N26, erfolgreiche Internetbank mit schweren Vorwürfen konfrontiert

Das Banking-Startup N26 gilt als Vorzeigeunternehmen unter den deutschen Firmengründungen. Täglich würden laut ihrem Gründer mehr als 10 000 Konten eröffnet. Dabei scheint jedoch der Kundensupport auf der Strecke zu bleiben: Ein N26-Kunde habe laut Berichten des Magazins „Gründerszene“ 80 000 Euro an Betrüger verloren. Bei der Bank konnte der Einzelunternehmer über zwei Wochen niemanden erreichen, während seine Existenz wegen mangelnder Zahlungsfähigkeit akut gefährdet war.

Zunächst sah sich N26 anscheinend nicht in der Verantwortung, erst nachdem „Gründerszene“ eine Anfrage stellte, versicherte die Bank, das gestohlene Geld zu ersetzen. Dies sei kein Einzelfall, wie Heise Online nach Recherchen feststellte. Immer mehr Kunden klagten über mangelnden Support bei der Direktbank.

80 000 Euro futsch, Bank stellt sich taub

Die „Gründerszene“ berichtet, dass der Kunde Ende Februar keinen Zugang mehr zu der N26-App erlangen konnte, mit der er vom Smartphone aus sein Konto verwaltete. Telefonische Beratung bietet N26 nicht mehr an, der Support-Chat ist nur tagsüber besetzt. Also schrieb der besorgte Kunde eine E-Mail, und erhielt als einzige Antwort die automatische Eingangsbestätigung.

Erst nach über zwei Wochen konnte der Kunde einen Mitarbeiter des Support-Chats dazu bewegen, sich um sein Problem zu kümmern. Der Bankangestellte bestätigte, dass einst 80 000 Euro auf dem Geschäftskonto waren, mittlerweile seien es jedoch nur 12,26 Euro. Er riet dem Kunden, zur Polizei zu gehen und Anzeige zu erstatten. Telefonischen Kontakt zu der Bank aufzunehmen, sei nicht möglich.

Der Gewerbetreibende indes trauerte nicht nur um den Verlust seines Ersparten: sein Firmenkapital war auf einen Schlag weg, seine Existenz in Gefahr. Da die Bank über Wochen nicht reagiert hatte, geriet der betrogene Kunde in Zahlungsverzug: Weder die Rechnungen seiner Lieferanten noch seine Miete konnte er begleichen.

N26 verspricht, sich zu bessern

Auf Nachfrage von heise-online bestätigte eine Pressesprecherin den Vorfall indirekt: „Es lässt sich leider nicht immer ausschließen, dass Kunden auf elektronischem Wege ihre Daten unwissentlich Betrügern zur Verfügung stellen. Kommt es so zum Diebstahl, werden die entsprechenden Konton selbstverständlich gesperrt und wir versuchen, die Kontoinhaber umgehend zu informieren. Unser Kundendienst ist in der App und auf unserer Website im Chat erreichbar. Auf Wunsch rufen wir Kunden auch zurück, insbesondere bei Verdacht auf Betrug wie in diesem Fall.“

Die Bank wolle ihren Kundenservice in diesen Fällen verbessern: „Leider werden Kunden in einigen Fällen nicht schnell genug zurückgerufen. Dafür wollen wir uns entschuldigen. Es wurden umgehend Schulungen durchgeführt. Ferner haben wir ein Team zusammengestellt, das die Qualität unseres Supports überwacht, damit es zu keinen weiteren Vorkommnissen kommt.“

Weitere Betrugsfälle bekannt

Dem Magazin „Gründerszene“ ist ein weiterer Fall bekannt geworden, bei dem einem Kunden 4000 Euro entwendet wurden und N26 ähnlich langsam reagiert habe. Eine Erstattung seitens der Bank sei ausgeblieben. Wir konnten weitere Fälle aufdecken: heise online erfuhr durch aktuelle und ehemalige Kunden der Direktbank von vergleichbaren Betrugsfällen und ungenügendem Kundenservice. Nachdem mehrere Konten bestohlen wurden, habe die Bank keine Erstattung vorgenommen. Auch der Verbraucherzentrale Sachsen liegen ähnliche Fälle vor, die derzeit bearbeitet werden. Diese Fakten legen nahe, dass die 80 000 Euro nur erstattet wurden, weil der Kunde die Presse eingeschaltet hatte.

