{"id":1800,"date":"2019-04-07T14:45:20","date_gmt":"2019-04-07T12:45:20","guid":{"rendered":"http:\/\/ichbindochnichthierumbeliebtzusein.com\/?p=1800"},"modified":"2019-04-07T14:45:20","modified_gmt":"2019-04-07T12:45:20","slug":"wenn-deine-bank-ploetzlich-ein-sicherheitsproblem-hat-und-durch-unerreichbarkeit-glaenzt-n26-im-verruf-oder-berechtigte-aber-ungehoerte-kritik","status":"publish","type":"post","link":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/2019\/04\/07\/wenn-deine-bank-ploetzlich-ein-sicherheitsproblem-hat-und-durch-unerreichbarkeit-glaenzt-n26-im-verruf-oder-berechtigte-aber-ungehoerte-kritik\/","title":{"rendered":"Wenn Deine Bank pl\u00f6tzlich ein Sicherheitsproblem hat und durch Unerreichbarkeit gl\u00e4nzt – N26 im Verruf oder berechtigte aber ungeh\u00f6rte Kritik?"},"content":{"rendered":"

Fintechs und Insurtechs sind aktuell bzw. immer noch der gro\u00dfe Hype. Mal schnell eine Haftpflicht \u00fcber das Handy abschlie\u00dfen f\u00fcr gerade mal 30 Tage? Machbar! Ein Konto ausschlie\u00dflich \u00fcber das Handy f\u00fchren, mit VideoCall zur Verifizierung? Machbar! Aber da wir Deutsche ein „spezielles“ Verh\u00e4ltnis zu Geld und damit verbundenen Banken haben, setzt sich auch bei den Fintechs die Einsicht durch, dass eine Bankenlizenz eine gewisse Notwendigkeit darstellt. Hier war N26, vormals Number26, Vorreiter und einer der ersten, der sich in Deutschland aus der Position Fintech heraus um eine bem\u00fcht hat. Das dies aber kein Garantie f\u00fcr Sicherheit oder Erreichbarkeit darstellt, erleben momentan betrogene Kunden, das N26-Management und das weltweite Internet.<\/em><\/p>\n

\"Wenn
Wenn Dein Fintech namens N26 pl\u00f6tzlich ein massives Sicherheitsproblem hat \/ Bildquelle: N26 Newsletter<\/figcaption><\/figure>\n

<\/p>\n

Wer nicht wei\u00df, worauf ich anspiele, m\u00f6ge bei Google<\/a> N26 80.000\u20ac eingeben: die Liste der Treffer, vor allem auch internationaler Seiten, ist sehr umfangreich. Wer das komplette Drama im Detail mitlesen m\u00f6chte, nutze diesen Link von gruenderszene.de<\/a>.<\/p>\n

Doch, kurz zusammen gefasst, was war passiert:
\nEinem N26-Kunden wurde das komplette Konto leer ger\u00e4umt. Gemerkt hat er es erst, als er, selbstst\u00e4ndiger Unternehmer, sich \u00fcber sein Handy einloggen wollte, um Rechnungen f\u00fcr sein Business zu bezahlen. Dies war Mitte Februar.
\nAlarmiert durch den Fehler beim Login versucht er telefonisch seine Bank zu erreichen – um eine Ansage zu h\u00f6ren, dass der Telefon-Support zu Gunsten des Chatbots eingestellt wurde. Dieser ist allerdings nicht rund um die Uhr erreichbar.<\/p>\n

\"Erreichbarkeit
Erreichbarkeit von N26 – NUR per Chat! \/ Bildquelle: n26.com Webseite<\/figcaption><\/figure>\n

Also wurde aus dem Vorhaben, schnell mal dringend ein paar Rechnungen zu \u00fcberweisen – nichts. An sich ein Todesurteil f\u00fcr einen Selbstst\u00e4ndigen.<\/p>\n

Ich wei\u00df – und auch im Internet brandeten sofort Beschimpfungen und Mutma\u00dfungen von „Wer alles kostenlos will, selber schuld“ bis hin zu „W\u00e4rst Du halt mal zu einer richtigen Bank gegangen“ los – es existiert ein gewisses Misstrauen auf der einen oder eine totale Euphorie neuen „Erfindungen“ gegen\u00fcber auf der anderen Seite.<\/p>\n

Aber, wie ich dieses Jahr auch in meiner Serie der Sicherheit kund getan habe, ist der Nutzer nur EINE Seite der Medaille (zum Nachlesen: Teil 1<\/a> und\u00a0\u00a0Teil 2<\/a>). Auch der Anbieter muss seinen Teil erf\u00fcllen. Und wenn nun, wie auch im Internet von einigen anderen Nutzern geschildert, aktuell aktiv Kunden der N26-Bank mit social engineering<\/a> angegriffen werden, MUSS die Bank reagieren und kann den Kunden nicht einfach „im Regen stehen“ lassen, wie geschehen.<\/p>\n

