Auch Genossenschaftsbanken wie die Volksbank Freiburg sowie die Volksbank Rottweil sperren (vorübergehend) Online-Überweisungen an Onlinebanken wie N26, Fidor und weitere. Grund sind die in letzter Zeit vermehrt aufgetretenen Betrugsfälle bei diesen Onlinebanken unter den Fintech-Startups.
Anzeige
Es sind zwei Meldungen, die mir zum Wochenende unter die Augen gekommen sind. Daher das Ganze einmal kurz thematisiert.
'Erfolgszahlen' der N26-Bank
Einmal berichtet Techcrunch in diesem englischsprachigen Beitrag über die 'glänzenden Zahlen' des Fintech Startups N26. Die Bank hat mittlerweile 3,5 Millionen Kunden in 24 europäischen Märkten. Neben der Eurozone ist N26 derzeit in Großbritannien, Dänemark, Norwegen, Polen, Schweden, Liechtenstein und Island aktiv.
Dann werden Erfolgszahlen heruntergebetet: Im November 2018 kündigte N26 an 2 Millionen Kunden zu erreichen, im Februar 2019 2,5 Millionen Kunden. Jetzt sind es 3,5 Millionen Kunden – ein enormes Wachstum. Das Unternehmen ist laut Techcrunch dabei, in neue Länder wie die USA und Brasilien zu expandieren. Aber es werden Zweifel laut, ob das Unternehmen dazu noch nicht bereit sei.
Immer wieder Auffälligkeiten
Und dann gibt es noch die andere, schmutzige Seite der Medaille, bei der das N26-Fintech Startup immer wieder genannt wird. Denn die Onlinebank fällt immer wieder negativ auf: Im März 2019 berichtete u.a. heise über Betrugsfälle, bei denen das Fintech-Startup überfordert scheint. Dann kam dann die Meldung, dass die Finanzaufsicht Bafin Nachbesserung bei der Geldwäscheprävention von der N26-Bank verlangt. Und im Beitrag hier berichtet heise, dass die N26-Bank eine Geldstrafe von 50.000 Euro wegen Verstoßes gegen die DSGVO aufgebrummt bekam. Ich hatte das kürzlich im Blog-Beitrag N26-Bank mit Problemen? zusammen gefasst. Aufhänger war, dass jemand sich beschwerte, dass seine Überweisungen an die N26-Bank erst nach Rückfrage getätigt würden.
Anzeige
Banken verweigern Überweisung an N26 und weitere
Eigentlich ist man ja gewohnt, dass Banken Überweisungen ausführen, so dass Zahlungen den Empfänger erreichen. Problem ist natürlich, dass mit Online-Überweisungen auch Schindluder getrieben wird und Cyber-Kriminelle ein Konto abräumen können. Da versuchen die Banken auffällige Transaktionen zu überwachen und stoppen die unter Umständen.
(Quelle: Pexels / Pixabay CC0 Lizenz)
In obigen Beitrag berichtete ich, dass erste Banken in Deutschland online getätigte Überweisungen zu N26 nicht mehr direkt, wie vom Kunden gewünscht, ausführen. Vielmehr werden diese gestoppt, bis die Kontonutzer nach Rücksprache mit der Bank ihre eindeutige Freigabe erteilt haben.
Zum Wochenende ging dann die Meldung durch die Presse, dass Volksbanken die Überweisungen an diverse Onlinebanken wie N26 oder Fidor vorläufig gesperrt habe. Basis ist eine DPA-Meldung, auf die sich heise und andere Medien berufen.
"Die Volksbank Freiburg hat aufgrund einer Zunahme an Betrugsfällen im Online-Banking den Zahlungsverkehr mit den Direktbanken N26, Fidor, Revolut, bunq, Solarisbank temporär eingestellt", teilte ein Sprecher der Volksbank DPA auf Anfrage mit.
Auch die Volksbank Rottweil hat N26 und Fidor nach Angaben von Institutschef Henry Rauner auf 'einer schwarzen Liste'. Erst wenn der Kunde auf Nachfrage die Richtigkeit bestätige, werde das Geld freigegeben. Nach Rauners Angaben konnten Mitarbeiter seines Instituts mit 42.000 Kunden so schon in zwei bis drei Fällen betrügerische Transaktionen verhindern.
Das Problem: Bei den genannten Fintechs und Onlinebanken können Kunden per Video-Identverfahren ein Konto, auch aus dem Ausland, eröffnen. Das wird von Online-Kriminellen genutzt, um Betrugsserien durchzuziehen. Banken haben aber oft Schwierigkeiten, einen Ansprechpartner bei den oben genannten Onlinebanken zu bekommen, um bei Betrugsfällen die Überweisungen an Auslandskonten zu stoppen. Der Sprecher der Volksbank sagte:
"Hintergrund ist, dass aktuell gerade diese Banken von vermeintlichen Betrügern aufgrund von einfachen Identifikationsverfahren wie beispielsweise Foto-Identifikation – außerhalb von Deutschland – als Zielkonto für vermeintliche Straftaten genutzt werden."