Laut den Aussagen der bestohlenen Kunden wurden sie zu Opfern von Phishing-Attacken. Ihnen wurde ein Link geschickt, der zu einer beinahe exakten Kopie der N26-Website oder App führte. Meldet sich der so getäuschte Kunde nun an, können seine Anmeldedaten von Betrügern gleichsam abgefischt werden. Anschließend wurden die N26-Kunden anscheinend mittels Passwortänderung von ihren eigenen Konten ausgesperrt.

Oft ist nicht klar, wer bei Phishing-Attacken für den Schaden aufkommt. Die Bank muss dem Kunden fahrlässigen Umgang mit seinen Daten nachweisen, wenn sie eine Erstattung vermeiden will. Was tatsächlich als fahrlässiges Verhalten gilt und wie dieses dem Kunden nachzuweisen sei, wird meist erst vor Gericht geklärt.

Kann N26 noch Sicherheit gewährleisten?

Normalerweise kann ein einziger Phishing-Angriff niemandem ermöglichen, auf ein fremdes Konto zuzugreifen, zumal laut Experten für Überweisungen eine TAN-Nummer abzufragen sei. In der Regel werden diese Nummern einmalig von der Bank generiert und gelangen per App oder SMS zum Kunden. Einige Banken nutzen zusätzlich Smartcards oder Tan-Generatoren. In diesen Fällen muss der Kunde nicht nur über sein Passwort verfügen, sondern auch die Kontrolle über sein Smartphone oder seine Smartcard haben. Diese zusätzliche Sicherheitsstufe scheint es bei N26 nicht zu geben, was Diebstähle wohl besonders einfach gemacht hat.

Zwar besitzt die Bank ein PIN-Verfahren, doch lässt sich der vierstellige Code direkt in der App bearbeiten, ferner ist die Zahlenkombination nicht an eine Transaktion gebunden. Die Betrüger konnten also bequem ihre eigenen Codes generieren, nachdem sie sich Zugang zu den Konten verschafft hatten. Zudem ließe sich bei der Bank kein Überweisungslimit einrichten, wie uns Kunden von N26 mitteilten: Bis zu 50 000 Euro pro Tag könnten Betrüger somit von gehackten Konten überweisen. Auf unsere Nachfragen zur Sicherheit von Konten und Transaktionen, insbesondere im vorliegenden Fall, erhielten wir keine Auskunft von der Bank.

Nicht zum ersten Mal

Auf dem 33. Chaos Communication Congress im Dezember 2016 standen die Sicherheitsvorkehrungen des Banking-Startups erstmals in der Kritik. Dort erläuterte Sicherheitsforscher Vincent Haupert, wie er ein N26-Konto ohne Schwierigkeiten übernehmen konnte. Er erlangte Zugriff auf die interne API der N26-Server und konnte so Transaktionen durchführen. Haupert mahnte zur Vorsicht und verwies auf die reale Gefahr von Phishing-Angriffen auf N26-Kunden. Nah eigener Aussage verbessere N26 derzeit aktiv die Sicherheitsvorkehrungen. „Neben allen gesetzlichen Anforderungen zur Betrugsprävention kümmert sich ein dediziertes Team stets um die Verbesserung unserer Sicherheitsvorkehrungen und analysiert jeden einzelnen Betrugsfall“, erklärte die Sprecherin der Bank.

Auch Fälle von Geldwäsche werden bekannt

Die deutsche Internetbank N2, die ihr Geschäft auch in die Schweiz ausbaut, hat scheinbar unwissentlich Gelder gewaschen.

Bei dem Banking-Startup N26 jagt eine Krise die nächste: Nachdem Kunden um vier-fünfstellige Beträge bestohlen wurden und der Kundenservice in die Kritik geriet, entdeckten deutsche Reporter nun Fälle von Geldwäsche.

