Sicherheitslücken bei Start Ups ausgenutzt um damit verschiedene Bankkonten zu ergaunern

Haben Betrüger Sicherheitslücken bei Start Ups im Finanzbereich ausgenutzt um damit verschiedene Bankkonten zu ergaunern?

Mehrere Volksbanken haben dazu nun eine klare Meinung und gehen hierbei ganz auf Nummer sicher. Die Genossenschaftsbanken ergreifen hierbei Abwehrmaßnahmen gegen betrügerisch veranlasste Überweisungen auf Konten der Direktbanken wie N26 und Fidor, darüber berichtte die Morgenpost.

So hat die Volksbank Freiburg aufgrund einer Zunahme von Betrugsfällen im Online-Banking den Zahlungsverkehr mit Direktbanken wie N26, Fidor, Revolut, bunq, Solarisbank aktuell eingestellt, wie ein Sprecher der Volksbank auf Nachfrage mitgeteilt hat.

Der Hintergrund ist dabei, dass gerade diese Banken von vermeintlichen Betrügern aufgrund der eher einfachen Identifikationsverfahren als Zielkonto für vermeintliche Straftaten genutzt werden. So ist bei diesen Banken beispielsweise eine einfache Identifikation mittels Foto Ident möglich, was schnell zu Missbräuchen aus dem Ausland führen kann. Spätestens am kommenden Dienstag will die Volksbank ihre Sperre jedoch so angepasst haben, dass sie auch wieder aufgehoben werden kann.

Quelle: https://www.morgenpost.de/wirtschaft/article226185491/Betrugsfaelle-Volksbank-sperrt-Zahlungen-an-N26-und-Co.html

Betrugsfälle, Volksbank sperrt Zahlungen an N26 und Co.

Derzeit gäbe es deutschlandweit eine erhöhte Anzahl von Betrugsfällen im Online-Banking, wie das Institut in einer Information an eine rund 140.000 Privat- und Firmenkunden weitergibt.

Auch bei der Volksbank in Rottweil stehen die Direktbanken N26 und Fidor nach Informationen vom Chef des Instituts, Henry Rauner, nach wie vor auf der schwarzen Liste. So würden Überweisungen zu diesen Banken hin gesondert geprüft. Erst wenn der Kunde auf dessen Nachfrage hin die Richtigkeit bestätigen würde, werde das Geld entsprechend freigegeben. Anhand von den Angaben von Rauner konnte das Institut so schon bei rund 42.000 Kunden in zwei bis drei Fällen betrügerische Transaktionen verhindern.

Ein wichtiges Einfallstor für Betrug war wie schon zuvor und anderen Instituten das sogenannte mTAN oder mobile TAN Verfahren. Hierbei werden die für die Überweisung nötigen TAN Nummern per SMS auf die zuvor hinterlegte Handynummer versendet. Kriminelle Gauner greifen somit zunächst die Zugangsdaten für den Onlinebanking Zugang ab, beispielsweise über Phishing-Mails oder schadhafte Programme. Diese werden auf den Computern der Betroffenen hinterlegt und nisten sich darin ein. An die sogenannten TAN Nummern kommen Sie dann über Ersatz SIM Karten, die mit falschen Angaben beim Mobilfunkanbieter bestellt werden.

Die Volksbank in Freiburg war vor allem durch die hohe Professionalität und Geschwindigkeit überrascht, mit der sich die Kriminellen einen Zugriff auf die Kundengelder verschafft haben. Sobald die Betrüger sich erfolgreich einen Zugang zum Online Banking und dem TAN Verfahren verschafft haben, finden die jeweiligen Verfügungen in wenigen Minuten statt, wie der Sprecher berichtet. Der Betrug fällt dann meist erst auf, wenn das Geld schon ins Ausland weiterversendet wurde oder in digitale Währungen wie Bitcoin umgewandelt wurde.

So betonte eine Sprecherin des Bundesverbandes der Deutschen Volksbanken und Raiffeisenbanken (BVR) nun, dass wenn es zu einem Betrugsfall kommen sollte, dem Kunden kein Schaden entstehen würde und dieser sein Geld zurückerhalten würde. Voraussetzung hierfür ist, dass der Kunde sorgfältig mit seinen Daten wie Geheimnummer (PIN) und der TAN umgegangen ist.

Das Unternehmen N26 teilte zudem auf Nachfrage mit, dass es wie alle anderen Banken auch wirksame Maßnahmen zur Prävention von Geldwäsche einsetzen würde. Sobald N26 erfahren würde, dass andere Banken Transaktionen an N26 anhalten, würden sie direkt mit der betreffenden Bank in Kontakt treten um das Problem direkt lösen zu können. Dabei wollen wir sicherstellen, dass die Kunden reibungslos am Zahlungsverkehr teilnehmen können.

So betonte ein Sprecher der Fidor Bank, dass jeder, der ein Konto bei der Fidor Bank eröffnet, das fälschungssichere Video-Ident-Verfahren durchlaufen würde. Auch Kunden aus dem Ausland müssen dieses Verfahren durchlaufen. Deshalb ist es nur wenig wahrscheinlich, dass die Betrüger auch die Inhaber dieser Konten sind und sich gestohlenes Geld dorthin haben überweisen lassen. So könnte man sie viel einfacher identifizieren und somit schneller dingfest machen.

