Wenn Deine Bank plötzlich ein Sicherheitsproblem hat und durch Unerreichbarkeit glänzt – N26 im Verruf oder berechtigte aber ungehörte Kritik?

Fintechs und Insurtechs sind aktuell bzw. immer noch der große Hype. Mal schnell eine Haftpflicht über das Handy abschließen für gerade mal 30 Tage? Machbar! Ein Konto ausschließlich über das Handy führen, mit VideoCall zur Verifizierung? Machbar! Aber da wir Deutsche ein “spezielles” Verhältnis zu Geld und damit verbundenen Banken haben, setzt sich auch bei den Fintechs die Einsicht durch, dass eine Bankenlizenz eine gewisse Notwendigkeit darstellt. Hier war N26, vormals Number26, Vorreiter und einer der ersten, der sich in Deutschland aus der Position Fintech heraus um eine bemüht hat. Das dies aber kein Garantie für Sicherheit oder Erreichbarkeit darstellt, erleben momentan betrogene Kunden, das N26-Management und das weltweite Internet.

Fintechs und Insurtechs sind aktuell bzw. immer noch der große Hype. Mal schnell eine Haftpflicht über das Handy abschließen für gerade mal 30 Tage? Machbar! Ein Konto ausschließlich über das Handy führen, mit VideoCall zur Verifizierung? Machbar! Aber da wir Deutsche ein “spezielles” Verhältnis zu Geld und damit verbundenen Banken haben, setzt sich auch bei den Fintechs die Einsicht durch, dass eine Bankenlizenz eine gewisse Notwendigkeit darstellt. Hier war N26, vormals Number26, Vorreiter und einer der ersten, der sich in Deutschland aus der Position Fintech heraus um eine bemüht hat. Das dies aber kein Garantie für Sicherheit oder Erreichbarkeit darstellt, erleben momentan betrogene Kunden, das N26-Management und das weltweite Internet.

Wenn Dein Fintech namens N26 plötzlich ein massives Sicherheitsproblem hat / Bildquelle: N26 Newsletter
Wenn Dein Fintech namens N26 plötzlich ein massives Sicherheitsproblem hat / Bildquelle: N26 Newsletter

Wer nicht weiß, worauf ich anspiele, möge bei Google N26 80.000€ eingeben: die Liste der Treffer, vor allem auch internationaler Seiten, ist sehr umfangreich. Wer das komplette Drama im Detail mitlesen möchte, nutze diesen Link von gruenderszene.de.

Doch, kurz zusammen gefasst, was war passiert:
Einem N26-Kunden wurde das komplette Konto leer geräumt. Gemerkt hat er es erst, als er, selbstständiger Unternehmer, sich über sein Handy einloggen wollte, um Rechnungen für sein Business zu bezahlen. Dies war Mitte Februar.
Alarmiert durch den Fehler beim Login versucht er telefonisch seine Bank zu erreichen – um eine Ansage zu hören, dass der Telefon-Support zu Gunsten des Chatbots eingestellt wurde. Dieser ist allerdings nicht rund um die Uhr erreichbar.

Erreichbarkeit von N26 - NUR per Chat! / Bildquelle: n26.com Webseite
Erreichbarkeit von N26 – NUR per Chat! / Bildquelle: n26.com Webseite

Also wurde aus dem Vorhaben, schnell mal dringend ein paar Rechnungen zu überweisen – nichts. An sich ein Todesurteil für einen Selbstständigen.

Ich weiß – und auch im Internet brandeten sofort Beschimpfungen und Mutmaßungen von “Wer alles kostenlos will, selber schuld” bis hin zu “Wärst Du halt mal zu einer richtigen Bank gegangen” los – es existiert ein gewisses Misstrauen auf der einen oder eine totale Euphorie neuen “Erfindungen” gegenüber auf der anderen Seite.

Aber, wie ich dieses Jahr auch in meiner Serie der Sicherheit kund getan habe, ist der Nutzer nur EINE Seite der Medaille (zum Nachlesen: Teil 1 und  Teil 2). Auch der Anbieter muss seinen Teil erfüllen. Und wenn nun, wie auch im Internet von einigen anderen Nutzern geschildert, aktuell aktiv Kunden der N26-Bank mit social engineering angegriffen werden, MUSS die Bank reagieren und kann den Kunden nicht einfach “im Regen stehen” lassen, wie geschehen.

Besonders erschütternd ist der Chatverlauf bei gruenderszene, in dem der Betroffene explizit nach einem Telefonkontakt fragt – und ihm lapidar mitgeteilt wird, dass die Bank keinen telefonischen Support mehr bietet. Dies steht nun im krassen Widerspruch zu einem Interview mit einem der Gründer, der nun plötzlich sagt, dass Kunden in solchen Fällen sehr wohl zurück gerufen werden.

Summa summarum hat der betroffene Bankkunde einen Höllenritt erlebt, was ihm, dank schlechter Schulung des Chat-Bank-Mitarbeiters Wohnung, Firma und Mitarbeiter hätte kosten können. Da ist der schwache Trost, dass die Bank das fehlende Geld, wie gesagt, wir reden von 80.000€ Kapital, ersetzt hat, das mindeste was man erwarten kann.

