Die gestohlenen Kreditkartendaten aus Beständen der Landesbank Berlin (LBB) enthalten entgegen anders lautenden Meldungen nach Angaben des Geldinstituts keine Geheimnummern. Es bestehe keine Gefahr für das Vermögen der Kunden, teilte die Bank mit. "Sollte wider Erwarten dennoch ein Schaden entstehen, wird die Landesbank Berlin ihre Kunden selbstverständlich davon freihalten", heißt es in der Pressemitteilung. Auch die Polizei schätzt das Risiko für die Kunden nach einer "ersten Bewertung" als relativ gering ein.

Bei der "Frankfurter Rundschau" war ein Paket mit kundenbezogenen Kreditkartendaten aus ganz Deutschland eingegangen. Die Karten waren von der LBB ausgegeben worden.

Die LBB hat nach eigenen Angaben erst am Freitag von dem Diebstahl erfahren. Inzwischen habe sie Anzeige erstattet und eine interne Prüfung eingeleitet. Die Ermittlungen der Polizei würden "in allen Belangen und vollumfänglich" unterstützt, hieß es. Die Bank will auch bei externen Daten-Verarbeitern "nochmals alle Sicherheitsvorkehrungen" erhöhen.

Polizei bleibt entspannt

Nach dem Fund der zehntausenden detaillierten Kreditkartendaten schätzt die Polizei das Risiko für die Kunden dennoch als relativ gering ein. Nach einer "ersten Bewertung" könne mit den Daten aus LBB-Beständen "kein großes Schindluder" betrieben werden, sagte ein Sprecher der Polizei in Frankfurt/Main. Anhand der Daten ließen sich beispielsweise keine Kartenkopien herstellen. Es sei auch unmöglich, Geld abzuheben. Die Frankfurter Behörden haben die Federführung bei den Ermittlungen.

Derzeit sichteten Beamte eines Betrugskommissariats die Daten, sagte der Polizeisprecher. Es werde noch geklärt, ob das Päckchen auch die Geheimnummern (PIN) der Konten enthalten habe. Die "FR" hatte das Paket voller bedruckter Datenfolien, sogenannter Mikrofiches, nach eigenen Angaben von einem Unbekannten erhalten. Es enthielt demnach unter anderem die Namen und Adressen von Kunden sowie zahlreiche Buchungen. Betroffen seien auch Kreditkarten des Automobilclubs ADAC und des Internet-Bücherversands Amazon.

"Unglaublicher Fall"

Nach Einschätzung von Datenschützern stellt dieser Fall alle bisherigen Datenskandale in den Schatten. Dies sei ein "unglaublicher, einzigartiger" Fall, was vor allem die Qualität der Daten betreffe, sagte der Leiter des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein, Thilo Weichert, der "Berliner Zeitung". Die Informationen stammten offenbar aus Datensätzen, die eigentlich höchsten Sicherheitsstandards unterliegen müssten.

Falls die PIN abhanden gekommen seien, könnten "die Kreditkartenkonten bis zum maximalen Kreditrahmen leergeräumt werden", befürchtet Weichert.

Datenschützer geht von "Innentäter" aus

Weichert ist überzeugt, dass der neuerliche Datenmissbrauch keine Folge des Internetbankings ist. Die Daten seien nicht über das Internet abgefischt worden, sagte Weichert bei n-tv. Der Experte geht davon aus, dass ein "Innentäter die Daten nach außen weitergegeben hat". Es sei aber "schon erstaunlich, dass solch hochsensible Daten einfach auf Mikrofiches gespeichert werden".

Detaillierte Daten

Die Bankdaten stammen aus diesem Jahr, viele Auflistungen bilden die Einkäufe der Kunden im August 2008 ab, wie die Zeitung weiter berichtete. Betroffen seien unter anderem Kreditkarten der Berliner Landesbank selbst sowie Karten, die über den ADAC und den Internethändler Amazon ausgestellt worden seien.

Der "FR" zufolge sind aus den Datensätzen detaillierte Abrechnungen von Kreditkarten mit Vor- und Zunamen der Kunden, Adresse, Kontonummer und jede einzelne Bezahl-Aktion mit dem dazugehörigen Betrag zu ersehen. Dazu gehörten auch Geheimnummern (PIN) für Kreditkarten. Auch Auslandsbuchungen, Rücküberweisungen und die kompletten Zahlungsabwicklungen zwischen den Firmen und Banken seien nachvollziehbar. Die Zeitung hat nach eigenen Angaben am Freitag Polizei und Staatsanwaltschaft informiert.

Fremdfirma als Achillesferse

Den Informationen zufolge stammen die Daten von der Firma AtosWorldline, die für die Landesbank die Abrechnungen erstellt und eine Filiale in Frankfurt hat. Die Bank bestätigte der Zeitung, dass sie mit AtosWorldline zusammenarbeitet.

Datenschützer Weichert sieht die Auslagerung der Verarbeitung von Bankendaten an externe Firmen skeptisch. "Das Weiterreichen selbst sensibelster Aufgaben an Dienstleister ist eine Achillesferse und ein enormer Kontrollverlust", sagte er der "Berliner Zeitung". Rechtlich sei die LBB aber dennoch für die Konsequenzen verantwortlich. Die LBB solle die Konten sofort sperren, sobald sie über Informationen verfüge, wer genau betroffen ist.

In den vergangenen Monaten waren immer wieder Datenschutzpannen wie der Diebstahl von Millionen Kundendaten bei der Deutschen Telekom bekanntgeworden. Anfang der Woche hatte die "Wirtschaftswoche" berichtet, dass auf dem Schwarzmarkt die Bankverbindungen von 21 Millionen Bürgern im Umlauf seien.