Während 18 Monaten waren Kreditkarten-Abrechnungen von zehntausenden KMU-Kunden von Viseca frei im Internet zugänglich und für alle einsehbar. Das berichteten wir gestern, basierend auf einer 'Republik'-Recherche.

Schuld daran war ein uralter Security-Fehler: Einfache URL-Änderungen genügten, um vertrauliche Informationen von Dritten abzurufen. Die Sicherheitslücke ist zwar mittlerweile geschlossen, aber da Viseca unter anderem die Kreditkarten aller Kantonalbanken, der Raiffeisen-Gruppe oder der Bank Cler verwaltet, ist das Schadenspotenzial immens.

Dennoch haben sowohl Viseca als auch die betroffenen Banken entschieden, Kundinnen und Kunden nicht zu informieren. Dabei verlassen sich die Finanzinstitute auf Viseca: Anita Schweizer, Leiterin Kommunikation bei der Thurgauer Kantonalbank, sagt, dass sich die Bank vom Kreditkartenverwalter eine schriftliche Bestätigung habe geben lassen, dass keine TKB-Kundinnen und -Kunden betroffen sind.

Auch ihr Kollege Thomas Müller von der Graubündner Kantonalbank sagt, dass seine "Kundinnen und Kunden nicht von unerlaubten Zugriffen betroffen sind". Auf Nachfrage schreibt er, dass sich die Bank dabei auf "die umfangreichen Auswertungen von Viseca sowie eigene Abklärungen" stütze.

Schliesslich schreibt Jan Söntgerath von der Raiffeisen, dass "gemäss Auskunft von Viseca und seitens Raiffeisen keine Firmenkundinnen und -kunden von einem unbefugten Zugriff betroffen" seien. Einzig die Schwyzer Kantonalbank gibt zu, dass "ein Kunde betroffen war". Dieser sei zusammen mit der Viseca sofort aktiv informiert worden. Dazu später mehr.

Worin sich alle Statements gleichen, ist, dass sie "unbefugte" oder "unerlaubte" Zugriffe verneinen. Dabei ist es technisch gar nicht so einfach – gerade in einem Zeitraum von 18 Monaten! – berechtigte von unberechtigten PDF-Abrufen zu unterscheiden.

Viseca erklärt, dass es "Logs von jedem einzelnen PDF-Abruf" gebe. Auf unsere Nachfrage, ob wir ein anonymisiertes Log einsehen dürfen, schreibt Viseca-Sprecher Nicolas Kucera: "Wir bitten um Verständnis, dass wir diese – auch anonymisiert – nicht herausgeben können."

Weiter erklärt Kucera, dass sämtliche Banken über den Vorfall informiert worden seien. Es gebe eine "mittlere einstellige Anzahl betroffener Firmenkunden", unter denen sich offenkundig jener der Schwyzer Kantonalbank (SKB) befindet. Diese seien "in Absprache mit der jeweiligen Bank direkt durch die Viseca informiert" worden. "Unseren extensiven Abklärungen zufolge waren keine weiteren Firmenkunden betroffen", schreibt Kucera abschliessend.

Die Schwyzer Kantonalbank schreibt zum betroffenen Kunden: "Was schlussendlich mit dem KK-Auszug passiert ist, entzieht sich meiner Kenntnis", so Sprecher Daniel Slongo. Viseca schreibt, dass lediglich die Entdecker der Schwachstelle, also die Sicherheitsfirma Pentagrid, Einsicht in die Kreditkarten-Abrechnungen des SKB-Kunden und weiterer Firmen hatten. "Wir bedauern den Vorfall und entschuldigen uns bei den betroffenen Kunden."