Es war eine nette Überraschung der unangenehmen Art, die mir der Finanzdienstleister Scalable Capital bereitet hat. Das von der Online-Bank ING vor einiger Zeit für Anleger empfohlene Robo-Advisor-Startup versuchte die Zustimmung für neue AGB einzuholen. Dabei ist aber alles schief gegangen, was bei einer solchen Aktion schief gehen kann. Das wirft natürlich die Frage auf, wie es im Umfeld von Open Banking um die Sicherheit von Bankkonten und Finanzdienstleistungen geht.
Anzeige
Im Bereich Banking befindet sich die Branche momentan im Umbruch. Geschäftsbanken versuchen sich in neuen digitalen Modellen beim Online-Banking, und Fintech-Startup meinen, die Branche "vor sich her treiben zu müssen", weil etablierte Banken schnarch langsam seien. Dass das häufig nach hinten los geht, hatte ich ja schon mehrfach an einzelnen Fällen im Blog aufgegriffen. Nun habe ich einen neuen Fall, der zeigt, wie in der Branche schon mal mit heißer Nadel gestrickt wird.
Hintergrund zu Scalable Capital
Laut Eigenauskunft wurde Scalable Capital 2014 von Erik Podzuweit, Florian Prucker, Adam French und Prof. Dr. Stefan Mittnik gegründet. Ein internationales Team an den Standorten München, Berlin und London vereint umfassende Kenntnisse von Kapitalmarkt und Finanzindustrie mit jahrzehntelanger Forschungserfahrung in der Risikomodellierung, Know-how zu digitalen Geschäftsmodellen sowie technischem und rechtlichem Wissen.
Auf den Anbieter wurde ich aufmerksam, weil die ING-Bank ihren Kunden Scalable Capital als "Robo-Advisor" für Anlagen im Wertpapierbereich empfohlen hat (man konnte direkt von den ING-Seiten die Eröffnung eines Kundenkontos anstoßen – so was teste ich dann schon mal). Auf finanzen.net heißt es, dass Scalable Capital ein Pionier und der Marktführer unter den Robo-Advisors in Deutschland sei. Dort werden Wertpapier-Portfolios über Algorithmen für die Anleger verwaltet.
Der digitale Vermögensverwalter ist für ein großen Anlagevolumen verantwortlich und wurde bereits mehrfach ausgezeichnet, heißt es bei finanzen.net. Das Magazin Capital führt den Anbieter beispielsweise als "Sieger beim Test der wichtigsten Robo-Advisors". Wie das Magazin aber testet, entzieht sich meiner Kenntnis – im Zweifelsfall war deren "Prospekt" am überzeugendsten. Auf finanzen.net erfährt man weiterhin, dass BlackRock, Holtzbrinck Ventures und Tengelmann Ventures die drei großen Geldgeber hinter Scalable Capital sind. Insgesamt 66 Millionen Euro haben die drei Investoren laut Artikel in den Robo-Advisor gesteckt. Also alles allererste Sahne?
Anzeige
Fail: Versuch einer AGB-Zustimmung
Scalable Capital benötigt aktuell eine Kundenzustimmung zu einer AGB-Änderung, die man elektronisch von seinen Kunden anfordert (ist auch in Ordnung). Wenn die ING-Bank mir einen Partner für Kapitalanlagen vorschlägt, erwarte ich, dass dieser Anbieter wenigstens die Basics der Kundenkommunikation professionell abwickeln kann. Allerdings ist mir bei diesem Vorgang dann doch etwas die Kinnlade herunter gefallen, als ich das näher angeschaut habe.
Mit Phishern im gleichen Boot
Es begann mit einer Mail von Scalable Capital (siehe obiger Screenshot), in der man zur Zustimmung zu neuen Vertragsbedingungen aufgefordert wurde. In der Mail ein "Zur Bestätigung"-Button, der zur Anmeldeseite für das Kundenkonto verlinkte. Echter Komfort dieses Anbieters – anklicken, einloggen und loslegen …
Dumm nur, dass ich zuhauf ähnliche Mails von Phishern bekomme, die nichts anderes im Sinn haben, als die Online-Zugangsdaten von Bank-Kunden abzufischen und für dubiose Vorhaben zu missbrauchen. Und die Mannschaft des Robo-Advisors reiht sich in die Phalanx der Phishing-Mafia ein?
