CoVantage Credit Union: Sammelklage nach Datenleck bei Software-Partner

Eine schwerwiegende Sicherheitslücke bei einem externen Dienstleister hat sensible Daten von rund 160.000 Kunden der US-Genossenschaftsbank CoVantage preisgegeben. Betroffene erheben nun vor einem Bundesgericht in Texas schwere Vorwürfe gegen die Bank und ihren Software-Anbieter.

Drittanbieter als Einfallstor für Cyberangriff

Der Ursprung des Datendiebstahls liegt nicht bei der Bank selbst, sondern bei ihrem Technologiepartner Marquis Software Solutions. Das Unternehmen aus Plano, Texas, das Marketing- und Compliance-Software für Finanzinstitute bereitstellt, entdeckte bereits Mitte August 2025 verdächtige Aktivitäten in seinem Netzwerk. Eine Untersuchung bestätigte den unbefugten Zugriff und den Diebstahl von Kundendateien.

Erst über zwei Monate später, am 27. Oktober, konnte Marquis den vollen Umfang des Angriffs bestätigen. Diese lange Verzögerung bei der Aufklärung und Meldung des Vorfalls ist ein zentraler Kritikpunkt in der nun eingereichten Sammelklage. Die Bank betont, ihre eigenen internen Systeme seien nicht kompromittiert worden.

Umfangreicher Diebstahl persönlicher und finanzieller Daten

Das Ausmaß des Datenverlusts ist beträchtlich. Gestohlen wurden laut Klageschrift und behördlichen Meldungen:
* Persönliche Identifikationsdaten: Vollständige Namen, Anschriften, Telefonnummern und Geburtsdaten
* Hochsensible Finanzinformationen: Sozialversicherungsnummern und Kontodaten

Diese Kombination bietet Kriminellen ein komplettes Werkzeug für Identitätsdiebstahl, Betrug und gefälschte Steuererklärungen. Insgesamt waren schätzungsweise 160.000 Mitglieder von CoVantage betroffen. Über alle Kunden von Marquis hinweg lag die Gesamtzahl der Betroffenen bei über 354.000 Personen.

Passend zum Thema Cyber‑Sicherheit zeigt ein Datenleck über einen Drittanbieter, wie schnell komplette Kundenbestände kompromittiert werden können. Der kostenlose Leitfaden „Cyber Security Awareness Trends“ erklärt praxisnah, welche Schutzmaßnahmen jetzt Vorrang haben — von Lieferanten‑Risikochecks über Mitarbeiterschulungen bis zu technischen Basisschutzmaßnahmen und Compliance‑Checklisten. Ideal für IT‑Verantwortliche in Finanzinstituten und Dienstleistern, die Lücken in der Lieferkette schnell schließen wollen. Der Report enthält konkrete To‑dos, die Sie sofort umsetzen können. Jetzt kostenlosen Cyber‑Security‑Guide mit Checklisten herunterladen

Vorwürfe: Fahrlässigkeit und verspätete Warnung

Die Kläger werfen CoVantage und Marquis vor, ihre Sorgfaltspflicht zum Schutz der Kundendaten verletzt zu haben. Ein Hauptvorwurf lautet auf unangemessen verzögerte Benachrichtigung. Marquis habe mehr als drei Monate gebraucht, um Betroffene zu informieren – wertvolle Zeit, in der gestohlene Daten bereits missbraucht worden sein könnten.

Durch diese Verzögerung seien Kunden an sofortigen Schutzmaßnahmen wie Kreditsperren oder intensiver Kontenüberwachung gehindert worden. Die Klage argumentiert, dass den Geschädigten nun ein langfristiges, erhöhtes Risiko für Identitätsbetrug drohe. Mehrere Anwaltskanzleien prüfen den Fall.

Supply-Chain-Angriffe: Die unterschätzte Gefahr für Banken

Der Fall ist ein Lehrbeispiel für die wachsende Bedrohung durch Supply-Chain-Angriffe. Dabei umgehen Cyberkriminelle die Sicherheitsvorkehrungen großer Unternehmen, indem sie schwächere Glieder in der Lieferkette angreifen – wie externe Software-Anbieter.

Finanzinstitute sind besonders verwundbar, da sie für viele Dienstleistungen auf ein Netzwerk von Drittanbietern angewiesen sind. Der Vorfall unterstreicht die kritische Bedeutung eines strengen Risikomanagements für Lieferanten. Die Gerichte werden nun prüfen müssen, ob die von CoVantage getroffenen Sicherheitsvorkehrungen im Umgang mit ihrem Partner angemessen waren.

Was Betroffene jetzt tun sollten

Für die direkt Betroffenen steht nun erhöhte Wachsamkeit im Vordergrund. Sicherheitsexperten empfehlen:
1. Kreditsperre oder Betrugswarnung bei den großen Auskunfteien (Equifax, Experian, TransUnion) einrichten
2. Kontoauszüge und Kreditkartenabrechnungen genau auf unbefugte Transaktionen prüfen
3. Vorsicht bei verdächtigen E-Mails oder Anrufen, die persönliche Daten verwenden, um Glaubwürdigkeit vorzutäuschen (Phishing)

Der gerichtliche Prozess wird sich voraussichtlich über Monate hinziehen. Während die Klage auf Entschädigung und Rechenschaft zielt, liegt der unmittelbare Schutz vor den Folgen des Datenlecks nun größtenteils in der Verantwortung der betroffenen Verbraucher selbst.

PS: Wenn Sie persönlich betroffen sind oder Risiken für Kunden verhindern wollen: Dieser Gratis‑Leitfaden fasst in vier konkreten Schritten zusammen, wie Phishing, Datenabfluss und Lieferketten‑Angriffe erkannt, priorisiert und entschärft werden. Enthalten sind Vorlagen für Lieferanten‑Audits, Prüflisten für Drittanbieter und Sofortmaßnahmen für betroffene Kontoinhaber. Nutzen Sie die Checklisten, um Gefährdungen schnell zu reduzieren und Kundendaten besser zu schützen. Kostenlose Checklisten und Sofortmaßnahmen herunterladen