Datendiebstahl bei Kreditech Dieses Kredit-Startup wurde mit geklauten Daten erpresst

Kreditech: Für die junge Firma ist der Datenraub ein herber Schlag - schließlich ist die Auswertung sensibler Daten Kern des Geschäftsmodells

Kreditech: Für die junge Firma ist der Datenraub ein herber Schlag - schließlich ist die Auswertung sensibler Daten Kern des Geschäftsmodells

Eingescannte Personalausweise, Kontoauszüge, Telefonnummern - es ist ein Datenschatz aus besonders sensiblen Informationen, der hier ausgerechnet einem Unternehmen geraubt wurde, das mit Daten sein Geld verdient. Es sind die Dokumente tausender potentieller Kunden, die sich über Tochterunternehmen des Hamburger Startups Kreditech Geld leihen wollten und der Firma deshalb zur Prüfung der Kreditwürdigkeit ihre persönlichen Daten überließen.

So glaubte der Datendieb wohl, das Team um die Gründer Sebastian Diemer und Alexander Graubner-Müller mit der Veröffentlichung seiner Beute erpressen zu können. Doch die Geschäftsführung ging scheinbar nicht darauf ein, denn die Daten geistern, garniert mit hämischen Kommentaren, nun bereits seit mehreren Wochen durchs Internet. Bis heute sind Teile davon online zu finden.

Das Landeskriminalamt ermittelt in dem Fall wegen Erpressung gegen Unbekannt. Das teilte die Hamburger Staatsanwaltschaft auf Anfrage des manager magazins mit. Als Geschädigter wird dort Oliver Prill geführt, der COO von Kreditech.

Zum konkreten Tathergang sind bislang kaum Details bekannt. Laut Polizei verschaffte sich der Dieb vom internen Firmennetz aus Zugriff auf einen Zwischenspeicher für Antragsdaten, der die sensiblen Kundendaten enthielt. Ein Hackerangriff von außen könne demnach ausgeschlossen werden. Beobachter munkeln deshalb, dass es die Tat eines ehemaliger Mitarbeiters gewesen sein könnte, der Zugang zu den Firmenrechnern hatte.

Hochpreisige Kurzzeitdarlehen - eines der erfolgreichsten Fintechs in Deutschland

Ende März hatte zunächst das Portal "Gründerszene " über den zuvor geheim gehaltenen Diebstahl berichtet, was in der Szene für einigen Wirbel sorgte. Kreditech und die hochpreisigen Kurzzeitdarlehen seiner Töchterfirmen sind umstritten, ehemalige Mitarbeiter beklagen einen rauen Führungsstil.

Dennoch gilt das Unternehmen, das mittlerweile über 220 Mitarbeiter zählt und erst im Januar 200 Millionen Dollar vom US-Investor Victory-Park einwerben konnte, als eines des erfolgreichsten Finanz-Startups (Fintech) in Deutschland.

Unklar ist bislang, wann genau die Daten gestohlen wurden und wann die Geschäftsführung davon erfuhr bzw. darauf reagierte. Kreditech teilt auf Anfrage mit, "im Sommer 2014 von dem einzelnen internen Sicherheitsereignis" erfahren und "sofort die Polizei informiert" zu haben. Nach Informationen des manager magazins wusste zumindest die Hamburger Polizei jedoch erst ab dem 11. Dezember 2014 von dem Vorfall, die Akte der Staatsanwaltschaft datiert auf den 18. Dezember. Eine in den gestohlenen Daten enthaltene Protokolldatei (Logfile) soll auf den 19. August als wahrscheinlichen Tattag deuten.

