Banking-Startup N26 bei Betrugsfällen überfordert
Kunden des Fintech-Vorzeigeunternehmens N26 erheben schwere Vorwürfe: Bei Betrugsfällen sei kaum Hilfe von der Bank zu erwarten.
Die Direktbank N26 gilt als einer der Stars der deutschen Startup-Szene. Die Bank eröffne momentan mehr als 10.000 Konten am Tag, sagt ihr Gründer. Das scheint allerdings auf Kosten des Kundensupports zu gehen. Das Startup-Magazin Gründerszene berichtet von einem N26-Kunden, dem in einem Betrugsfall 80.000 Euro gestohlen wurden und der daraufhin fast zwei Wochen erfolglos versuchte, jemanden bei der Bank zu erreichen – während in der Zwischenzeit seine Firmenexistenz durch den Diebstahl akut gefährdet war.
Zuerst machte die Bank keine Anstalten, das Geld zu ersetzen, erst nach einer Presseanfrage von Gründerszene sicherte man dem Kunden eine Erstattung zu. Recherchen von heise online zufolge war die in dem Bericht beschriebene zögerliche Reaktion der Bank kein Einzelfall. Viele Kunden klagen über unzureichenden Kundendienst. Außerdem wirft die Absicherung der N26-Konten Fragen auf.
80.000 Euro weg, keine Reaktion der Bank
Im Bericht von Gründerszene heißt es, dass sich ein Kunde Ende Februar nicht in die N26-App auf seinem Smartphone einloggen konnte, mit der er sein Konto bei der Bank verwaltet. Da die Firma keinen Telefonsupport mehr anbietet und der Support-Chat nachts nicht besetzt ist, schrieb der besorgte Kunde eine E-Mail an die Bank. Die wurde tagelang – abgesehen von einer automatisierten Rück-Mail – nicht beantwortet.
Mehr als zwei Wochen nach dem Vorfall schaffte es der Kunde endlich, jemanden bei N26 über den Chat-Kanal der Firma dazu zu bewegen, ein Blick auf sein Problem zu werfen. Der Mitarbeiter teilte ihm mit, dass in dem Konto zwar mal 80.000 Euro waren, nun aber nur noch 12,26 Euro übrig seien. Der Mitarbeiter im Chat empfahl dem Kunden, bei der Polizei Anzeige zu erstatten. Eine Möglichkeit, über den Fall mit jemandem persönlich am Telefon zu reden gäbe es bei der Bank nicht.
Für den Betroffenen in diesem Fall kam erschwerend hinzu, dass er als selbstständiger Unternehmer über das Konto Geld verwaltete, dass er zum Betrieb seines Gewerbes zwingend benötigte. Durch die langsame Reaktion der Bank konnte er seine Lieferanten nicht mehr bezahlen, was ihn in eine existenzbedrohende Situation gebracht habe. Auch seine Miete habe er erst mal nicht bezahlen können.
N26 gelobt Besserung
Von heise online zu diesem Fall befragt, bestätigte N26 indirekt die geschilderten Vorkommnisse. Eine Sprecherin der Bank sagte dazu: "Leider kommt es immer wieder vor, dass Kunden in solchen Fällen ihre persönlichen Daten mit Betrügern teilen. Wenn es auf diesem Wege zu Betrugsfällen kommt, sperren wir die betroffenen Konten und treten mit den Kunden in Kontakt, um weitere Schäden zu verhindern und Hilfestellung zu leisten. Unser Kundenservice ist via Chat in der App oder auf der N26 Website für sie erreichbar. Wir rufen Kunden zurück, wenn sie es wünschen – insbesondere in dringenden Fällen, wie zum Beispiel bei Betrugsverdacht."
Man gelobt außerdem Besserung: "Leider haben wir in einigen Fällen festgestellt, das Kunden nicht sofort zurückgerufen wurden und wollen uns hierfür entschuldigen. Wir haben daraufhin sofort Schulungen durchgeführt und ein Kompetenzteam zur Überwachung und Sicherstellung eines schnellen und zufriedenstellenden Supports aufgestellt, um weitere Vorkommnisse zu verhindern."
