Postfinance: der Schaden nach dem Schaden

Eineinhalb Tage fiel das E-Banking von Postfinance aus. Das ist lange, sehr lange. Bei uns, wir sind schliesslich Insider, rufen 'Tagi' und 'Radio Argovia' und 'die Nordwestschweiz' an und wollen wissen was wir wissen. Wir wissen nicht viel mehr. Denn Postfinance schweigt.
 
Wir recherchieren, versuchen zu verstehen. Security-Experten und andere IT-Fachleute spekulieren. Die Gerüchteküche brodelt und alle glauben: das Security-Buschtelefon wird funktionieren, es kommt schon noch ans Tageslicht.
 
Was könnte es also sein?
 
Das Wetter war am Wochenende schlecht, es ist Jahresanfang und Tausende laden ihre Zinsabschlüsse als PDF hinunter. Und die Queue der Server-Anfragen füllt sich, aber es sind zuviele gleichzeitige User und schliesslich crasht das E-Banking von Postfinance. Das wäre eine mögliche Ursache.
 
Oder es war ein Software-Bug.
 
Oder ein Server rauchte ab, weil warum auch immer. Das Server-System war sehr wahrscheinlich redundant, aber die Ausfall-Ursache so komplex, dass die Ersatz-Systeme nicht starteten. Manche Banken würden dies zugeben.
 
Wir sind auch sicher, dass sich die Postfinance-IT sich überlegt hat, wie man das System aufsetzt, so dass es resistent ist.
 
Aber was sagt Postfinance? Man verwedelt. Es sei eine "Störung der internen IT-Systeme" gewesen. Und macht "Sicherheitsgründe" für die vagen Ausführungen geltend.
 
War es also doch eine DDoS-Attacke auf systemrelevante Infrastruktur, wie manche spekulieren? Oder waren – Stichwort "Legacy" – hart gecodete IP-Adressen die Auslöser?
 
Oder zeigte sich eine so gravierende Sicherheitslücke, dass Schweigen von ganz Oben verordnet wird?
 
Klar ist, dass Banken-IT sehr komplex ist und entsprechend verletzlicher als beispielsweise die Online-Shops, welche 2016 attackiert wurden. Klar ist laut Insidern auch, dass Kernbankensysteme sehr zuverlässig laufen.
 
Klar ist auch, dass die in der Mobile-App von Postfinance integrierte E-Finance-Funktion ebenfalls vom Ausfall betroffen war, während Funktionen wie "Saldo und Kontobewegungen abfragen" und einige weitere funktionierten. Das könnte darauf hindeuten, dass die Middleware von Backbase schuld war oder die Anbindung ans Online-Banking oder die Anbindung ans Zahlungsverkehrssystem.
 
Unklar ist alles andere. Doch Verwedeln und Schweigen ist in der zeitgemässen Kommunikation aus guten Gründen verpönt. Und bei kritischen Infrastrukturen wäre Transparenz erstes Gebot. Denn nun entsteht der Eindruck, man habe etwas zu verbergen. Damit richtet man zusätzlichen Schaden an. (Marcel Gamma)