Laut «NDR» und «Süddeutscher Zeitung» wurden mehrere Konten der Berliner Internetbank mit Geldwäsche und Betrug in Verbindung gebracht.

Fake-Shops bei N26

Es liege eine Liste von knapp 400 Konten der N26 mit deutschen IBAN-Nummern vor, die Fake-Shops oder nicht vertrauenswürdigen Ebay-Verkäufern zuzuordnen seien. N26 konnte einige dieser zu Betrugszwecken missbrauchten Konten erst nach Tagen oder sogar Wochen entdecken und sperren.

Oft sei sogenanntes Job-Scamming, also der Diebstahl der Identität bei Online-Bewerbungen, der erste Schritt für Kriminelle, um ein fremdes Konto zu kapern. Ein Angestellter aus Bayern bewarb sich bei einer vermeintlichen Marktforschungsfirma als Produkttester. Im Glauben, den Videochat bei N26 zu testen, eröffnete der junge Mann unwissentlich ein Konto.

Kundenservice versagt erneut

Das Konto wurde übernommen und für illegale Geschäfte genutzt. Als der Kunde auf den Missbrauch des Kontos aufmerksam wurde, versuchte er den Kundenservice von N26 zu erreichen – vergebens. Erst die Intervention «NDR» und «Süddeutscher Zeitung» bewegte die Bank zum Handeln: Das Konto sei mittlerweile gesperrt worden.

Valentin Stalf, Chef von N26, räumte ein, dass die Kommunikation mit dem Kunden in diesem Fall „schlecht gelaufen“ sei. Die Bank habe jedoch alles darangesetzt, den Schaden geringzuhalten.

Fahrlässigkeit der Bank?

Recherchen ergaben, dass bei N26 verdächtige oder mutmaßlich kriminelle Transaktionen kaum überwacht würden. Konten konnten jeweils für einige Tage oder Wochen übernommen und für illegale Geschäfte genutzt werden, bis die Bank darauf aufmerksam wurde.

Bankschef Stalf verneinte die Existenz möglicher Sicherheitslücken und betonte: „Ich glaube auch, dass wir in vielen Bereichen deutlich sicherer sind als der Marktdurchschnitt.“

Neue Betrugsmaschen

„Es gibt einfach Bedrohungsszenarien, da müssen wir uns ständig weiterentwickeln.“ N26 sei mit der Bundesfinanzaufsicht Bafin ganz einer Meinung: Auf neue Bedrohungen müsse man unverzüglich reagieren.

Vor zwei Jahren hatte die Bafin für die Identifizierung im Videochat Folgendes gefordert: Kunden müssten ausdrücklich darauf hingewiesen werden, dass sie gerade ein Konto eröffneten. Ferner müsse auch erwähnt werden, dass keine Dritten Zugang hätten. Beides werde bei N26 aktuell nicht ausdrücklich betont.

Direktbank N26 gilt als Star der deutschen Startup-Szene

Momentan eröffnet die Direktbank N26 täglich mehr als 10.000 Konten und gilt somit als Star der deutschen Startup-Szene; das berichtet Heise. Leider geschieht dies wohl auf Kosten des Kundensupports. Denn das Startup-Magazin Gründerszene berichtet von einem N26-Kunden, dem 80.000 Euro gestohlen wurde. Dieser versuchte anschließend fast zwei Wochen die Direktbank N26 zu erreichen. Leider erfolglos. In der Zwischenzeit wahr seine

Firmenexistenz durch den Diebstahl von 80.000 Euro äußerst gefährdet.

Die Direktbank N26 wollte das Geld in Höhe von 80.000 Euro zunächst nicht ersetzen. Erst aufgrund einer Presseanfrage von dem Magazin Gründerszene wollte die Bank dem Kunden eine Erstattung garantieren. Leider ist diese zögerliche Reaktion der Direktbank N26 kein Einzelfall, wie es durch Recherchen von heise online bekannt wurde. Eine Vielzahl an Kunden der Direktbank N26 klagen über schlechten und unzureichenden Kundenservice. Zudem wirft die Absicherung der N26-Konten viele Fragen auf.

