In einschlägigen Foren wird schon länger darüber debattiert, ob ein Broker-Login ohne zweiten Faktor als Sicherheitsmerkmal nicht aus der Zeit gefallen ist. Scalable Broker, der Broker der Vermögensverwaltung Scalable Capital, wird hier immer wieder als Negativbeispiel genannt.
In der neuesten Version der iPhone-App nennen die Entwickler nun „Vorbereitungen für den neuen Scalable Login“. Auf Anfrage von Börsenbuddy meldet die Pressestelle von Scalable Capital hierzu:
In den nächsten Tagen führen wir den Scalable-Login ein, der künftig eine neue und einheitliche Login-Experience im Web und in unseren Apps bietet. Im Anschluss wird auch die bestehende Zwei-Faktor-Authentifizierung (2FA) durch den Scalable-Login mit 2FA ersetzt.
Pressestelle Scalable Capital, 08.04.2022
Mehr hierzu könne die Öffentlichkeit „bald in unserem Blog nachlesen“, wie es heißt.
Auf explizite Nachfrage von Börsenbuddy, wann genau mit der Einführung der 2-Faktor-Authentifizierung für den Login zu rechnen ist, antwortet die Pressestelle:
Die Teams arbeiten prioritär an der Einführung von Scalable-Login mit 2FA im Anschluss. Bitte haben Sie Verständnis, dass wir in einem agilen Setup noch keinen genauen Zeitpunkt zur Release nennen können.
Pressestelle Scalable Capital, 11.04.2022
Die im erstzitierten Statement der Pressestelle genannte derzeit bereits bestehende Zwei-Faktor-Authentifizierung dient im Moment lediglich dazu, etwa Änderungen von persönlichen Daten wie der E-Mail-Adresse über einen zweiten Faktor (in diesem Fall das Smartphone mit der App „Scalable“) abzusichern. Der Login per Browser ist lediglich per Mail + Passwort abgesichert.
„Datenschutzvorfall“ im Jahr 2020
Ende 2020 war bekannt geworden, dass persönliche Daten von angeblich um die 30.000 Anlegern aus dem digitalen Archiv von Scalable Capital entwendet worden sein sollen. Nach Angaben des Vermögensverwalters habe allerdings zu keinem Zeitpunkt eine Gefahr für das Kundenvermögen und die im Depot verwahrten Wertpapiere bestanden. Passwörter seien nicht von dem Vorfall betroffen gewesen.
Zudem hieß es wörtlich von Scalable Capital:
Grundsätzlich nicht betroffen sind Kunden, die eine Vermögensverwaltung unter der Marke Oskar abgeschlossen haben. Kunden, deren Depot bei der ING geführt wird, sind ebenfalls nicht betroffen.
Scalable Capital, de.scalable.capital/datenschutzvorfall
Zum Thema „Konsequenzen aus dem Vorfall hieß es wörtlich:
Der Vorfall wurde in Zusammenarbeit mit externen Experten für Informations- und IT-Sicherheit analysiert und umfassend ausgewertet. (…) Parallel dazu identifizierte und implementierte Scalable Capital zusammen mit externen IT-Experten weitere Maßnahmen, um auch zukünftigen Herausforderungen der zunehmend anspruchsvollen, allgemeinen Cyber-Sicherheitslage gerecht zu werden. Es sei jedoch darauf hingewiesen, dass sich das Risiko von Cyberangriffen nie vollständig ausschließen lässt.
Scalable Capital, de.scalable.capital/datenschutzvorfall
Update, 29.04.2022
Gestern hat Scalable Capital eine Info-Mail verschickt, worin Folgendes angekündigt wird:
In den nächsten Tagen führen wir den neuen Scalable-Login ein. Bei Klick auf Login öffnet sich künftig die neue Login-Seite mit der Internetadresse secure.scalable.capital.
Mail Scalable Capital, 28.04.2022
Hinsichtlich der schon angekündigten Zwei-Faktor-Authentifizierung heißt es:
Übrigens: Im Anschluss wird auch die bestehende Zwei-Faktor-Authentifizierung (2FA) durch den Scalable-Login mit 2FA ersetzt. Sie erhalten hierzu eine weitere E-Mail.
Mail Scalable Capital, 28.04.2022
Was genau „im Anschluss“ bedeutet, bleibt natürlich weiterhin offen. Auch bei Smartbroker sind derartige ungenaue Zeitangaben offensichtlich beliebt. Dort wird seit gefühlt zwei Jahren eine Trading-App in Aussicht gestellt.
Für weitere Infos hinsichtlich des neuen Logins verweist Scalable Capital auf einen Beitrag des den hauseigenen Blogs.
Update, 03.05.2022
In einem Blogpost erläutert das Unternehmen den neuen Login. Dort heißt es:
Das neue Authentifizierungssystem wurde entwickelt, um die Art und Weise zu vereinheitlichen, wie sich unsere Kundinnen und Kunden in ihrem Scalable-Konto – in Web und App – anmelden. Zu diesem Zweck wurde eine spezielle Seite eingerichtet, die unter secure.scalable.capital (Depotführung Baader Bank) bzw. ing-secure.scalable.capital (Depotführung ING) zur Verfügung gestellt wird und auf der die Anmeldedaten eingegeben werden.
Blogpost Scalable Capital, 28.04.2022
Update, 16.05.2023
Heute hat Scalable per Mail bekanntgegeben, dass ab sofort auch der Login per 2-Faktor-Authentifizierung durchgeführt werden kann. Die Funktion kann in der Smartphone-App im Bereich „Profil“ aktiviert werden.