Der DPA-Bericht gibt an, dass bei der Volksbank Freiburg der Hintergrund für den Überweisungsstopp Angriffe auf Kundenkonten war, bei dem das sogenannte mTAN- oder mobileTAN-Verfahren zum Einsatz kam. Dort werden TANs an ein Handy gesandt und müssen zur Transaktionssicherung angegeben werden. Das Verfahren gilt aber als höchst unsicher. Im aktuellen Fall scheinen Kriminelle zunächst die Zugangsdaten für das Online-Banking abgegriffen zu haben. An die TANs kommen sie dann über Ersatz-SIM-Karten, die sie mit falschen Angaben beim Mobilfunkanbieter erschleichen. Überrascht war die Bank über die Schnelligkeit und Professionalität der Zugriffe:
Sobald die Betrüger sich erfolgreich Zugang zum Online-Banking und einem TAN-Verfahren verschafft haben, finden die Verfügungen in wenigen Minuten statt", berichtete der Sprecher.
Fällt der Betrug auf, ist das Geld meist schon weiter ins Ausland transferiert oder in digitale Währungen wie Bitcoin umgetauscht. Die betroffenen Banken betonen, dass alles in Ordnung sei. DPA zitiert Volksbank-Chef Rauner, dass dieser jedoch den Eindruck nicht los werde, dass Finanz-Start-ups ("Fintechs") Betrügern das Geschäft erleichtern.
"Die Identitätspflichten werden vielleicht nicht so streng gehandhabt und auch im Geldwäschebereich sind vielleicht die Systeme nicht auf dem Stand, den auch die Aufsicht sich wünscht."
Die Volksbank Freiburg will spätestens an diesem Dienstag ihre Systeme technisch so angepasst haben, dass die Sperre wieder aufgehoben werden kann.
Ähnliche Artikel:
N26-Bank mit Problemen?
IT verursacht Überweisungspannen bei der Commerzbank
First American Financial Corp.: Millionen Nutzerdaten öffentlich
Finanzsektor: Vorletzter Platz bei Anwendungssicherheit
Anzeige
Wirft allerdings auch nicht unbedingt ein gutes Licht auf die Volksbank (und andere Banken, die ähnlich agieren). Immerhin sind die mit Teil des grundlegenden Problems, weil sie auf ein unsicheres SMS-Tanverfahren setzen / es ermöglichen. Möglichst noch auf dem gleichen Gerät, wo die Banking-App läuft, damit das alles eine tolle, moderne und hippe Banking-Erfahrung für Otto-Normalo ist.
Mit dem SMS-TAN-Verfahren hast Du Recht – das kritisiere ich hier im Blog schon lange als potentiell unsicher. Aber Du schreibst es: Die Leute wollen es.
Gerade einen Kommentar auf Mewe zu meinem obigen Artikel kassiert:
Da fällt mir nur noch wenig zu ein. Aber wie weiß der Volksmund: 'Der Krug geht solang zum Brunnen, bis er bricht'.
Zusammengefasst:
– Konto/Online-Zugang des Volksbank-Kunden gehackt – check
– SmsTAN des Volksbank-Kunden gehackt (Ersatz-SIM, Malware, wasauchimmer) – check
– Zahlungen an Banken werden gestoppt (egal, ob die nun Sparkasse oder N26 heißen).
Da liegt das Problem doch eher bei den Volksbanken, oder?
Klar, bei den Online-Banken gibt es nun niemanden, der den Personalausweis des Kunden mal physisch in der Hand hatte, aber…
PS: Die DKB erlaubt nicht mal, den TAN-Generator auf einem gerooteten/Bootloader-unlocked Smartphone auszuführen – dabei habe ich dort ein besseres Patch-Level, als auf einem Hersteller-originalem Smartphone.
edit: zumindest bei LineageOS, wo regelmäßig Betriebssystem-Updates kommen.
Das Problem ist ein anderes: Die Fintechs sind i.d.R. im Fall der Fälle nicht erreichbar – und wenn die Online-Banken Online-Kriminelle anlocken, wird es für andere Banken schwierig – mitgegangen, mitgefangen, mit gehangen.
Dass das mit dem mTAN doof ist, hatte ich ja bereits erwähnt.
Grundlegend hat dann doch aber die VR verkackt, was die Sicherheit des Onlinebankings angeht. AFAIK müssen die für sowas selbst haften und nicht der Kunde.