Verwirrung beim Login
An dieser Stelle war ich bereits leicht angesäuert – habe also den Link und dann auf der Ziel-Webseite das Zertifikat überprüft, um mir sicher zu sein, dass ich wirklich auf der Anmeldeseite des Anbieter war. Dort erlebte ich dann die nächste unschöne Überraschung.
Die Anmeldeseite enthält ein Login-Formular, in dem man seine E-Mail-Adresse und das Kennwort eintippen muss. Es gibt zwar einen Link Zur Depotführung durch ING. Mir war aber in Erinnerung, dass ich bei der Eröffnung eines Kontos auf der Scalable Capital-Webseite explizit ein Benutzerkonto einrichten musste – obwohl der Vorgang in der ING-Umgebung angestoßen worden war. Die Integration ING – Scalable Capital war seinerzeit schon mehr als holprig – und weil es um eine AGB-Zustimmung ging, nahm ich an, dass die Anmeldung auf der gezeigten Seite erfolgen solle.
Aber die Anmeldedaten für mein Benutzerkonto wurden nicht angenommen. Der Link Passwort vergessen versprach, dass mir ein Link für eine geänderte Anmeldung zugesandt werden sollte. Alleine, in meinen Postfächern ging keine Mail ein.
Irgendwann dämmerte mir, dass ich ja über die ING-Empfehlung zu Scalable Capital gelangt bin und habe den Link Zur Depotführung durch ING angewählt. Das Anmeldeformular sieht gleich aus, hat nur die Überschrift "Depotführung durch ING" – und heureka, die Anmeldung klappte mit meinen Benutzerdaten.
Gut, man kann postulieren, dass ich zu blöd für so was bin. Aber ich bin mir sicher, dass 90 % der Online-Banking-Kunden weder in der Lage sind, ein Zertifikat bei der Banking-Seite zu überprüfen, noch ad-hoc sicher sind, welche Login-Seite man bei Scalable Capital denn nun verwenden soll (die Antwort des Anbieters bestätigt, dass die meisten Kunden Probleme haben). Ein einfacher Hinweis in der Rundmail hätte für Kunden Klarheit bringen können – dafür fehlte aber wohl die Zeit oder das Gespür – zumal den Leuten die Problematik bekannt ist, wie ich aus der Antwort des Anbieters weiter unten entnehmen konnte.
Blockierte Benutzerkonten-Seite
So richtig die "Pferde kotzen" habe ich dann aber nach der erfolgreichen Anmeldung am Benutzerkonto gesehen. Mir wurde eine Seite "Aktualisierte Vertragsbestimmungen" angezeigt (siehe folgende Abbildung), aber es gab keine Möglichkeit, im Browser per Maus oder Scrollrad in diesem Formular nach unten zu scrollen.
Die Schaltfläche zum Zustimmen oder zur Ablehnung war schlicht nicht erreichbar – und ich konnte auf der Kontoseite nichts mehr machen, weil diese Überblendung als "modal" ausgeführt worden war. Selbst eine Abmeldung vom Kundenkonto wäre nicht mehr möglich gewesen, weil der Abmeldelink unerreichbar war.
Durch Zufall habe ich dann festgestellt, dass ich den Text des Formulars per Maus markieren und so ein zwangsweises Scrollen bis zum Seitenende mit einer Schaltfläche zum Zustimmen sowie einem Link für eine spätere Zustimmung in das Browserfenster holen konnte. Dort habe ich die Zustimmung zu den neuen AGB natürlich nicht erteilt, sondern den Vorgang zurück gestellt und mich vom Benutzerkonto abgemeldet.
Mixed Content in Seite des Benutzerkontos
Neugierig geworden, habe ich vorher noch die Entwicklertool-Seite des Browsers geöffnet , um mir ggf. die Details genauer anzusehen. Dort wurde ich mit der nachfolgend gezeigten Fehlermeldung samt Warnung überrascht.
Der Browser blockiert einen HTTP-Aufruf, weil die per HTTPS abgesicherte Webseite des Kundenkontos einen ungesicherten HTTP-Request absetzt, um eine Ressource einzubinden. So etwas geht in einer Seite, auf der ein Benutzerkonto verwaltet wird, gar nicht, der Browser hat das dann aus Sicherheitsgründen geblockt.