80.000 Euro weg – unzureichender Kundenservice

Laut Gründerszene konnte ein Kunde sich Ende Februar nicht in die N26-App auf seinem Smartphone einloggen. So hatte dieser keinen Zugriff auf sein Konto, welches er bei der Direktbank N26 verwaltet. Die Direktbank N26 bietet keinen Telefonsupport mehr an und der Support-Chat ist während der Nacht nicht besetzt. Also schrieb der Kunde eine Mail an die Bank. Diese wurde jedoch über mehrere Tage hinweg nicht beantwortet. Die einzige Mail, die den Kunden zunächst erreichte, war eine automatisierte Rück-Mail.

Kontakt über Chat-Kanal

Es dauerte mehr als zwei Wochen nach dem Vorfall, bis der Kunde endlich einen Mitarbeiter der Direktbank N26 über den Chat-Kanal erreicht hat. Dieser Mitarbeiter verschaffte sich einen Blick auf das Konto und teilte dem Kunden letztlich mit, dass zwar mal 80.000 Euro auf dem Konto vorzuweisen waren, jetzt jedoch nur noch 12,26 Euro drauf sind. Dem Kunden wurde schließlich nur empfohlen, Anzeige bei der Polizei zu erstatten. Um ein persönliches Gespräch mit einem Mitarbeiter der Bank am Telefon zu führen, gäbe es laut dem Chat-Support nicht.

Existenzbedrohende Situation

Als selbstständiger Unternehmer verwaltete der Kunde das Konto bei der Direktbank N26. Er benötigt das Konto zwingend, um den laufenden Betrieb seines Gewerbes am Leben zu erhalten. Doch durch die langsame Reaktion der Direktbank N26 konnte der Kunde schließlich nicht mehr seine Lieferanten bezahlen. Seine Existenz war somit bedroht. Neben der Bezahlung gegenüber seinen Lieferanten, war der Kunde auch nicht mehr in der Lage seine Miete zu zahlen.

Äußerungen der Direktbank N26

Schließlich befragt Heise online eine Sprecherin der Direktbank N26 zu den vorgefallenen Situationen. Diese teilte mit, dass es immer wieder vorkommt, dass Kunden ihre persönlichen Daten mit sogenannten Betrügern teilen. So kommt es schließlich zu Betrugsfällen und die Direktbank N26 sperrt dann in solchen Fällen die betroffenen Konten. Letztlich trete man dann mit den Kunden in Kontakt, um weitere Schäden zu verhindern und eine erste Hilfestellung zu leisten. Dabei sei der Kundenservice durch den Chat in der App oder aber auf der Website der Direktbank N26 für seine Kunden erreichbar. Auch würde die Bank ihre Kunden auf Wunsch zurückrufen. Vor allem auch in dringenden Fällen, wie unter anderem bei Betrugsverdacht.

Die Direktbank N26 hofft auf Besserung – insbesondere was den Kundenservice betrifft. Sie habe unter anderem festgestellt, dass Kunden nicht umgehend zurückgerufen wurden. Die Bank möchte sich hierfür bei ihren Kunden entschuldigen. Man habe daraufhin entsprechende Schulungen durchgeführt. Auch habe die Bank ein sogenanntes Kompetenzteam zur Überwachung und Sicherstellung eines schnellen, effizienten und für den Kunden zufriedenstellenden Support aufgestellt. So sollen weitere Vorkommnisse verhindert werden.

Leider kein Einzelfall

Der Betrugsfall in Höhe von 80.000 Euro soll laut Gründerszene leider kein Einzelfall sein. Man habe recherchiert und einen weiteren Fall entdeckt, bei dem einem Kunden der Direktbank N26 4.000 Euro gestohlen wurden. Auch hier reagierte die Bank leider nicht. Der Kunde ist am Ende auf den Verlust sitzengeblieben. Auch durch Recherchen unsererseits haben wir leider feststellen müssen, dass es sich nicht um Einzelfälle handelt. Gegenüber Heise online meldeten sich mehrere aktuelle und auch ehemalige Kunden der Direktbank N26 und berichteten über ein ähnliches Bild von Betrugsfällen. Auch der kaum vorhandene Kundenservice war ein Thema und wurde immer wieder genannt. Die Bank hat wohl in mehreren Fällen nach Angriffen auf Konten kein Geld dem jeweiligen Kunden zurückerstattet. Aktuell beschäftigt sich auch die Verbraucherzentrale Sachsen mit mehreren vergleichbaren Fällen der Direktbank N26. Es scheint also so, dass der 80.000 Euro Verluste nur dem Kunden durch die Bank zurückerstattet wurden, weil sich dieser direkt an die Presse wendete.

