So funktioniert E-Mail nicht, HSBC

• HSBC verschickte an Kunden fälschlicherweise Benachrichtigungen, ihre E-Mails seien „zurückgekommen“, weil die Bank den Empfang von E-Mails anhand von Tracking-Pixeln beurteilte. Tatsächlich erhielten die Kunden die Nachrichten ganz normal.
• Die Bank forderte Kunden auf, ihre E-Mail-Adresse zu aktualisieren, obwohl im Kundenkonto bereits die korrekte Adresse hinterlegt war.
• Eine Analyse zeigte, dass HSBCs E-Mails HTTP-basierte Tracking-Pixel enthielten, die das Risiko bergen, personenbezogene Informationen wie Zeitpunkt des Empfangs, Häufigkeit und IP-Adresse offenzulegen.
• Da Tracking-Pixel bei blockierten Inhalten nicht funktionieren, gilt es als technischer Fehlgebrauch, wenn die Bank daraus auf eine „nicht zugestellte“ E-Mail schloss.
• HSBC sollte auf den Verzicht auf unverschlüsseltes Tracking, mehr Respekt für die Privatsphäre und klare Kundenkommunikation umstellen.

HSBCs fehlerhafte Benachrichtigung über unzustellbare E-Mails

• HSBC verschickte postalische Mitteilungen an Kunden mit der Aufforderung, ihre Adresse zu aktualisieren, weil „eine E-Mail zurückgekommen“ sei.
  • Der Kunde empfing und öffnete HSBCs E-Mails tatsächlich ganz normal.
  • Eine Prüfung des Online-Kontos zeigte, dass die hinterlegte E-Mail-Adresse korrekt war.
• Im Chat mit dem Kundenservice kam zunächst nur die formelhafte Antwort, dass die Adresse geändert werden müsse, wenn die Bank einen Brief geschickt habe.
  • Erst im Telefongespräch hieß es dann, man könne den Brief ignorieren, wenn die Adresse korrekt sei.
• Der Autor schlug HSBC vor, die Formulierung statt „Handlungsbedarf“ auf „Adressprüfung erforderlich“ zu ändern.

Aufbau und Probleme von E-Mail-Tracking-Pixeln

• Am Ende von HSBCs E-Mails befanden sich zwei 1×1 Pixel große Bildcodes.
  • Diese Pixel dienen als Tracking-Mechanismus, der beim Öffnen der E-Mail den Server kontaktiert und den Abruf protokolliert.
• HSBC übertrug diese Pixel über das HTTP-Protokoll, was eine Sicherheitslücke schafft, durch die Dritte im Netzwerk erkennen könnten, dass die Nachricht geöffnet wurde.
  • In öffentlichem WLAN könnten andere Nutzer im selben Netzwerk diese Information möglicherweise mitbekommen.
• Außerdem wird auf das Risiko hingewiesen, dass Angreifer am Ende einer E-Mail Bilder einfügen und sie so als Phishing-Nachricht fälschen könnten.

Unzuverlässigkeit und Fehlgebrauch von Tracking-Pixeln

• Der Autor verwendet eine Einstellung zum Blockieren von Tracking-Pixeln und sendet daher keine Informationen über das Öffnen von E-Mails.
  • Das entspricht der ursprünglichen Funktionsweise von E-Mail, bei der Empfänger selbst entscheiden können, ob sie ihren Abruf offenlegen.
• HSBC scheint das Ausbleiben des Pixel-Signals fälschlich als „E-Mail nicht empfangen“ interpretiert und die Nachricht daher als unzustellbar behandelt zu haben.
  • Das ist ein Fall, in dem Tracking-Pixel nicht für statistische Auswertungen, sondern missbräuchlich zur Identifizierung einzelner Kunden eingesetzt wurden.
• Damit verschickte HSBC letztlich eine falsche Benachrichtigung, die behauptete, die E-Mail sei zurückgekommen.

Vorgeschlagene Verbesserungen für HSBC

• Unverschlüsseltes (HTTP-)Tracking beenden: Um eine Offenlegung im Netzwerk beim Öffnen von E-Mails zu verhindern, sollte HTTPS verwendet werden.
• Tracking-Blockierung nicht als Empfangsverweigerung behandeln: Das Scheitern eines Pixels kann viele technische Ursachen haben.
• Überwachung der E-Mail-Gewohnheiten von Kunden beenden: Eine Bank, die bereits genügend personenbezogene Daten besitzt, braucht keine zusätzliche Überwachung.
• E-Mail-Validierung durch direkte Bestätigung durchführen: Empfehlenswert sind Verfahren auf Basis ausdrücklicher Zustimmung wie das Klicken auf einen Bestätigungslink.
• Grundsätze der Datenethik einhalten: Entsprechend HSBCs veröffentlichten Prinzipien zur „ethischen Nutzung von Daten und AI“ müssen Zweckmäßigkeit und Transparenz sichergestellt werden.

Fazit

• HSBC hat die Grenzen der Zuverlässigkeit von Tracking-Pixeln missverstanden und dadurch Kunden-E-Mails falsch beurteilt.
• Der Fall zeigt, dass überwachungskapitalistische Praktiken der Datensammlung inzwischen sogar in den Betrieb von Finanzinstituten eingedrungen sind.
• Der Autor betont, dass HSBC den technischen Fehler anerkennen und transparenten Dateneinsatz sowie den Schutz der Privatsphäre von Kunden stärken sollte.