist nicht, was ich unter Krisenmanagement verstehe.»
Peter Rothenbühler, Luzerner Anwalt
Ein Sprecher der ETH Lausanne kann auf Anfrage nicht bestätigen, dass sich die Postfinance bei der Hochschule, deren Konto betroffen war, gemeldet und über den Vorfall aufgeklärt hat. Klarheit schafft in diesem Punkt Postfinance-Sprecherin Sabine Zeilinger: «Dass Herr Rothenbühler noch keine Antwort erhalten hat und auch dass die ETH Lausanne noch nicht informiert wurde, ist einem internen Missverständnis geschuldet. Da zwei verschiedene Personen an diesem Fall gearbeitet haben, fiel das zwischen Stuhl und Bank.» Die Postfinance habe diesen Fall untersucht und aufgearbeitet, so Zeilinger weiter. «Es handelte sich um eine falsche Auslieferung, also eine technische Störung, die von unserer Seite auch erkannt und innert kurzer Zeit behoben wurde», erklärt die Postfinance-Sprecherin. Und: «Dass Herr Rothenbühler sich zu diesem Zeitpunkt eingeloggt hat und diesen Fehler gesehen hat, grenzt an Zufall», so Zeilinger. Diese Aussage steht allerdings im Widerspruch zur Darstellung des Luzerner Anwalts. Und dem Befund, es habe sich um einen technischen Fehler gehandelt, widerspricht ein Branchenkenner. Solchen Störungen würden praktisch immer auch menschliche Fehler zu Grunde liegen. Denn die E-Banking-Software sei technisch äusserst solide, auch dank verschiedener Kontrollprozesse.
«Handelt sich um unseren Fehler»
Auf die Frage, ob es auch andere solche oder ähnliche Fälle gegeben habe bei der Postfinance, antwortet Sabine Zeilinger: «Grundsätzlich handelt es sich hier um einen Einzelfall.» Untätig wird die Postfinance im vorliegenden Fall deswegen aber nicht bleiben, wie die Sprecherin sagt: «Wir werden uns spätestens am Montag bei Herrn Rothenbühler und bei der ETH Lausanne melden und den Fall erklären. Auch werden wir uns umfassend bei den Betroffenen für die Angelegenheit entschuldigen, da es sich um unseren Fehler handelt.»
Für Thomas Rothenbühler ist die Sache damit aber noch nicht erledigt: «Mich würde interessieren, was die Postfinance unternimmt, um solche Versehen inskünftig zu vermeiden.»
____________________________________________
Postfinance – E-Finance:
Die Postfinance zählt zu den grössten E-Banking-Anbietern der Schweiz; sie nennt das Online-Angebot «E-Finance». Im Jahr 2014 zählte sie rund 2,9 Millionen Privat- und Geschäftskunden. Davon nutzen zirka 1,6 Millionen «E-Finance». ■
____________________________________________
Update:
Nach der Veröffentlichung dieses Artikels in der «Neuen Luzerner Zeitung» am 24. Oktober 2015 gab es zahlreiche Reaktionen, so zum Beispiel auf Twitter:
O MY GOD! https://t.co/ASznPRgL2Y
— Peter Schneider (@PSPresseschau) October 24, 2015
@PSPresseschau Erstaunt mich nicht. Wenn ich bei @PostFinance eine neue Kreditkarte bestelle, wird die eigenmächtig an meinen Mann geschickt
— Güzin Kar (@Guzinkar) October 24, 2015
@Guzinkar @PSPresseschau @PostFinance oder die Rechnung, meiner Frau, wird mir per mail mitgeteilt
— Gamma Hans (@weisseis) October 24, 2015
(Dieser Artikel ist in leicht anderer Form erschienen am 24. Oktober 2015 in der «Neuen Luzerner Zeitung».)