Ob das für die die Bedienprobleme verantwortlich war, habe ich nicht weiter evaluiert – aber die obigen Fehler dürfen in einer Umgebung für ein Online-Konto im Banking-Umfeld schlicht nicht vorkommen.
Ich habe dem Anbieter sowie der ING-Bank dann jeweils eine Mail mit einer Beschwerde geschickt. Denn weder die ING-Bank, die Scalable Capital empfohlen hat, noch der Fintech-Anbieter, sehen bei diesem Vorgang nicht wirklich gut aus.
Die Antwort von Scalable Capital
Während ich von der ING bis heute keine Reaktion erhalten habe, gab es zumindest von Scalable Capital eine Rückmeldung auf meine Beschwerde, die ich nachfolgend einstelle.
vielen Dank für Ihren ausführlichen Erfahrungsbericht. Als junges, kundenorientiertes Unternehmen schätzen wir ehrliches Kundenfeedback sehr, und möchten im Folgenden auf Ihre Punkte genauer eingehen.
- Wir haben bei der Versendung der E-Mail zum Bestätigen der aktualisierten AGB's darauf geachtet, von unserer Domäne (scalable.capital) zu senden, um die bestehenden Best-Practices einzuhalten. Um Kunden auf mögliche Phising-Versuche aufmerksam zu machen und E-Mails von solchen zu unterscheiden, versenden wir regelmäßig Informationsmaterial und klären zusätzlich auf unseren Social Media Kanälen sowie in unseren FAQ's auf. Dabei gehen wir insbesondere darauf ein, dass der Absender aufmerksam zu prüfen ist.
- Die Dienstleistung von Scalable Capital kann grundsätzlich von zwei Depotbanken in Anspruch genommen werden. Kooperationspartner sind hierbei zum Einen die Baader Bank AG, zum Anderen die ING Bank. Durch die umfangreiche Aktualisierung unseres Logins im April diesen Jahres wurden die Zugänge der verschiedenen Depotbanken getrennt. Kunden wurden hierüber über einen Blog-Post, Social Media und per Mail in Form eines Newsletters informiert. Kurz nach Implementierung des neuen Logins konnten wir feststellen, dass viele Kunden Probleme mit der Anmeldung hatten, weshalb wir nach wie vor an verschiedenen Designs arbeiten. Einen entsprechenden Hinweis in den E-Mails werden wir in Erwägung ziehen. Zusätzlich wird in Kürze ein neues Designupdate veröffentlicht, sodass der getrennte Login ersichtlicher ist. Auch hier waren wir sehr sehr dankbar für das Feedback unserer Kunden und konnten auf dieser Basis eine Verbesserung erzielen.
- Die Problematik der fehlenden Möglichkeit des Scrollens wird schnellstmöglich angepasst, indem wir den Front-End-Code so anpassen, dass ein Scrollen möglich ist, wenn ein Modul über den sichtbaren Bereich hinausgeht.
- Die von Ihnen angesprochene fehlende Verschlüsselung über die http Anfrage, auch wenn diese nur zu einem Redirect nach https führt, hätte so nicht auftreten dürfen. Obwohl neue Prozesse bei Scalable Capital einen strikten Prüfungsprozess durchlaufen, ist uns hier ein Fehler unterlaufen. Wir haben diesen Fehler bereits an die verantwortliche Abteilung weitergeleitet, sowie unseren Chief Information Security Officer über den Missstand informiert. Zwar werden in oben genanntem Fall keine vertrauliche Daten übertragen, dennoch haben wir umgehend und mit höchster Priorität die Sicherheit der Anwendung verbessert und den Umstand bereits behoben.
Wir hoffen, wir konnten mit unseren Erläuterungen Ihre Fragen und Anmerkungen beantworten und sind gerne für einen weiteren Austausch bereit.
Abschließend möchten wir uns nochmals für Ihre Nachricht bedanken. Ausführliche Rückmeldungen wie Ihre helfen uns, unsere Plattform stetig weiterzuentwickeln, um unseren Kunden ein bestmögliches Produkt zu bieten.
Ehrliches, und vor allem ungefiltertes, Kundenfeedback haben die Leute von mir bekommen – ich war ziemlich angepisst (einmal mit Profis arbeiten ist wohl zu viel verlangt). Immerhin sehen die Leute es ein, dass das nicht optimal gelaufen ist – obwohl ich das Gefühl nicht los werde, dass der Textgenerator da richtig heiß gelaufen ist.