Der Chef der Volksbank, Rauner, wird den Eindruck jedoch nicht los, dass die Finanz Start Ups den Betrügern das Geschäft einfacher machen. Er sagte hierzu, dass die Identitätspflichten vielleicht nicht so streng gehandhabt werden wie bei anderen Banken. Dazu meinte er, dass die Systeme im Geldwäschebereich vielleicht auch nicht auf dem Stand sind, wie es sich die Aufsicht wünscht.

So hatte die Finanzaufsicht der Bafin die Bank N26 im Mai dazu verpflichtet, die Mängel bei den Maßnahmen gegen die Geldwäsche und Terrorfinanzierung zu beheben. So wurde die App Bank beispielsweise auch dazu angehalten, einige seiner Bestandskunden nochmal neu zu identifizieren und die Rückstände bei der Kontrolle von verdächtigen Transaktionen aufzuarbeiten.

Rückblick auf die Bank N26

Nach neuesten Berichten der Süddeutschen Zeitung vom 03. Juni 2019 sowie des NDR wurden bei der Bank N26 mehrere hundert Konten eröffnet und für kriminelle Zwecke verwendet. Dabei stehen vor allem Onlineshops im Fokus, denen Geldwäsche unterstellt wird. Mit in das Geschehen hineingezogen wurden auch mehrere zufällig ausgewählte Testkunden, die von den betrügerischen Absichten nichts ahnen konnten. Allerdings schützt auch hierbei Unwissenheit vor Strafe nicht. So werden nun viele dieser unwissenden Testkunden ebenfalls angeklagt. So werden sie der leichtfertigen Geldwäsche beschuldigt und müssen sich für diese Sache verantworten. Dabei wird die Geldwäsche natürlich auch immer bei anderen Banken versucht, allerdings scheinen hierbei bessere Schutzmechanismen zu greifen als bei der reinen Onlinebank N26. Deren Konten scheinen gerade in den letzten Monaten besonders häufig für Kriminelle wichtig gewesen zu sein.

Was konkret passiert ist

Im frühen Januar diesen Jahres eröffnete Eckhard Küntzle ein Onlinekonto bei der Bank N26. Er war auf der Suche nach einem Zusatzverdienst und meldete sich auf einer Internetseite für Marktforschungen an. Als ersten Auftrag dafür sollte er das Video-Ident Verfahren für die Onlinebank N26 testen. Allerdings konnte er nicht ahnen, dass er hierbei Betrügern zum Opfer fallen würde. So bekam der nach erfolgreicher Identifikation eine Mastercard zugesendet. Zusätzlich dazu erhielt er noch eine Nummer, der gegen ein Honorar von 60 EUR für den Auftrag an angeblichen Marktforscher weiterleiten sollte. Zweifel kamen Eckhard Küntzle dann rund 2 Monate später auf, als er versuchte den Marktforscher nochmal über die Internetseite zu erreichen. Diese konnte er jedoch da nicht mehr im Netz finden.

Sofort machte der dann verunsicherte Küntzle eine Meldung bei der N26 Bank und meldete sich ebenfalls bei der Polizei. Hier fand er dann auch direkt heraus, dass seine Identität bereits gestohlen wurde und er das Opfer eines Internetbetrugs geworden ist. Bei zahlreichen, anderen Opfern lief diese Betrugsmasche ebenfalls ähnlich ab. Dies stellte sich dann später im Rahmen der Ermittlungen zu den Geldwäschefällen bei N26 heraus. Die N26 Bank wurde dann natürlich sofort aktiv und sperrte die betroffenen Konten direkt. Bis zur Sperrung waren jedoch bereits einige Tage vergangen. Dies war natürlich eine Zeitspanne, die den Betrügern genügend Zeit verschaffte, die gestohlenen Identitäten mehrfach zu verwenden und damit einiges an Betrug anzustellen.

Details zur betroffenen Onlinebank N26

Viele Geldgeschäfte werden in der heutigen Zeit ausschließlich über das Internet abgewickelt. So wächst die Zahl der Kunden und Händler im Netz rasant und entsprechend dieser Zahlen gingen auch die Kundenzahlen der neuen Internetbank N26 in die Höhe.

Bei der derzeit betroffenen Bank aus Berlin handelt es sich um ein Start-Up Unternehmen mit deutscher Herkunft und vielen namhaften Investoren. Es ist also ein durchaus vertrauenswürdiges Unternehmen, wie man meinen kann. Das Anliegen der Bank ist es vor allem, als Plattform Bank zu agieren. So können die Banken hier die Schaltzentrale für ihre Bankgeschäfte über das Smartphone nutzen. Leider scheinen einige der Risikoprozesse bei der N26 Bank noch nicht ganz zu funktionieren und abgeklärt zu sein. Vorgänge wie die zuvor genannten konnten demnach nur so passieren.

