Lloyds-Banking-Panne legte Daten von fast einer halben Million Kunden offen – und die Entschädigung ist ein schlechter Witz
Ein API-Fehler bei Lloyds legte am 12. März die Daten von fast 448.000 Kunden offen. Die durchschnittliche Entschädigung: £38,34. Was das bedeutet und warum Behörden ermitteln.
Ein vierstündiges Chaos-Fenster
Wer am Morgen des 12. März sein Konto bei Lloyds nutzte und zufällig einen Blick in fremde Finanzen warf, hatte kurzzeitig Glück. Ein Softwarefehler, der bei einem nächtlichen IT-Update eingeschleust wurde, brach die Kontoisolierung in der mobilen App der Bank auf. Kunden konnten versehentlich die Transaktionsdaten anderer Personen einsehen. Die Panne dauerte von 03:28 bis 08:08 Uhr GMT – ein Zeitfenster von knapp fünf Stunden, das seitdem zu einem ziemlich kostspieligen Kopfzerbrechen für Großbritanniens größte Privatkundenbank geworden ist.
In einem Schreiben an den Treasury Select Committee bestätigte Lloyds, dass bis zu 447.936 Kunden potenziell betroffen waren. Davon haben 114.182 tatsächlich durchgeklickt und die Transaktionen anderer Personen eingesehen – möglicherweise einschließlich sensibler Details wie Sozialversicherungsnummern. Das ist kein kleiner Ausrutscher. Das ist ein erschreckender Vertrauensbruch, um die Worte der Ausschussvorsitzenden Dame Meg Hillier zu verwenden.
Was genau ist schiefgelaufen?
Die Ursache war ein API-Fehler. Wenn zwei Nutzer dieselbe Funktion innerhalb von Bruchteilen einer Sekunde aufriefen, verwechselte das System schlicht, wessen Daten zu wem gehörten. Die Kontoisolierung brach zusammen, und plötzlich war Ihre Dienstag-Morgen-Kaffee-Transaktion die Bettlektüre eines Fremden.
Während des Vorfallzeitraums loggten sich 1,67 Millionen der 21,5 Millionen Nutzer der mobilen App ein. Nur Girokonten waren betroffen, und die Bank besteht darauf, dass keine Kontostände kompromittiert wurden und kein Kunde einen finanziellen Schaden erlitten hat. Ein schwacher Trost – wobei man vermuten darf, dass die rund 114.000 Personen, deren Sozialversicherungsnummern einsehbar waren, "Schaden" etwas weiter fassen würden.
Die Entschädigung, die kaum eine Runde Getränke deckt
Hier wird es richtig augenbrauen-hebend. Lloyds hat £139.000 als Kulanzleistungen ausgezahlt – verteilt auf gerade einmal 3.625 Kunden. Wer zum Taschenrechner greift, kommt auf etwa £38,34 pro Person.
Achtunddreißig Pfund. Dafür, dass persönliche Finanzdaten und die Sozialversicherungsnummer Fremden zugänglich gemacht wurden. Man könnte argumentieren, das deckt kaum die emotionale Belastung durch die Erkenntnis, dass die eigene Bank keine sauberen APIs hinbekommt – von der Zeit, die man sich wegen Identitätsbetrugs sorgt, ganz zu schweigen. Ob Lloyds diese Angelegenheit mit so bescheidenen Zahlungen als erledigt betrachtet, bleibt abzuwarten. Die Außenwirkung ist jedenfalls alles andere als gut.
Die Aufsichtsbehörden kreisen bereits
Die Financial Conduct Authority hat bestätigt, dass sie sich aktiv mit Lloyds Banking Group wegen des Vorfalls befasst. Gleichzeitig stellt die Information Commissioner's Office Nachforschungen an, obwohl Lloyds den ICO zumindest innerhalb des vorgeschriebenen 72-Stunden-Fensters informiert hat. Prompte Bürokratie macht den Datenschutzverstoß nicht ungeschehen, deutet aber darauf hin, dass jemand in der Compliance aufgepasst hat – auch wenn die API es nicht tat.
Auch der Treasury Select Committee lässt die Sache nicht still verschwinden. Dame Meg Hillier hat von der Bank sowohl einen Ein-Monats- als auch einen Sechs-Monats-Folgebericht gefordert und sorgt damit dafür, dass das Thema bis weit in den Herbst auf der Agenda bleibt.
Das große Ganze
Lloyds Banking Group betreut rund 26 Millionen Kunden über seine verschiedenen Marken. In dieser Größenordnung skaliert ein Softwarefehler spektakulär. Die Tatsache, dass eine einzige nächtliche Änderung die Kontoisolierung für Hunderttausende von Nutzern aushebeln konnte, wirft ernsthafte Fragen zu Testprotokollen und Absicherungen bei Deployments auf.
Jasjyot Singh, Leiter der Verbraucherbeziehungen bei Lloyds, verfasste den Entschuldigungsbrief an den Ausschuss. Eine Entschuldigung ist willkommen – aber Kunden werden genau beobachten, ob bedeutsame Veränderungen folgen oder ob dies ein weiterer Fall von leeren Worten bleibt.
Wer betroffen war, sollte die eigenen Konten im Auge behalten und sich fragen, ob £38,34 sich wie eine angemessene Anerkennung anfühlt – dafür, dass die Bank die eigenen Finanzdaten kurzzeitig zur Lotterie gemacht hat.
Den Originalartikel lesen Sie bei der Quelle.