Ob ich es allerdings mit dem jungen, kundenorientierten Unternehmen so richtig glücklich werde? Eher nicht – und es deutet sich in obigem Zeilen an, dass die Leute seit längerer Zeit über die Probleme bei der Anmeldung Bescheid wissen, dass aber vor sich her schieben. Böse Zungen könnten bei obiger Schilderung vermuten, dass der Praktikant am Freitag-Nachmittag auch mal ran durfte – aber ich gehe davon aus, dass dort hochkarätige Fachleute das alles fabriziert und abgesegnet haben – was dann die Angelegenheit noch eine Nuance übler aussehen lässt.
Meine abschließenden 2 Cents
Gut, nüchtern betrachtet ist bei obigem Vorgang nichts wirklich gravierendes passiert – aber die Verwendung von Mixed Content in einer Online-Banking-Seite ist für mich schon schockierend, aber der Browser hat glücklicherweise den größten Unsinn blockiert. Die Wahrscheinlichkeit ist zwar gering – aber ein Angreifer hätte imho die (sofern nicht vom Browser blockierte) ungesicherte http-Ressource während der Übertragung per Internet manipulieren und per JavaScript auf die Inhalt des Kundenkontos zugreifen können. Es gab zwar einen Redirect auf dem Webserver, wie der Anbieter schreibt, so etwas darf aber einfach nicht passieren – speziell bei einem Einzelformular, welches frisch implementiert wurde.
Und auch die restlichen Punkte legen nahe, dass da keine wirklich sichere Kundenumgebung und wirksame Kontrolle gelebt wird – irgend einer stoppelt, sieht gut aus, raus damit – so mein Eindruck. Das durch irgendwelche "Blog-Post oder Social Media-Meldungen" richten zu wollen, ist in meinen Augen abenteuerlich. Hat etwas von "das ist alles so einfach und selbsterklärend, wie wir in unserer 30 seitigen Bedienungsanleitung zeigen".
Das die Leutchen noch mit dem Deppen-Apostroph bei AGB und FAQ in obigem Text üben müssen, muss man einer international operierenden Mannschaft schlicht nachsehen.
Kann man zwar unter "der hat aber auch immer was zu meckern" abtun, wenn dieser Wahnsinn im Banking-Bereich nicht so langsam an der Tagesordnung wäre. Ich erinnere an die am Artikelende verlinkte Beitragsreihe zum Banking und der Absicherung von Transaktionen, wo sich Abgründe auftun. Fintech hat für mich inzwischen – auch auf Grund der Berichterstattung hier im Blog (z.B. Verimi-Fiasko? Dem ID-Dienst droht wohl Ärger …, oder Volksbank sperrt Zahlungen an N26 und weitere Banken) – inzwischen so was wie "nicht mal mit der Kneifzange anfassen, das ist irgendwas für junge, naive Deppen".
Was mich ärgert, ist der Umstand, dass ich auf die Empfehlung der ING-Bank hereingefallen bin – ich hätte es wissen müssen (obwohl Scalable Capital keinen Zugriff auf meine Konten erhält, sondern als separates Konto bei der ING geführt wird). Glücklicherweise hält sich das Problem in Grenzen, da ich zum Testen des Robo-Advisor nur begrenzte Mittel eingesetzt habe. Mich treibt jetzt aber die Frage um, wie die "Auszeichnungen und Bewertungen" von Capital zustanden kommen? Sind die um einen Tisch gesessen und haben gewürfelt, oder haben Fähnchen geschwenkt?
Open-Banking als Sicherheitsrisiko
Mir geht in diesem Zusammenhang das Stichwort Open-Banking im Hinterkopf herum – was in obigem Zusammenhang aber eine untergeordnete Rolle spielt. Der Artikel hier singt das hohe Loblied auf Open-Banking, wie toll das doch sei und wie gut das alles abgesichert ist. Das Handelsblatt hat diesen Artikel zum Thema Open-Banking verfasst. Tenor: Banken sind zurückhaltend (bedroht ja das Kerngeschäft, und Kunden sind zurückhalten, weil sie da nicht durchblicken, dabei könnte das doch "so viele Vorteile" haben.
Die in erster Linie durch die europäische Regulierung Payment Services Directive 2 (PSD2) vorangetriebene Open-Banking-Initiative hat das Ziel, eine geschlossene und proprietäre Umgebung für Kundendaten von Banken über öffentlich verfügbare APIs sicher für externe Drittanbieter (Third Party Providers – TPPs) zu öffnen. Ziel ist es, sowohl die Innovation zu fördern als auch den Wettbewerb zu stärken.