Eine Registrierung bei der Bank durchzuführen ist nicht besonders schwer und auch praktisch genau so leicht zu erreichen wie bei der Registrierung einer einfachen DE-Domain mit dazugehörigem Webshop in einem modernen, ansprechenden Design. Onlineshops sind bekanntlich zuhauf verfügbar wie Sand am Meer. Diese gibt es mit sehr vielen verschiedenen Produkten wie Kaffeemaschinen, Armbanduhren und vielem mehr. Im Internet lässt sich bekanntlich nahezu alles finden. Dazu müssen die Händler lediglich einen Artikel online verkaufen und das Geld der zahlenden Kunden dafür in Empfang nehmen. In unserem Fall nutzen die Betrüger dafür vorwiegend Konten zur Geldwäsche. Die Eröffnung eines Kontos bei N26 ist wie bereits beschrieben nicht sonderlich aufwendig. Eine Onlineregistrierung ist schnell erledigt und muss hierfür nicht bei der Bank persönlich vorsprechen. Eine Video Identifikation ebnet einem hierbei dann den Weg zu einem neuen Bankkonto bei der Start Up Bank. So muss lediglich der Ausweis in die Kamera gehalten werden. Anschließend müssen noch ein paar Fragen beantwortet werden und dann ist auch schon bald die Bankkarte auf dem Postweg zu einem nach Hause. So bekommt jeder Kunde, egal in welchem Land er seinen Sitz hat, eine deutsche IBAN zugewiesen. So läuft dies auch bei deutschen Kunden ab. Eine deutsche IBAN Nummer ebnet den Weg des schnelleren Betrugs, da eine deutsche IBAN um einiges vertrauenswürdiger ist als eine ausländische. Dies lässt sich auch anhand des Beispiels mit dem falschen Onlineshop feststellen.

Wie funktioniert das Prinzip der Betrüger?

Eine Bande von Betrügern kann letztlich nur dann zu Geld kommen, wenn es viele naive Menschen wie Herrn Eckhard Künzle gibt, die sich ein paar Euro an diversen Tests dazuverdienen möchten. So werden diese dann zu unabsichtlichen Komplizen der Betrüger. Grundsätzlich sollten Sie sich merken, dass wenn Sie dazu aufgefordert werden ein Konto bei einer Onlinebank zu eröffnen, besser direkt die Finger davon zu lassen. Dies ohne Wenn und Aber. Laut Angaben des SZ und WDR gab es im vorliegenden Fall bereits rund 400 Personen, die auf diese Masche hereingefallen sind. So flogen etwa so viele Konten wegen Betrugsverdacht bei N26 auf und mussten dann gesperrt werden. Diese Konten werden zudem auch mit Vorliebe beispielsweise bei eBay Händlern genutzt und auch bei Fakeshops.

Auf Zuruf sollten Sie also niemals Konten eröffnen. So können Sie sich sonst ggf. später für die Beihilfe zum Betrug oder der leichtfertigen Geldwäsche verantworten und werden dann auch noch angeklagt.

Überwachung von Überweisungen

Nicht nur die teils „naiven“ Testkunden sind schlussendlich die Leidtragenden. Auch die Onlinebank kommt natürlich durch diese negativen Schlagzeilen schnell in Verruf. So genannte Fakeshops sind jedoch wohl bei der Bank nur ein einziger Punkt auf er Fehlerliste. So gelang es wohl vor einiger Zeit einigen Betrügern mehrere Konten komplett zu plündern. Die Bank war während dieser Vorgänge für die Kunden anscheinend gar nicht erreichbar, was ebenfalls zu negativen Schlagzeilen führte. So eine Erreichbarkeit sollte daher via Chat oder Telefon immer gewährleistet sein. Leider scheinen jedoch die beiden Kanäle für solche Fälle nicht ausreichend bedeckt gewesen zu sein. Zu den Mängeln kam es wohl aufgrund von personellen Unterbesetzungen und dem allgemeinen Umgang mit ausgelagerten Arbeiten. N26 versprach jedoch baldige Besserung. Dies auch bereits kurz nachdem die Mangelanzeigen beim Unternehmen eingingen. Die Verbesserung scheint jedoch nicht schnell genug umgesetzt worden zu sein, da es zu erneuten Betrugsaktionen gekommen ist.

So wurden die betroffenen Konten im aktuellen Fakeshopfall bzw. Fällen direkt gesperrt. Leider gelang es N26 bisher jedoch noch nicht, hier wirklich alle schwarzen Schafe wirklich komplett auszusperren. So konnten vier Konten bisher noch nicht gefunden und geschlossen werden, wie SZ und BR berichten. So scheinen die Kontrollmechanismen der Bank generell noch nicht so ausgereift und durchdacht zu sein, wie dies bei bekannten, größeren Banken der Fall ist. Speziell im Bereich der Geldwäsche möchte man den Betrügern nun durch verschärfte Kontrollen bei auffälligen Überweisungen das Handwerk legen. Im Fall der Fakeshops konnte sich N26 jedoch leider nicht mit Ruhm bekleckern. Hier dauerte es nämlich mehrere Tage und Wochen, bis es zu einer Aktion bei der Bank gekommen ist. Weitere Fehler möchte man bei der Start Up Bank nämlich erstmal nicht machen.

