E-Bike Leasing Test: Wer ein Fahrrad oder E-Bike least, gibt unweigerlich sensible Daten preis – und es ist nicht ganz unwahrscheinlich, dass die abgegriffen und missbraucht werden. Velomotion hat nachgefragt, wie es die großen Leasing-Anbieter mit der Datensicherheit halten.
Facebook, Google, Instagram, WhatsApp, Telekom – nahezu jeder große und auch kleine Tech-Konzern muss früher oder später mit eine Daten-Leak oder sogar einem Datenskandal fertig werden. Damit verbunden: enormer Vertrauensverlust der Kunden, Umsatzeinbußen und in der Regel behördliche Strafzahlungen.
Um es vorweg zu nehmen: Vor einem Angriff, verbunden mit Datendiebstahl, ist kein Unternehmen der Welt absolut sicher, doch wappnen können sich moderne Firmen durchaus effektiv. Vor allem aber sollten sie so realistisch sein, eigene Unzulänglichkeiten zu erkennen und sich dagegen abzusichern.
E-Bike Leasing-Anbieter erfassen sensible persönliche Daten
Was das alles mit der heilen Fahrradwelt zu tun hat? Verbunden mit dem jüngsten Boom des E-Bikes und hochwertigen Fahrräder explodierten auch die Zahlen der geleasten Fahrräder und E-Bikes in Deutschland. Leasing-Anbieter erfassen Verbraucherdaten. Das sind neben den persönlichen Standard-Daten durchaus auch sensible Informationen, denn das Leasing läuft meist über den Arbeitgeber und dessen Personalabteilung. Schnell geht es hier also um so Persönliches wie Gehalt, Krankenversicherung, Bonität usw.
Um Risiken zu minimieren, ist es bei weitem nicht ausreichend, einen Virenscanner zu installieren oder um die Firmenrechner eine Firewall aufzubauen. Täter und Motive sind so unterschiedlich wie vielfältig: Für Spionage, Vandalismus, Sabotage oder Erpressung sind nämlich sowohl Täter von außen wie die eigenen Mitarbeiter verantwortlich. Wobei letztere dies meist gar nicht absichtlich machen – meist handeln sie aus Fahrlässigkeit oder Unkenntnis, oder sie werden ausgetrickst. Um derartigen Angriffen vorzubeugen, müssen sich die Verwalter sensibler Kundendaten – und das sind alle Leasing-Anbieter – systematisch schützen. Dazu gehören neben fest in der IT verankerten Sicherheitsfunktionen auch interne Verhaltensregeln für den Umgang mit Kundendaten.
Für den Umgang mit Kundendaten gelten strikte Verhaltensregeln
Internet-Firmen, insbesondere solche, die sensible Kundendaten erfassen, unterziehen ihre Plattformen deshalb regelmäßig sogenannten Stress- oder Penetrationstests. Selbstverständlich gehören diese Tests selbst auch zu den heikelsten internen Daten der einzelnen Firmen, und wir erwarten nicht, dass man uns gegenüber Geschäftsgeheimnisse ausplaudert. Dennoch wollten wir von den führenden Leasing-Anbietern wissen, ob – und wenn ja, in welchem Umfang – sie aktiv sind, um Kundendaten zu schützen und deren Sicherheit so gut es geht garantieren zu können.
Befragt haben wir hierfür die Bike-Leasing-Anbieter, die auch in unserer Vergleichsübersicht aus dem Frühjahr vertreten sind. (Link zum Artikel) Neu hinzu kommt der Anbieter Companybike, dessen Angebot auch im aktualisierten Leasing-Vergleich im Frühjahr 2021 aufgenommen werden wird.
Eurorad besteht härtesten, zertifizierten Stresstest
Hinter die Kulissen blicken ließ man uns bei Eurorad-Leasing – ein nicht ganz alltäglicher Insider-Blick, bei dem auch eine Portion Stolz zu verspüren war. Das Portal von Eurorad hat nämlich gerade im Juli 2020 einen neuen, DAkkS-zertifizierten Penetrationstest bestanden. Nach unseren Kenntnissen ist dies die höchste Auszeichnung für Datensicherheit, die ein Web-Portal erhalten kann. DAkkS ist die nationale Akkreditierungsstelle der Bundesrepublik Deutschland, die ausschließlich der Aufsicht des Bundes untersteht.
Bei Eurorad steht der Schutz kundenbezogener Daten an oberster Stelle, weswegen wir uns bewusst für den – soweit uns bekannt – strengsten, Dakks-zertifizierten Penetrationstest entschieden haben, um umgehend auf mögliche Sicherheitslücken reagieren zu können.“
Franz Tepe, Geschäftsführer Eurorad
Im Rahmen dieses Penetrationstests, der der Velomotion-Redaktion vorliegt, wurden Angriffe auf das sogenannte Dienstrad-Tool von Eurorad sowie die Kundendaten simuliert und abgewehrt.
Wie bereits oben erwähnt, sind selbst globale Mega-Konzerne nicht vor erfolgreichem Datenklau und Hackerangriffen gefeit. Wir wollen mit dieser Recherche unsere Leser sowie gleichermaßen Arbeitnehmer und Arbeitgeber dafür sensibilisieren, sorgsam mit ihren Daten umzugehen. Egal, ob dies beim Leasing-Auftrag im Fahrradladen ist oder bei der Verwaltung der Daten in einem Leasing-Portal. Setzen Sie im Zweifelsfall lieber auf einen Anbieter wie Eurorad (oder einen der anderen weit verbreiteten Anbieter unserer Übersicht), vom dem bekannt ist, dass Datensicherheit groß geschrieben wird.
Die Anbieter Lease A Bike, BusinessBike, Bikeleasing-Service und Company Bike führen nach eigenen Angaben Stress- und Penetrationstests durch, die Sicherheitslücken offenlegen sollen. Ebenso wird der sensible Umgang mit persönlichen Daten gemäß DSGVO garantiert.
Verspätetete Stellungnahme von Jobrad zum Thema Datensicherheit beim E-Bike Leasing
Eine leider verspätete Antwort zum Thema Datensicherheit (erst nach dem Erscheinen der ursprünglichen Version dieses Artikels) erhielten wir auf unsere Anfrage von Jobrad. Dass ausgerechnet der wohl größte Leasing-Anbieter bei dieser Aufgabenstellung schwächeln könnte, wollten wir uns nicht ausmalen. Gerade die Größten ihrer Branche sind häufig ein bevorzugtes Angriffsziel, wie uns die Geschichte der spektakulärsten Datenskandale immer wieder lehrt.
So äußert sich Jobrad-Geschäftsführer Holger Tumat zu unserer Anfrage: „Wir arbeiten erfolgreich mit einigen der größten Konzerne zusammen. Da Kunden dieser Größenordnung höchste Ansprüche an Datensicherheitsstandards stellen, führen wir seit Jahren regelmäßig Penetrationstests und Datenschutzaudits durch; dies beinhaltet auch die strengen Regularien der Bundesanstalt für Finanzdienstleistungsaufsicht (BAFIN).“