Mit Open-Banking bleiben die Kundendaten aber nicht mehr bei der Bank, sondern fließen, nach Zustimmung durch den Kunden, teilweise unkontrolliert an Drittanbieter (Fintechs, Finanzdienstleister) ab. Für mich ergeben sich neue, für Bankkunden wohl unkalkulierbare, Risiken.
Leider ist der Artikel inzwischen hinter einer Paywall auf Golem+ verschwunden, aber Erik Bärwaldt hatte Anfang Januar 2022 eine tiefergehende Analyse veröffentlicht, die zeigt, wie Open Banking immer unsicherer und unübersichtlicher wird. Für die Branche sorgte das Buzzword Open Banking zwar für Goldgräberstimmung. Das Fazit von Bärwaldt lautet "für die Kunden entstehen dabei etliche Probleme" (z.B. gibt es, soweit ich die Lektüre des damals noch offen einsehbaren Artikels erinnere, in den Banking-APIs keine Möglichkeit, eine einmal erteilte Zustimmung zum Kontenzugriff für einen Fintech-Anbieter wieder zurückzuziehen oder einzuschränken).
Interessant ist dieser Artikel von InfoPoint Security zum Open Banking, der gezielt die lauernden Risiken aufzeigt. Dort endet es in der Feststellung, dass schlecht gesicherte APIs diesen Ansatz zum Risiko machen. Gartner prognostiziert, dass Angriffe auf APIs im Jahr 2022 der häufigste Angriffsvektor sein werden, der Datenschutzverletzungen bei Webanwendungen von Unternehmen verursacht. Das Open Banking über APIs macht also ein riesiges Sicherheitsfass auf, wo alle Beteiligten nur mit größter Aufmerksamkeit Sicherheitslücken, erfolgreiche Angriffe und Datenlecks verhindern können.
Die EU PSD-Zahlungsrichtlinie richtet (zumindest von mir gefühlt) mehr Schaden als Nutzen an. Und in diesem Kontext erhält der obige Vorfall halt seine Brisanz, denn Zugriff auf Konten per Open Banking erhalten nur von der Bundes Finanzaufsicht (BAFIN) zugelassene Anbieter. Wenn die aber so schludrig agieren, ist es mit der Prüfung durch die BAFIN nicht weit her. Jüngste Skandale wie im Beitrag Verimi-Fiasko? Dem ID-Dienst droht wohl Ärger … angesprochen, schaffen ebenfalls nicht gerade Vertrauen. Ich fürchte, da werden noch einige Protagonisten arg auf die Nase fallen.
Ähnliche Artikel
Gehärteter Online-Banking-Browser S-Protect, ein Totalausfall?
Nachlese: Gehärteter Online-Banking-Browser S-Protect, neue Version, neue Erkenntnisse
2. Nachlese zum gehärteten Sparkassen-Browser S-Protect
Der Edge Effizienzmodus verursacht Probleme beim Flicker-Code beim Onlinebanking mit TAN-Generator
Festes SA SQL-Passwort bei windata 9-Banking-Software
DKB: Online-Banking im Firefox und Opera blockiert?
Banking Startup Dave gehackt, Daten in Hackerforen
Nächste Runde: FluBot-Banking-Malware (Mai 2022)
Online-Banking: mTAN und Banking-Apps unsicher
Störung bei der Advanzia Bank (27.9.2022)
Millionen Strafzahlung für Deutsche Bank wegen WhatsApp-Verwendung
BaFin warnt vor Betrugs-Mails von Dr. Gottlob Berger mit gefälschten Zahlungsaufforderungen
Neue Postbank Phishing-Welle fordert zur Bestätigung auf
Verimi-Fiasko? Dem ID-Dienst droht wohl Ärger …
Volksbank sperrt Zahlungen an N26 und weitere Banken
N26-Bank mit Problemen?