Permanente Weiterentwicklung und mehr Fokus auf den Schutz von Kunden

Damit man nicht wieder negativ in die Schlagzeilen kommen kann, hat die Bank nun bereits eine Verbesserung und schärfere Überwachung versprochen. So sollen die Personaldaten besser geschützt werden und generell möchte man an der Sicherheit der Bank arbeiten und die Vorgänge schneller bearbeiten. Auf neue Betrugsmaschen will man auch schneller vorbereitet sein und zudem auch schneller reagieren können, wie der Chef der Bank, Valentin Stalf, auch klar betont. Seine Bank sei zudem in einigen Bereichen sogar sicherer als die meisten normalen Banken. So gebe es einfach Szenarien von Bedrohungen, bei denen sich Banken stetig weiterentwickeln müssen. Damit Kunden aufmerksam gemacht werden, warnt die Bank derzeit auch vor betrügerischen Absichten bei der Verifizierung über den Videochat. Ein Team von rund 50 Personen kümmert sich derzeit um die Betrugsprävention. Es bleibt hierbei abzuwarten, ob die verbesserten Schutzmechanismen in Zukunft besser greifen können.

N26 – erfolgreiche Onlinebank mit harten Vorwürfen bombardiert

Das Finanzstartup N26 gilt derzeit als Vorzeigeunternehmen im Bereich der deutschen Firmengründungen. Täglich werden laut dem Gründer mehr als 10000 Konten eröffnet. Dabei scheint jedoch der Support auf der Strecke zu bleiben. So habe ein N26 Kunde laut einem Bericht des Magazins „Gründerszene“ 80.000 EUR an Betrüger verloren. So konnte der Kunde bei der Bank rund 2 Wochen niemanden erreichen, während seine Existenz wegen der mangelnden Zahlungsfähigkeit sehr stark gefährdet war, da er Einzelunternehmer ist.

N26 sah sich anscheinend zunächst nicht in der Verantwortung. Erst nachdem Gründerszene eine Anfrage stellte, versicherte die Bank, das gestohlene Geld zu ersetzen. Dies ist wohl kein Einzelfall, wie Heise Online nach mehreren Recherchen feststellte. So klagen immer mehr Kunden über einen eher mangelhaften Support bei der Direktbank.

80.000 EUR weg – Bank reagiert nicht

Am 20. Juni 2019 berichtet Gründerszene, dass der Kunde Ende Februar diesen Jahres keinen Zugang mehr zur N26 App bekommen konnte. Er griff dabei über sein Smartphone auf sein Konto zu. Eine telefonische Beratung gab es seitens N26 nicht und der Support Chat ist nur tagsüber besetzt. Der Kunde schrieb somit eine sehr besorgte E-Mail, woraufhin er lediglich eine automatische Eingangsbestätigung erhielt. Erst nach über 2 Wochen konnte der Kunde einen Mitarbeiter des Support Chats dazu bewegen, sich dem Problem einmal anzunehmen. So bestätigte der Bankangestellte, dass vorher 80.000 EUR auf dem Konto gewesen seien. Mittlerweile wären nur noch 12,26 EUR verfügbar, was natürlich immens weniger ist. Er riet dem Kunden dann dazu, eine Anzeige bei der Polizei zu machen. Telefonisch mit der Bank in Kontakt zu treten, wäre hingegen nicht möglich.

Der Gewerbetreibende bedauerte dabei nicht nur den Verlust von seinem gesparten Vermögen. Sein gesamtes Firmenkapital war dabei auf einen Schlag weg und seine Existenz direkt in Gefahr. Da die Bank über mehrere Wochen nicht reagiert hatte, geriet der betrogene Kunde nun in Zahlungsverzug. Er konnte damit weder die Rechnungen seiner Lieferanten noch seine Miete bezahlen.

N26 verspricht Besserung im Support

Auf Nachfrage vom Magazin Heise Online bestätigte eine Pressesprecherin von N26 den Vorfall indirekt. Sie sagte, dass es sich nicht immer ausschließen lasse, dass Kunden auf elektronischem Wege ihre Daten auch unwissentlich zur Verfügung stellen. Wenn es dann zu einem Diebstahl kommt, werden die entsprechenden Konten selbstverständlich gesperrt und der Kontoinhaber wird direkt informiert. Der Kundendienst sei über die App und die Webseite via Chat erreichbar. Der Kunde kann sich auf Wunsch auch zurückrufen lassen, gerade bei einem Verdacht auf einen Betrugsfall wie in diesem Fall.

 

So will die Bank auch ihren Kundenservice verbessern. Leider werden einige Kunden in bestimmten Fällen nicht schnell genug zurückgerufen. Hierfür will sich das Unternehmen auch entschuldigen. So werden umgehend Schulungen durchgeführt, die den Ablauf verbessern sollen. Ebenfalls wurde ein Team zusammengestellt, das die Qualität des Supports überwacht. Somit soll sichergestellt werden, dass es zu solchen Vorkommnissen nicht mehr kommen kann.

Neue Betrugsfälle bekannt

Dem Magazin Gründerszene ist ein neuer Fall bekannt geworden. Hierbei wurden einem Kunden 4000 EUR entwendet. N26 habe hierbei ähnlich langsam reagiert. So sei eine Erstattung seitens der Bank auch ausgeblieben. Weitere Fälle konnten hierbei aufgedeckt werden und heise Online erfuhr auch durch aktuelle und ehemalige Kunden der Direktbank von vergleichbaren Fällen und einem unzureichenden Kundenservice. So sollen mehrere Konten bestohlen worden sein, wo die Bank dann keine Erstattung vorgenommen habe. Auch liegen der Verbraucherzentrale in Sachsen ähnliche Fälle vor, die derzeit bearbeitet werden. So zeigen diese Fälle und die daraus resultierenden Fakten, dass die 80.000 EUR nur erstattet wurden, da der Kunde die Presse eingeschaltet hatte.