Phishing-Attacken

Auch handelt es sich in vielen Betrugsfällen um Phishing-Attacken. Während einer Phishing-Attacke wird dem Opfer ein Link zu einer Website geschickt. Diese Website sieht der eigentlichen Seite der Direktbank N26 täuschend ähnlich. Wenn sich nun dort das Opfer mit seinen Anmeldedaten anmeldet, kann der Angreifer diese problemlos verwenden und hat von nun an Zugang auf das Konto. In den vorliegenden Betrugsfällen haben die Angreifer dann vermutlich das Passwort geändert und so das Opfer aus dem eigenen Konto ausgesperrt.

Nun ist es oft umstritten, wer in solch einem Fall für den verursachten Schaden aufkommt. Die Bank muss eigentlich dem Kunden Fahrlässigkeit nachweisen, wenn diese das gestohlene Geld nicht zurückerstatten möchte. Jedoch ist es fraglich, was in solchen Situationen als fahrlässig gilt.

Sicherheit der Konten bei Direktbank N26 fraglich

In der Regel reicht bei den meisten Online-Banken ein reiner Zugriff auf das Konto nicht aus, um direkt Geld zu überweisen. Sicherheitsexperten sind sich einig, dass normalerweise eine TAN vor der eigentlichen Überweisung abgefragt werden sollte. Solche Sicherheitsnummern werden bei den meisten Banking-Apps auf Smartphones pro Transaktion von der Bank generiert. Diese werden dann als SMS oder in einer App an den Kunden geschickt. Einige Banken setzen zusätzlich dafür auch noch Smartcards oder TAN-Generatoren ein. Dies macht da Konto zusätzlich sicherer. Denn der Kunde benötigt neben seinem eigentlichen Passwort auch noch die Kontrolle über sein eigenes Handy oder aber über die Smartcard, um endgültig Geld überweisen zu können. Eine solche Absicherung scheint es bei N26 allerdings nicht zu geben. Dies vereinfacht die Angriffe von Betrügern stark.

In den Konten der Direktbank N26 gibt es für Überweisungen zwar eine vierstellige Bestätigungs-PIN, jedoch ist diese nicht transaktionsspezifisch und der Kunde kann sie flexibel in der App ändern. Nachdem die Betrüger den Zugriff auf das Konto erlangt haben, haben Sie dies wohl auch getan. Auch kommt erschwerend hinzu, dass es kein Überweisungslimit bei der Direktbank N26 gibt. So kann ein Betrüger einfach und schnell bis zu 50.000 Euro an einem Tag von einem Konto schaffen. Hierzu wollte die Direktbank N26 auf Nachfrage keine Stellung beziehen.

Sicherheitsvorkehrungen nicht zum ersten Mal in der Kritik

Die Sicherheitsvorkehrungen der Direktbank N26 stehen wohl nicht zum ersten Mal in der Kritik. Denn auf dem 33. Chaos Communication Congress im Dezember 2016 wurde bekannt, dass der Sicherheitsforscher Vincent Haupert, sich problemlos und mit relativ leichten Tricks Zugriff auf ein N26-Konto auf einem Smartphone erlangen konnte. Der Sicherheitsforscher verschaffte sich Zugang auf die interne API der N26-Server. So konnte dieser auch Überweisungen tätigen. Schon damals warnte Vincent Haupert vor der großen Gefahr durch Phishing-Attacken auf N26-Kunden. Nach Aussage der Direktbank N26 arbeitet diese aktiv an der Verbesserung der Sicherheit ihrer Kunden. Sie sagen aus, dass ein dediziertes Team sich stets um die Verbesserung der Sicherheitsvorkehrungen kümmert und hinzu jeden einzelnen Betrugsfall analysiert.