Polnische Banken durch Malware von Regierungsseite infiziert
Fragen zur ING-Diba Konteneröffnung per Video
Klarna: Vorsicht bei Online-Käufen, Rückbuchung bei abweichendem Verwendungszweck
Zahlungsdienstleister Klarna: Fremde Konten einsehbar
Datenbank eines großen europäischen Anbieters virtueller Karten offen im Netz
Postbank: App und/oder SealOne statt chipTAN – Teil 1
Volks- und Raiffeisenbanken stellen SMS-TAN-Verfahren zum 30.9.2022 ein – Teil 2
Sparkassen und Volksbanken: Ende des [alten] chipTAN-Verfahrens – Teil 3
Online-Banking und Apps: Was die Kunden wünschen – Teil 4
Online-Banking und die Sicherheit von Banking-Apps – Teil 5
Online-Banking und Absicherung per chipTAN USB – Teil 6
Anzeige
Ich kann nur so viel dazu sagen, dass ich sowohl bei der ING (seit 2013 mit Giro-/Tagesgeldkonto) als auch bei Scalable-Capital (seit 2018 mit einem ETF-Depot) bin. Die ING hat sich in den letzten Jahren mehr und mehr zu einer richtigen Mistbank gemausert, da ständig neue Gebühren, Restriktionen und sonstige arrogante, überhebliche "Aktionen" gestartet wurden. War anfangs wirklich mal eine sehr gute Bank, mit Top-Konditionen; ist inzwischen allerdings so gut wie in der breiten Masse untergegangen. Auch der Schrift- und Telefonverkehr, war leider sehr oft begleitet von einer leicht arroganten und manches Mal sogar fast schon patzigen Kommunikation …
Mit Scalable-Capital hatte ich allerdings bisher wirklich ausnahmslos nur gute Erfahrungen gemacht. Nach wie vor sehr gute Konditionen, sehr gute Übersichtlichkeit/Bedienbarkeit der Webseite, extrem schnelle und ausgesprochen freundliche und fachkompetente Reaktionen auf diverse Anfragen usw. per E-Mail. Und – das wichtigste – zu "normalen" Finanzmarktzeiten (was man ja im Moment absolut nicht behaupten kann) teilweise sehr gute und i. d. R. immer überdurchschnittlich gute Renditen.
Der Login wurde wirklich vor einiger Zeit für die beiden verschiedenen Banken (eben Baader und ING) aufgesplittet. Zu dieser Zeit war ich allerdings schon Kunde und man wurde über diese Änderung zweimal im Vorfeld per E-Mail informiert. Somit kein Thema für mich und der Login hat bisher auch immer perfekt funktioniert. Die Zustimmung zu den neuen AGBs, kam bei mir vor einiger Zeit auch. Allerdings NACH dem Login und nicht über E-Mail-Formular (wohl eben deswegen, weil ich bereits Kunde bin). Auch diese Bestätigung funktionierte auf Anhieb und ohne Probleme … Somit kann ich generell vom Ablauf her gesehen nichts Negatives sagen.
Für die technischen Hintergrundinfos reicht mein Fachwissen allerdings nicht aus und somit kann ich dazu keine Stellung nehmen. Allerdings ist es doch leider eh so, dass es inzwischen so gut wie überall diese diversen Sicherheitsproblematiken gibt. Wurde ja auch im Artikel angesprochen. Deshalb ist es immer wieder sehr gut, wenn solche Dinge durch fachkompetente Menschen aufgedeckt werden und dann in der Folge von den Anbietern (hoffentlich!) auch Maßnahmen ergriffen werden, um dies umgehend abzustellen. Was natürlich jetzt nicht heißen soll, dass ich es gut finde, dass solche Sicherheitsproblematiken eben in Masse generell vorhanden sind. Aber ohne Online-Banking hat man doch leider inzwischen wirklich komplett das Nachsehen und man muss es fast schon haben, ob man will, oder eben nicht. Hat ja auch schon wirklich viele Vorteile und trotzdem bin ich – wie fast immer – auch hier hin- und hergerissen. Gibt halt leider kein Licht ohne Schatten …
Bei meiner Anlage Summe hat sich scaleable nicht mit Ruhm bekleckert. Seit Beginn vor Ca. 2,5 Jahren wenig Rendite aber immer pünktlich Gebühren.
Wenn ich damals in ziemlich beliebige ETFs investiert hätte, sähe es heute wahrscheinlich genauso aus.
AGB Zustimmung kann ich mich dunkel erinnern, muss aber schon länger her sein. Wahrscheinlich bei Anmeldung direkt bei scaleable. Die Mail gibt's jetzt wohl für den Rest, der sich dort nie anmeldet.