Laut den Aussagen von den bestohlenen Kunden sind diese Opfer von Phishing Attacken geworden. Dabei wurde ihnen ein Link gesendet, der zu einer sehr gut aussehenden Kopie von einer N26 Webseite führte. Wenn sich der vermeintliche Nutzer dann anmeldet und seine Daten eingibt, landen diese bei den Betrügern. Anschließend wurden die N26 Kunden dann mittels Passwortänderung von ihren eigenen Konten entsprechend ausgesperrt.

In vielen Fällen ist nicht immer direkt klar, wer für den Schaden bei einer Phishing Attacke aufkommen muss. Die Bank muss dem Kunden nämlich den fahrlässigen Umgang mit den Daten nachweisen, wenn sie eine Erstattung vermeiden will. Jedoch ist es nicht immer einfach zu klären, was genau als fahrlässiges Verhalten gilt. Oft wird dies meist erst vor Gericht geklärt.

Ist die Sicherheit durch N26 noch gewährleistet?

Ein einzelner Phishing Angriff kann im Normalfall nicht dazu führen, dass auf ein fremdes Konto zugegriffen werden kann. Zumal ist es so, dass für Überweisungen ja auch eine TAN Nummer abgefragt wird. Diese Nummern werden im Regelfall von einer Bank einmalig generiert und kommen per App oder SMS dann zum Kunden. Einige Banken verwenden außerdem ausschließlich Smartcards oder TAN Generatoren für die Zusendung der Nummern. So muss der Kunde in diesen Fällen nicht über sein Passwort verfügen und benötigt lediglich die Kontrolle über sein Smartphone bzw. seine Smartcard. So eine zusätzliche Sicherheitsstufe scheint es bei N26 jedoch nicht zu geben, weshalb Datendiebstähle bzw. solche Kontoplünderungen eher einfacher möglich sind.

Die Bank besitzt zwar ein PIN Verfahren, allerdings lässt sich der vierstellige Code in der App direkt bearbeiten. Die Zahlenkombination ist auch nicht an eine Transaktion gebunden. Aus diesem Grund konnten die Betrüger somit bequem eigene Codes generieren, nachdem der Zugang zum Konto erreicht wurde. Bei der Bank hatte sich zudem kein Überweisungslimit einrichten lassen, wie die Kunden von N26 mitgeteilt haben. Bis zu 50.000 EUR pro Tag können Betrüger so von gehackten Konten problemlos überweisen. Wir erhielten auf Nachfrage zur Sicherheit von Konten und Transaktionen, gerade bei dem aktuellen Fall, keine Auskunft der Bank.

Nicht das erste Mal passiert

Im Dezember 2016 standen die Sicherheitsvorkehrungen von N26 auf dem 33. Chaos Communication Congress erstmals in der Kritik. Dort zeigte der Sicherheitsforscher Vincent Haupert auf, wie er ein solches N26 Konnte problemlos übernehmen konnte. So erlangte er einen Zugriff über die interne API der N26 Server und konnte so problemlos Transaktionen durchführen. Haupert mahnte dabei sehr stark zur Vorsicht und zeigte die reale Gefahr auf. Gerade Phishing Attacken wären sehr problematisch, wobei N26 nach eigener Aussage derzeit massiv die Sicherheitsvorkehrungen verbessern würde. Die Sprecherin der Bank erklärte dabei nun, dass neben allen gesetzlichen Anforderungen zur Betrugsprävention nun ein dediziertes Team für die Verbesserungen der Sicherheitsvorkehrungen stehen würde.

Fälle von Geldwäsche ebenfalls bekannt

Die deutsche Onlinebank N26 baut ihr Geschäft in der Schweiz weiter aus. Allerdings hat sie nun scheinbar unwissentlich Geld gewaschen.

Bei dem Finanzstartup N26 jagt eine Krise die nächste. Kunden wurden um vier – fünfstellige Beträge bestohlen. Der Kundenservice geriet in die Kritik und deutsche Reporter entdeckten nun Fälle von Geldwäsche. Laut einem Bericht des NDR und der Süddeutschen Zeitung wurden mehrere Konten der Berliner Internetbank mit Geldwäsche und Betrug nun in Verbindung gebracht.

Fake Shops bei Number 26

Derzeit liegt eine Liste von rund 400 Konten bei N26 vor, die allesamt deutsche IBAN Nummern beinhaltet und die Fake Shop Betreibern sowie nicht vertrauenswürdigen eBay Verkäufern zuzuschreiben seien. So konnte N26 diese ausschließlich zu Betrugszwecken verwendete und missbrauchte Konten erst nach Tagen bzw. Wochen entdecken und sperren.

So sei oftmals Job Scamming (Diebstahl von Identitäten bei Online-Bewerbungen) der erste Schritt für solche Kriminelle. Hierdurch werden dann fremde Konten gekapert und verwendet. So habe sich ein Angestellter aus Bayern bei einer vermeintlichen Marktforschungsfirma als Produkttester beworben. Er wurde dabei im Glauben gelassen, den Videochat bei N26 zu testen und eröffnete dabei ganz unwissentlich ein Konto.