Geldwäschereifall bei der N26

Doch es geht wohl nicht allein nur um Betrugsfälle. Auch soll es bereits einen ersten großen Geldwäschereifall gegeben haben. Es heißt, dass die Direktbank N26 mit Ambitionen in der Schweiz Gelder gewaschen haben soll. Sogar für digitale Banken sei die Methode der Online-Betrüger neu. Die Direktbank N26 wird derzeit also ordentlich durchleuchtet. Denn deutsche Journalisten haben nun neben den Betrugsfällen und des ohnehin schon schlechten Kundenservice nun auch einen großen Geldwäschereifall aufdecken können. Demnach sind nach Recherchen von NDR und der Süddeutschen Zeitung mehrere hundert Konten der Berliner Neo-Bank zur Geldwäsche im Zusammenhang mit Onlinebetrug benutzt worden.

Knapp 400 Konten für Fakeshops und betrügerische eBay-Konten

Sowohl dem NDR als auch der Süddeutschen Zeitung liegt eine Liste mit knapp 400 Konten der Direktbank N26 vor. Diese sind versehen mit deutschen IBAN-Nummern und wurden sowohl für Fakeshops im Internet als auch für betrügerische eBay-Konten eingesetzt. Der Bank fielen diese Kontoverbindungen sehr spät auf bis sie dann schließlich entdeckt und gesperrt wurden.

Die Betrüger sind durch sogenanntes Job-Scamming an die Konten gelangt. Hierbei handelt es sich um Identitätsdiebstahl bei Internetwerbung. In den Medien wurde von einem Angestellten aus Bayern berichtet. Dieser geriet an eine falsche Marktforschungsfirma, die auf der Suche nach Produkttestern war, die den Videochat von N26 überprüfen sollten. Durch einen vermeintlichen Testanruf eröffnete der junge Mann aber nicht nur testweise ein Konto, sondern tatsächlich.

Auch hier versagte der N26-Kundenservice

Durch die Übernahme des Kontos durch die Täter, wickelten diese darüber kriminelle Geschäfte ab. Zwei Wochen lang versuchte der Kunde vergeblich den Kundenservice der Direktbank N26 zu erreichen. Dem Kunden wurde erst mitgeteilt, dass das Konto geschlossen wurde, als NDR und die Süddeutsche Zeitung bei der Bank nachfragten. Auch hier sagt der N26-Chef Valentin Stalf, dass die Kommunikation mit dem Kunden schlecht verlaufen sei. Jedoch soll die Bank alles getan haben, um den Schaden bestmöglich zu minimieren.

Mangelnde Überwachung von verdächtigen Transaktionen

Recherchen zufolge liegt das Problem der Direktbank N26 vor allem an der mangelnden Überwachung von verdächtigen Transaktionen. Denn Kriminelle konnten die Konten teilweise bis zu einigen Wochen ohne Probleme für ihre Zwecke nutzen, um Geld aus ihren Geschäften zu waschen.

Wenn man jedoch den Bankchef Stalf auf die mangelnde Überwachung anspricht sagt dieser, dass die Direktbank N26 in vielen Bereichen deutlich sicherer sei als die des üblichen Marktdurchschnitts.

Man reagiere auf neue Betrugsmaschen

Die Bank N26 teilte mit, dass es Bedrohungsszenarien gäbe, für die man sich ständig weiterentwickeln müsste. Auch sagt die Bank, dass diese das gleiche Interesse habe wie die Finanzaufsicht Bafin. Deshalb würden alle Verfahren noch sicherer gemacht werden und auf neue Betrugsmaschen reagiere man von nun an sofort.

Vor zwei Jahren hat die Bafin Anforderungen für die Identifizierung per Videochat formuliert. Dabei heißt es, dass Kunden im Verlauf von Chats ausdrücklich daraufhin gewiesen werden müssen, dass diese gerade ein Bankkonto eröffnen und auch darauf, dass keine Dritten dazu Aufträge erteilten. Letzteres fragte die Direktbank N26 offenbar nur zögerlich und zaghaft ab, sodass viele nicht merkten, dass sie sich gerade in einem Betrugsfall befinden.