Besonders ersch\u00fctternd ist der Chatverlauf bei gruenderszene<\/a>, in dem der Betroffene explizit nach einem Telefonkontakt fragt – und ihm lapidar mitgeteilt wird, dass die Bank keinen telefonischen Support mehr bietet. Dies steht nun im krassen Widerspruch zu einem Interview mit einem der Gr\u00fcnder<\/a>, der nun pl\u00f6tzlich sagt, dass Kunden in solchen F\u00e4llen sehr wohl zur\u00fcck gerufen werden.<\/p>\n

Summa summarum hat der betroffene Bankkunde einen H\u00f6llenritt erlebt, was ihm, dank schlechter Schulung des Chat-Bank-Mitarbeiters Wohnung, Firma und Mitarbeiter h\u00e4tte kosten k\u00f6nnen. Da ist der schwache Trost, dass die Bank das fehlende Geld, wie gesagt, wir reden von 80.000\u20ac Kapital, ersetzt hat, das mindeste was man erwarten kann.<\/p>\n

 <\/p>\n

Da die Presse nun auf das Thema sensibilisiert ist, werden mehr und mehr Stimmen lauf, die ebenfalls betrogen wurden. Und die Masche scheint aktuell immer die Gleiche zu sein – social engineering<\/a> .<\/p>\n

\"Phishing
Phishing scheint es nicht zu treffen, N26 – k\u00fcmmere Dich endlich um Sicherheit und ein Notfall-Telefon! \/ Bildquelle: N26-Newsletter<\/figcaption><\/figure>\n

Details hierzu in einem Artikel bei t3n<\/a>:
\nAnruf mit vermeintlicher Nummer der N26-Bank im Display, flie\u00dfend auf Deutsch, mit Hinweis auf ein Sicherheitsproblem. Die dann abzuarbeitende Prozesskette zwischen vermeintlichen „Bankmitarbeiter“ und Kunden entspricht den Erwartungen. Allerdings ist der Betr\u00fcger durch vermutliche Abfrage von Login-Daten nun in der Lage, eine andere email-Adresse und ein neues Passwort zu vergeben – und somit Herr \u00fcber die Kontof\u00fchrung.<\/p>\n

Es ist also mitnichten Phishing, wie N26 uns verharmlosend klar machen m\u00f6chte, sondern hochkomplex-technische Arbeit im Hintergrund n\u00f6tig, um so vorgehen zu k\u00f6nnen! Auch sollte sich die Bank \u00fcberlegen, ob neben Chatbots nicht auch eine automatische Sicherheitseinrichtung „un\u00fcbliche“ \u00dcberweisungen filtern und im Notfall eben stoppen sollte! Damit w\u00e4ren ein Teil der aktuellen Betrugsf\u00e4lle zu vermeiden gewesen, was auch klar aus dem t3n<\/a>-Artikel hervor geht: Erst das Konto leer r\u00e4umen, dann den Dispo-Rahmen ausnutzen und ebenfalls auf ein weiteres Konto in einer Summe \u00fcberweisen. Sp\u00e4testens hier h\u00e4tte eine Alarmglocke einen Mitarbeiter informieren sollen.<\/p>\n

Ich zitiere hier die t3n<\/a>, die es glasklar auf den Punkt bringt:
\n„Bemerkenswert ist tats\u00e4chlich, dass die Sicherheitsmechanismen der Bank trotz des Zusammentreffens mehrerer Auff\u00e4lligkeiten nicht angeschlagen haben: \u00c4nderung der Handynummer (auf ein in England gemeldetes Smartphone), \u00c4nderung der E-Mail-Adresse, kompletter Kontoinhalt \u00fcberwiesen und eine weitere \u00dcberweisung bis zum Kreditlimit \u2013 und das alles innerhalb von 20 Minuten“.<\/p>\n

Diese Vorw\u00fcrfe muss sich N26 gefallen lassen und dringend nachbessern! Schlie\u00dflich hat schon einen Hack im Jahr 2016<\/a> Wellen geschlagen, als \u00fcber die eigene API-Schnittstelle Kundendaten ausgelesen werden konnten. Und die Reaktion von N26? Notd\u00fcrftige Schlie\u00dfung der L\u00fccke, Blogpost<\/a> mit Verweis auf Schutz der eigenen Identit\u00e4t – ein echtes Trauerspiel, von Anfang an!<\/p>\n