Erneutes Versagen vom Kundenservice

Das Konto wurde dabei übernommen und auch für illegale Geschäfte verwendet. Als der Kunde dann auf den Missbrauch des Kontos aufmerksam wurde, versuchte er den Kundensupport von N26 zu erreichen. Dies gelang leider nicht direkt und erst auf Intervention von NDR sowie der Süddeutschen Zeitung. Die Bank wurde erst daraufhin zum Handeln bewogen und sperrte das Konto dann.

Der Chef von N26, Valentin Stalf, räumte mittlerweile ein, dass die Kommunikation mit dem Kunden in diesem Fall nicht optimal gelaufen ist. Die Bank habe jedoch alles mögliche daran gesetzt den Schaden möglichst gering zu halten.

Handelte die Bank fahrlässig?

Die Recherchen ergaben, dass bei N26 verdächtige oder mutmaßlich kriminelle Transaktionen kaum überwacht werden. So können Konten jeweils für einige Tage oder Wochen übernommen werden und dann auch für illegale Geschäfte genutzt werden. Die Bank brauchte hierbei einige Zeit, bis sie darauf aufmerksam wurde.

Stalf von N26 meinte dazu, dass es keine Existenz von Sicherheitslücken geben würde. Er betonte dabei, dass N26 in vielen Fällen sogar besser als der Durchschnitt sei.

Neue Betrugsmaschen vorhanden

So gibt es einfach verschiedene Bedrohungsszenarien, gegen die man sich ständig weiterentwickeln muss. N26 sei mit der Finanzaufsicht Bafin dabei auch komplett einer Meinung. Gegenüber neuen Bedrohungen muss direkt reagiert werden. So hatte die Bafin vor 2 Jahren noch für die Identifizierung mittels Videochat gefordert, dass Kunden darauf hingewiesen werden müssen, dass sie gerade ein Konto bei der Bank eröffnen. Ferner muss dabei auch erklärt werden, dass keine Dritten Zugang dazu haben. Beides würde derzeit bei N26 nicht ausdrücklich betont.

N26 gilt derzeit als Start der Startup Szene

Täglich eröffnet die Direktbank N26 derzeit mehr als 10.000 Konten und ist somit schon ein heimlicher Star der deutschen Startup Szene. Leider scheint dies auf Kosten des Kundensupports zu gehen, denn das Startup Magazin Gründerszene berichtet von einem N26 Kunden, dem insgesamt 80.000 EUR gestohlen wurden. So versuchte er wohl knapp 2 Wochen die Direktbank N26 zu erreichen. Dies leider erfolglos. In der Zwischenzeit war seine Firmenexistenz durch den Verlust der 80.000 EUR mehr als gefährdet.

Die Direktbank N26 wollte das Geld zunächst auch nicht ersetzen. Erst nach einer Presseanfrage vom Magazin Gründerszene wollte die Bank dem Kunden dann eine Erstattung garantieren. Leider ist die verzögerte Reaktion von N26 kein Einzelfall, wie durch Recherchen von heise Online bekannt wurden. So klagen wohl eine Vielzahl von Kunden der Direktbank N26 von unzureichendem und schlechten Service. Die Absicherung der N26 Konten wirft zudem auch viele Fragen auf.

80.000 EUR verloren – unzureichender Kundenservice

 

Laut dem Bericht aus der Gründerszene konnte sich der Kunde Ende Februar nicht mehr in die App auf seinem Smartphone einloggen. So hatte er keinen Zugriff auf das Konto, welches bei der N26 Bank ist. Die Direktbank N26 bietet auch keinen Telefonsupport mehr an und der Live-Chat ist nachts nicht besetzt. Der Kunde schrieb somit eine E-Mail an die Bank. Allerdings wurde diese tagelang nicht beantwortet. Es gab hierbei lediglich eine automatisierte Antwort E-Mail, die somit automatisch versendet wurde.

Kontakt über einen Chat Kanal

Mehr als 2 Wochen dauert es dann, bis der Kunde endlich einen Mitarbeiter der Direktbank N26 über einen Chat Kanal erreichen konnte. Dieser verschaffte sich dann einen Blick auf das Konto und teilte dem Kunden mit, dass zwar mal 80.000 EUR auf dem Konto gewesen seien, allerdings nun noch 12,26 EUR. So wurde dem Kunden dann empfohlen eine Anzeige bei der Polizei zu machen. Ein persönliches Gespräch am Telefon zu führen wäre laut dem Chat Support nicht möglich.

Situation existenzbedrohend

Der Kunde verwaltete als selbstständiger Unternehmer sein Konto bei der Direktbank N26. Er benötigte dieses auch sehr dringend, da er schließlich den Gewerbebetrieb am Laufen halten musste. Durch die recht langsame Reaktion der Direktbank N26 konnte der Kunde dann schließlich seine Lieferanten nicht mehr bezahlen. Die Existenz war damit bedroht und neben der Zahlung an die Lieferungen war der Kunde auch nicht mehr in der Lage seine Miete zu bezahlen.