Herber Schlag für die noch junge Firma

Für die junge Firma ist der Vorfall ein herber Schlag - schließlich ist die Auswertung sensibler Daten der Kern ihres Geschäftsmodells. Kreditech wirbt damit, automatisiert und innerhalb von rund 15 Minuten über die Bonität eines Antragsstellers zu entscheiden. Dazu werten Algorithmen bis zu 20.000 Einzelinformationen aus, zum Beispiel das Kaufverhalten bei Amazon oder die Struktur des Facebook-Freundeskreises. Selbst die Zeit, die ein Kunde zum Ausfüllen des Antragsformulars benötigt, fließt in die Berechnung mit ein. Zusätzlich sind bei der Beantragung zum Teil gescannte Ausweis- oder Kontoauszugskopien als Identitätsnachweis nötig, die nun Teil des Diebesguts wurden.

Angesichts dieses Datenhungers ist Kreditech auf das Vertrauen seiner Kunden angewiesen. Wer will schon, dass der eigene Führerschein zusammen mit einem gewünschten Darlehensbetrag plus Zinssatz im Internet kursiert?

Nach dem Diebstahl, betont das Unternehmen, hätten externe Experten die Sicherheit der Computersysteme bestätigt. Außerdem habe man "betroffene Geschäftspartner umgehend informiert".

Entscheidung über Bonität binnen 15 Minuten

Daran gibt es Zweifel, zumal unklar ist, warum die Firma von Geschäftspartnern spricht, wenn es doch lediglich um Antragssteller geht, die zum Teil gar keinen Kredit erhalten haben. Ein Gründerszene-Redakteur hatte zudem mehrere Betroffene angeschrieben, doch kein einziger davon mochte bestätigen, von Kreditech über das Datenleck informiert worden zu sein. Zwei Australierinnen schrieben ihm vielmehr, sie hätten nicht gewusst, dass ihre Daten im Internet kursieren.

Ein Sprecher der Hamburger Polizei, die ebenfalls angab, dass die Kunden über den Datendiebstahl informiert worden seien, sagt auf Nachfrage, dass diese Information vom Unternehmen selbst stamme, die Polizei habe dies nicht überprüft. Kreditech wollte sich aus Rücksicht auf die laufenden Ermittlungen nicht weiter zu seiner Informationspraxis äußern.

Datenleck kurz vor dritter Finanzierungsrunde

Das Startup hat derzeit besonders gute Gründe, Zweifel an der Sicherheit der eigenen Software zu zerstreuen oder sie bestenfalls gar nicht erst aufkommen zu lassen. Die Hamburger arbeiten bereits seit Anfang des Jahres an der Vorbereitung der dritten Finanzierungsrunde (Series C), die noch in diesem Quartal bis zu 150 Millionen Dollar frisches Kapital in die Kassen spülen soll. Dass das Datenleck gerade jetzt bekannt wurde, ist für Kreditech also besonders unangenehm.

Das zeigt auch die folgende Anekdote: Einem US-Journalisten, der in einem Blog-Beitrag  die Inside-Job-Story der Polizei lediglich infrage stellte, drohte Kreditech in einem Schreiben seines New Yorker Anwalts prompt mit rechtlichen Schritten. Der Artikel, heißt es dort, habe der Firma bereits "substantiellen Schaden" zugefügt und müsse umgehend korrigiert werden.

Immerhin könnte der direkte, finanzielle Schaden durch den Diebstahl zumindest abgefedert werden: Laut einem Bericht der Süddeutschen Zeitung hatte das Startup beim US-Versicherer AIG eine der seltenen Policen gegen "Cyberrisiken" abgeschlossen und kann nun womöglich mit einem zweistelligen Millionenbetrag rechnen.

Nachtrag: Kreditech legt Wert auf die Feststellung, dass sich Kunden nicht direkt bei der Kreditech Holding Geld leihen, sondern bei Tochtergesellschaften der Gruppe in den jeweiligen Ländern.

Lesen Sie mehr über Kreditech und den zweifelhaften Boom der Kredit-Startups in der Geschichte "Kredithai.com" im aktuellen manager magazin (Nr. 4/2015).

Mehr lesen über