Der als «vertraulich» eingestufte Brief lag Ende Juni im internen Postfach: «Wir freuen uns, dass Sie sich entschieden haben, mit dem ZKB ASY GUI zu arbeiten», wurde darin Hunderten von Mitarbeiterinnen und Mitarbeitern der Zürcher Kantonalbank (ZKB) beschieden. Wer sich unter der angegebenen Internetadresse und mit dem ebenfalls mitgeteilten Benutzernamen und Passwort im System einloggte, musste nur den Namen und Vornamen eines Kunden eingeben, um dessen Kontodaten sehen zu können.

«In unserer Abteilung wunderte man sich schon über diese Zugriffsmöglichkeit», sagt ein ZKB-Angestellter, der anonym bleiben will. Auch er hätte den Kontostand von Nachbarn oder Chefs abfragen können, obschon er mit dem Privatkundengeschäft nichts zu tun hat.

ASY sei bloss das Archivierungssystem für Kundendaten, erklärt die ZKB-Pressestelle. Im Übrigen erhielten nur Angestellte Zugriff auf solche Daten, die diese für ihre Arbeit auch bräuchten. Diesem Prinzip sei man in diesem Fall jedoch nicht voll nachgekommen, gibt ZKB-Sprecherin Sibylle Umiker zu: «Kurzzeitig hatten Mitarbeitende auf das ASY Zugriff, die es für ihre Arbeit nicht benötigen.»

Für diese Personen sei der Systemzugang aber «sofort» geschlossen worden. Was die ZKB unter «sofort» versteht, ist wenig beruhigend für ihre Kunden: Bei Angestellten, die früher Zugang zu Kundendaten hatten, die Zugriffsberechtigung neuerdings aber nicht mehr benötigen, habe die entsprechende Bereinigung «ein paar Tage» in Anspruch genommen.

Quelle: Walter Bieri