Solange die einzige M\u00f6glichkeit, mich zu sch\u00fctzen, ein Login aus meiner email-Adresse, die logischerweise auch f\u00fcr andere Zwecke verwendet wird, und einem Passwort ist – handelt im Jahr 2019 die Bank absolut fahrl\u00e4ssig! Was ist mit 2-Wege-Sicherheit? SMS, email oder einem USB-Schl\u00fcssel f\u00fcr wenige Euro? Warum greifen interne Mechanismen nicht, wenn – abweichend von bisherigen Aktivit\u00e4ten – pl\u00f6tzlich das Konto leer ger\u00e4umt wird? Lasst Euch von Mails wie der aktuellen nicht verunsichern: ein gutes Passwort, also in der L\u00e4nge von 15 und mehr Zeichen ist der beste Schutz. Klar, passt auf Phishing auf – solange es nicht, wie in einigen F\u00e4llen, telefonisch unter der fr\u00fcheren N26-Rufnummer (0 30 – 3 64 28 68 80) erfolgt. Es gilt die alte Regel: Mitarbeiter, die telefonisch nach Passw\u00f6rtern fragen, sofort ohne Aussage abw\u00fcrgen! Kein Mitarbeiter wird telefonisch jemals ein Passwort abfragen!!!<\/p>\n

Wenn ihr jetzt unsicher seid, ob ihr bei N26 gut aufgehoben seid, kann ich Euch nur ganz altmodisch raten: Geld ist Vertrauenssache. Wenn ihr wert auf pers\u00f6nlichen Kontakt, und sei es eben nur per Telefon, legt, sucht Euch eine neue Bank.
\nVielleicht nicht wieder ein Fintech, eher ein Online-Angebot „klassischer“ Banken. Aber auch da gilt: f\u00fcr die Sicherheit, und das bedeutet in erster Linie, Euer Passwort, seid ihr immer selbst verantwortlich!<\/p>\n

PS: Da hier aktuell viel im K\u00f6cher ist und t\u00e4glich neues passieren kann, was Teile meines PodCasts sowie der zugeh\u00f6rigen Shownotes und des BlogPosts „\u00fcberholen“ kann, folgende Info: dieser Artikel wurde am 03.04.2019 um 09:22 Uhr geschrieben (mit Ver\u00f6ffentlichungsdatum 07.04.2019) und nimmt Bezug auf zu diesem Stichtag, auch der 03.04.2019, vorliegenden Informationen. Wie gewohnt k\u00f6nnt ihr mit einem Update rechnen, wenn es neues hierzu gibt.<\/em><\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

\n
Meinen PodCast abonnieren: | direkt<\/a> | iTunes<\/a> | Spotify<\/a> | Google<\/a> |<\/em><\/pre>\n
 <\/p>\n","protected":false},"excerpt":{"rendered":"
Fintechs und Insurtechs sind aktuell bzw. immer noch der gro\u00dfe Hype. Mal schnell eine Haftpflicht \u00fcber das Handy abschlie\u00dfen f\u00fcr gerade mal 30 Tage? Machbar! Ein Konto ausschlie\u00dflich \u00fcber das Handy f\u00fchren, mit VideoCall zur Verifizierung? Machbar! Aber da wir Deutsche ein „spezielles“ Verh\u00e4ltnis zu Geld und damit verbundenen Banken haben, setzt sich auch bei den Fintechs die Einsicht durch, dass eine Bankenlizenz eine gewisse Notwendigkeit darstellt. Hier war N26, vormals Number26, Vorreiter und einer der ersten, der sich in Deutschland aus der Position Fintech heraus um eine bem\u00fcht hat. Das dies aber kein Garantie f\u00fcr Sicherheit oder Erreichbarkeit darstellt, erleben momentan betrogene Kunden, das N26-Management und das weltweite Internet.<\/p>\n","protected":false},"author":2,"featured_media":1801,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":false,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2}},"categories":[21,29],"tags":[94,322,324,372,475,476,744,1296,1369,1458,1521,1835,1991],"class_list":["post-1800","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-nerd","category-service-fuern-arsch","tag-support","tag-bank","tag-bankenlinzenz","tag-betrug","tag-chat","tag-chatbot","tag-fintech","tag-megafail","tag-n26","tag-number26","tag-phishing","tag-social-engineering","tag-telefon"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"","jetpack-related-posts":[],"jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/posts\/1800","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/comments?post=1800"}],"version-history":[{"count":0,"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/posts\/1800\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/media?parent=1800"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/categories?post=1800"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/ichbindochnichthierumbeliebtzusein.de\/testaufbauwp\/wp-json\/wp\/v2\/tags?post=1800"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}