Äußerungen von N26 zu dem Vorfall

Heise online befragte schließlich eine Sprecherin der Direktbank N26 zu dieser Situation. Diese gab an, dass es immer wieder mal vorkommt, dass Kunden ihre persönlichen Daten mit Betrügern teilen würden. So kommt es dann zu Betrugsfällen und N26 sperrt dann in solchen Fällen die jeweils betroffenen Konten. Hierdurch sollen weitere Schäden verhindert werden und es soll dadurch eine Hilfestellung geleistet werden. Der Kundenservice wäre per App als auch per Live-Chat auf der Webseite sowie per E-Mail erreichbar. Die Bank würde den Kunden auf Wunsch sogar zurückrufen. Dies vor allem auch in dringenden Fällen, wie beispielsweise einem Betrugsverdacht.

Die Direktbank N26 hofft indes auf eine Besserung. Vor allem bezogen auf den Kundenservice. So habe sie unter anderem festgestellt, dass die Kunden nicht ausreichend genug zurückgerufen wurden. Die Bank möchte sich dafür klar bei ihren Kunden entschuldigen. So habe man daraufhin spezielle Schulungen durchgeführt. Die Bank habe zudem ein entsprechendes Kompetenzteam zusammengestellt, welche die Überwachung und Sicherstellung eines effizienten und für den Kunden erreichbaren Supports gewährleisten sollen. Weitere Vorkommnisse dieser Art sollen daher verhindert werden.

Kein Einzelfall

Dieser Betrugsfall in Höhe von 80.000 EUR soll laut dem Bericht der Gründerszene kein Einzelfall gewesen sein. So habe man weiter recherchiert und einen weiteren Fall entdeckt. Bei diesem Fall sollen dem Kunden rund 4.000 EUR gestohlen worden sein. Hier reagierte die Bank dann leider auch nicht. So wäre der Kunde am Ende dann auf seinem Verlust sitzen geblieben. Durch Recherchen unsererseits haben wir ebenfalls feststellen müssen, dass sich nicht um Einzelfälle handelt. Gegenüber heise online meldeten sich zudem mehrere aktuelle und auch ehemalige Kunden der Bank N26. Der kaum vorhandene Kundenservice war dabei ebenfalls ein Thema und wurde wieder genannt. So hat die Bank wohl in mehreren Fällen nach Angriffen auf die Konten kein Geld an die jeweiligen Kunden zurückerstattet. So beschäftigt sich derzeit die Verbraucherzentrale in Sachsen mit verschiedenen, vergleichbaren Fällen dieser Art bei N26. Es scheint somit so zu sein, dass die 80.000 EUR Verluste nur dadurch zurückerstattet wurden, da der Kunde die Presse eingeschaltet hatte.

Phishing Attacken

In vielen Betrugsfällen handelte es sich um Phishing Attacken. Während einer sogenannten Phishing Attacke wird dem vermeintlichen Opfer ein Link zu einer Webseite geschickt. Diese Seite sieht der eigentlichen Seite der Bank zum Verwechseln ähnlich. Wenn sich das Opfer dann auf der Seite mit seinen Daten anmeldet, kann der Angreifer diese Daten dann verwenden und hat dann einen Zugang zu dem Konto. In den vorliegenden Betrugsfällen haben die Angreifer dann vermutlich das Passwort geändert und so das Opfer direkt aus dem eigenen Account ausgesperrt.

Es ist in solchen Fällen sehr häufig umstritten, wer in diesem Fall für den Schaden aufkommen muss. Die Bank muss dem Kunden hierbei nur Fahrlässigkeit nachweisen, wenn sie das gestohlene Geld nicht zurückerstatten möchte. Es ist jedoch meist fraglich, was genau als fahrlässig in solchen Situationen gilt.

Kontensicherheit bei N26 fraglich

Bei den meisten Onlinebanken reicht im Regelfall kein reiner Zugriff auf das Konto aus um hier direkt Geld überweisen zu können. Sicherheitsexperten sind sich daher einig, dass normalerweise eine TAN vor der Überweisung abgefragt werden sollte. Solche Sicherheitsnummern werden im Normalfall von den meisten Banking Apps auf den Smartphones mittels einer Transaktion von der Bank genau generiert. So werden diese dann als SMS oder in einer App an den Kunden versendet. Einige Banken machen dies auch noch mittels Smartcards oder TAN Generatoren. Dies macht das Konto nochmals sicherer und schützt vor unbefugtem Zugriff. Der Kunde muss somit neben seinem persönlichen Kennwort noch die Kontrolle über sein eigenes Handy oder die Smartcard haben, damit er hier Geld überweisen kann. Eine solche Sicherheitsmaßnahme scheint es jedoch bei N26 nicht zu geben. Dies vereinfache wohl die Angriffe von den Betrügern sehr stark.

In den Konten bei der N26 Bank gibt es wohl für Überweisungen eine vierstellige PIN Nummer. Diese ist jedoch nicht an eine Transaktion gebunden und der Kunde kann sie ganz einfach in seiner App flexibel ändern. Nachdem die Betrüger dann einen Zugriff auf das Konto haben, haben sie dies dann vermutlich auch direkt getan. Es kommt zudem erschwerend hinzu, dass es bei N26 kein Überweisungslimit pro Tag gibt. So kann der Betrüger problemlos bis zu 50.000 EUR an nur einem Tag überweisen. Die Direktbank N26 wollte auch auf diese Nachfrage keine Stellung beziehen.