 

Da die Presse nun auf das Thema sensibilisiert ist, werden mehr und mehr Stimmen lauf, die ebenfalls betrogen wurden. Und die Masche scheint aktuell immer die Gleiche zu sein – social engineering .

Phishing scheint es nicht zu treffen, N26 - kümmere Dich endlich um Sicherheit und ein Notfall-Telefon! / Bildquelle: N26-Newsletter
Phishing scheint es nicht zu treffen, N26 – kümmere Dich endlich um Sicherheit und ein Notfall-Telefon! / Bildquelle: N26-Newsletter

Details hierzu in einem Artikel bei t3n:
Anruf mit vermeintlicher Nummer der N26-Bank im Display, fließend auf Deutsch, mit Hinweis auf ein Sicherheitsproblem. Die dann abzuarbeitende Prozesskette zwischen vermeintlichen “Bankmitarbeiter” und Kunden entspricht den Erwartungen. Allerdings ist der Betrüger durch vermutliche Abfrage von Login-Daten nun in der Lage, eine andere email-Adresse und ein neues Passwort zu vergeben – und somit Herr über die Kontoführung.

Es ist also mitnichten Phishing, wie N26 uns verharmlosend klar machen möchte, sondern hochkomplex-technische Arbeit im Hintergrund nötig, um so vorgehen zu können! Auch sollte sich die Bank überlegen, ob neben Chatbots nicht auch eine automatische Sicherheitseinrichtung “unübliche” Überweisungen filtern und im Notfall eben stoppen sollte! Damit wären ein Teil der aktuellen Betrugsfälle zu vermeiden gewesen, was auch klar aus dem t3n-Artikel hervor geht: Erst das Konto leer räumen, dann den Dispo-Rahmen ausnutzen und ebenfalls auf ein weiteres Konto in einer Summe überweisen. Spätestens hier hätte eine Alarmglocke einen Mitarbeiter informieren sollen.

Ich zitiere hier die t3n, die es glasklar auf den Punkt bringt:
“Bemerkenswert ist tatsächlich, dass die Sicherheitsmechanismen der Bank trotz des Zusammentreffens mehrerer Auffälligkeiten nicht angeschlagen haben: Änderung der Handynummer (auf ein in England gemeldetes Smartphone), Änderung der E-Mail-Adresse, kompletter Kontoinhalt überwiesen und eine weitere Überweisung bis zum Kreditlimit – und das alles innerhalb von 20 Minuten”.

Diese Vorwürfe muss sich N26 gefallen lassen und dringend nachbessern! Schließlich hat schon einen Hack im Jahr 2016 Wellen geschlagen, als über die eigene API-Schnittstelle Kundendaten ausgelesen werden konnten. Und die Reaktion von N26? Notdürftige Schließung der Lücke, Blogpost mit Verweis auf Schutz der eigenen Identität – ein echtes Trauerspiel, von Anfang an!

Solange die einzige Möglichkeit, mich zu schützen, ein Login aus meiner email-Adresse, die logischerweise auch für andere Zwecke verwendet wird, und einem Passwort ist – handelt im Jahr 2019 die Bank absolut fahrlässig! Was ist mit 2-Wege-Sicherheit? SMS, email oder einem USB-Schlüssel für wenige Euro? Warum greifen interne Mechanismen nicht, wenn – abweichend von bisherigen Aktivitäten – plötzlich das Konto leer geräumt wird? Lasst Euch von Mails wie der aktuellen nicht verunsichern: ein gutes Passwort, also in der Länge von 15 und mehr Zeichen ist der beste Schutz. Klar, passt auf Phishing auf – solange es nicht, wie in einigen Fällen, telefonisch unter der früheren N26-Rufnummer (0 30 – 3 64 28 68 80) erfolgt. Es gilt die alte Regel: Mitarbeiter, die telefonisch nach Passwörtern fragen, sofort ohne Aussage abwürgen! Kein Mitarbeiter wird telefonisch jemals ein Passwort abfragen!!!

Wenn ihr jetzt unsicher seid, ob ihr bei N26 gut aufgehoben seid, kann ich Euch nur ganz altmodisch raten: Geld ist Vertrauenssache. Wenn ihr wert auf persönlichen Kontakt, und sei es eben nur per Telefon, legt, sucht Euch eine neue Bank.
Vielleicht nicht wieder ein Fintech, eher ein Online-Angebot “klassischer” Banken. Aber auch da gilt: für die Sicherheit, und das bedeutet in erster Linie, Euer Passwort, seid ihr immer selbst verantwortlich!

PS: Da hier aktuell viel im Köcher ist und täglich neues passieren kann, was Teile meines PodCasts sowie der zugehörigen Shownotes und des BlogPosts “überholen” kann, folgende Info: dieser Artikel wurde am 03.04.2019 um 09:22 Uhr geschrieben (mit Veröffentlichungsdatum 07.04.2019) und nimmt Bezug auf zu diesem Stichtag, auch der 03.04.2019, vorliegenden Informationen. Wie gewohnt könnt ihr mit einem Update rechnen, wenn es neues hierzu gibt.

 

 

 


Meinen PodCast abonnieren: | direkt | iTunes | Spotify | Google |

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.