Nicht zum ersten Mal sind die Sicherheitsvorkehrungen in der Kritik

Bei der Direktbank N26 stehen die Sicherheitsvorkehrungen nicht zum ersten Mal in der Kritik. Beim 33. Chaos Communications Congress im Dezember 2016 wurde bekannt, dass der Sicherheitsforscher Vontent Hauper sich problemlos und mit recht einfachen Tricks einen Zugriff auf ein N26 Konto verschaffen konnte. Der Sicherheitsforscher erreicht dies über einen Zugang auf die API der N26 Server. Dieser konnte so auch Überweisungen tätigen. Schon damals warnte Vincent Haupert vor der großen Gefahr durch solche Phishing Attacken auf die Server von N26. Nach Aussage der Bank N26 arbeitet diese permanent an der Verbesserung der Sicherheitsvorkehrungen und analysiert jeden einzelnen Betrugsfall zudem genauestens.

Fall von Geldwäsche bei N26

Es geht bei N26 wohl auch nicht nur um Geldwäsche. So soll es bereits einen ersten großen Fall von Geldwäsche gegeben haben. Es heißt hierbei, dass die Direkt N26 mit Ambitionen in der Schweiz Geld gewaschen haben soll. Für digitale Banken ist somit die Methode der Online Betrüger völlig neu. Aus diesem Grund wird die Direktbank N26 derzeit sehr stark durchleuchtet. Deutsche Journalisten haben nun neben den verschiedenen Betrugsfällen und dem auch noch eher schlechten Kundenservice auch noch einen Fall von Geldwäsche aufdecken können. So sind wohl nach Recherchen von NDR und der Süddeutschen Zeitung mehrere hundert Konten der Berliner NEO Bank zur Geldwäsche im Zusammenhang mit einem Onlinebetrug verwendet worden.

Mehr als 400 Konten für Fakeshops und betrügerische eBay Nutzerkonten

Dem NDR als auch der Süddeutschen Zeitung liegt eine Liste von knapp 400 Konten der Direktbank N26. Diese sind mit deutschen IBAN Nummern ausgestattet und wurden dabei für verschiedene Fakeshops sowie betrügerische eBay Accounts verwendet. Der Bank fielen diese merkwürdigen Kontoverbindungen erst sehr spät auf, bis diese dann endlich gesperrt wurden.

Die Betrüger sind in dem Fall wohl durch sogenanntes Job Scamming an die Daten der Nutzer gekommen. Hierbei handelt es sich wohl um Identitätsdiebstahl bei der Internetwerbung. In den Medien wurde dabei von einem Angestellten aus Bayern berichtet, der an eine falsche Marktforschungsfirma geraten war. Diese war auf der Suche nach Produkttestern, die für das Unternehmen den Videochat von N26 überprüfen sollten. Durch den vermeintlichen Testanruf eröffnete der junge Mann dann aber nicht nur zu Testzwecken ein Konto, sondern auch wirklich.

Kundenservice von N26 versagte auch hier

Die Konten wurden durch die Täter übernommen und darüber wurden dann kriminelle Geschäfte abgewickelt. So versuchte der Kunde dann zwei Wochen lang den Kundenservice zu erreichen. Dem Kunden wurde dabei zunächst mitgeteilt, dass das Konto geschlossen wurde. Dies auch erst dann, als sich der NDR und die Süddeutsche Zeitung hierzu einschalteten. Auch hierbei gab der N26 Chef Valentin Stalf an, dass die Kommunikation mit dem Kunden schlecht gelaufen wäre und die Bank alles getan habe, damit der Schaden möglichst minimal gehalten wurde.

Mangelhafte Überwachung von auffälligen Transaktionen

Das Problem liegt Recherchen zufolge bei er Direktbank N26 und vor allem an der mangelnden Überwachung der verdächtigen Transaktionen. Kriminelle konnten die Konten beispielsweise für einige Wochen ohne Probleme für ihre Zwecke verwenden um das Geld für ihre eigenen Zwecke zu waschen.

Spricht man den N26 Chef auf die mangelnde Überwachung an, sagt dieser, dass die Direktbank N26 in vielen Bereichen deutlich sicherer sei als der übliche Marktdurchschnitt.

Reaktion auf neue Betrugsmaschen

Die Bank N26 gab indes bekannt, dass es verschiedene Bedrohungsszenarien gäbe, für die eine ständige Weiterentwicklung nötig ist. Die Bank sagte zudem, dass sie das gleiche Interesse habe wie die Finanzaufsicht der Bafin. Alle Verfahren würden daher noch sicherer gemacht und neue Maschen im Rahmen von Betrug würde zudem auch direkt reagiert.

Vor zwei Jahren hatte die Bafin zudem auch schon Anforderungen für die Identifizierung per Videochat gefordert und formuliert. Dabei heißt es, dass Kunden im Verlauf des Chats ausdrücklich darauf hingewiesen werden sollen, dass sie gerade auch ein Bankkonto eröffnen. Ferner sollen sie darauf hingewiesen werden, dass sie keinen Dritten Personen Aufträge darüber erteilen sollen. Letzteres fragt die Bank N26 wohl anscheinend nur eher zögerlich und zaghaft ab. Viele würden so wohl nicht bemerken, dass sie sich in einem Betrugsfall befinden.