Kein Einzelfall
Das Gründerszene-Magazin hat einen zweiten Fall recherchiert, in dem einem N26-Kunden knapp 4.000 Euro gestohlen wurden und die Bank ähnlich reagierte. Am Ende sei man auf dem Verlust des Geldes sitzengelassen worden. Bei Recherchen zu diesem Thema unsererseits bestätigte sich der Eindruck, dass es sich dabei nicht um Einzelfälle handelt. Mehrere aktuelle und ehemalige N26-Kunden zeichneten gegenüber heise online ein ähnliches Bild von Betrugsfällen und mangelndem Kundensupport. Hier hat die Bank wohl in mehreren Fällen nach Angriffen auf N26-Konten kein Geld zurückerstattet. Auch die Verbraucherzentrale Sachsen beschäftigt sich momentan mit mehreren vergleichbaren Fällen bei N26. Diese Eindrücke legen nahe, dass der 80.000-Euro-Verlust nur zurückerstattet wurde, weil sich der Betroffene an die Presse wendete.
Den Beschreibungen der Betroffenen nach handelt es sich bei vielen der Betrugsfälle um Phishing-Attacken. Bei solchen Angriffen wird dem Opfer ein Link zu einer Webseite geschickt, die der N26-Webseite oder App täuschend ähnlichsieht. Meldet sich das Opfer dort mit seinen Anmeldedaten an, kann der Angreifer diese verwenden, um Zugang zu dem Konto zu bekommen. In den vorliegenden Fällen haben die Angreifer dann vermutlich das Opfer durch eine Passwort-Änderung ausgesperrt und mit einer eigenen Instanz der N26-Smartphone-App die Kontrolle übernommen.
Wer in einem solchen Fall für den Schaden aufkommt, ist oft umstritten. In der Regel muss eine Bank ihren Kunden Fahrlässigkeit nachweisen, wenn sie ihnen das gestohlene Geld nicht zurückzahlen will. Was in solchen Fällen allerdings genau als fahrlässig gilt, hat in der Vergangenheit immer wieder die Gerichte beschäftigt.
Sicherheit bei N26 umstritten
Bei den meisten Online-Banken reicht ein reiner, etwa durch Phishing erlangter, Zugriff auf das Konto nicht aus, um Geld zu überweisen. Generell sind Sicherheitsexperten sich einig, dass für das Überweisen von Beträgen zusätzlich eine TAN abgefragt werden sollte. Bei den meisten Banking-Apps auf Smartphones werden solche einmaligen Sicherheitsnummern pro Transaktion von der Bank generiert und per SMS oder in einer App an den Kunden geschickt. Manche Banken setzen dafür auch Smartcards oder TAN-Generatoren ein. Das sichert das Konto durch einen zweiten Faktor ab: Der Kunde muss neben seinem Passwort auch Kontrolle über sein Handy oder die Smartcard haben, um Geld zu überweisen. Bei N26 scheint eine solche Absicherung nicht gegeben zu sein, was Betrügern in den vorliegenden Fällen die Angriffe wohl entscheidend vereinfacht hat.
N26 fragt für Überweisungen zwar eine vierstellige Bestätigungs-PIN ab, diese ist allerdings nicht transaktionsspezifisch und der Kunde kann sie direkt in der App ändern. Anscheinend gelang es den Betrügern genau das, nachdem sie Zugriff auf die Konten der Betroffenen erlangt hatten. Erschwerend kommt Berichten von N26-Kunden zufolge hinzu, dass sich in der App kein Überweisungslimit einrichten lässt. Ein Angreifer kann demnach bis zu 50.000 Euro am Tag von einem gekaperten Konto schaffen. Nach den genauen Sicherheitsvorkehrungen für N26-Konten und Überweisungen – auch in Zusammenhang mit dem von Gründerszene beschriebenen Fall – befragt, wollte uns die Bank keine Auskunft geben.
Es ist nicht das erste Mal, dass die Sicherheitsvorkehrungen des Banking-Startups in der Kritik stehen. Auf dem 33. Chaos Communication Congress im Dezember 2016 erklärte der Sicherheitsforscher Vincent Haupert, wie er es geschafft hatte, mit einem relativ simplen Trick auf dem Smartphone ein N26-Konto komplett zu übernehmen. Er verschaffte sich Zugang auf die interne API der N26-Server und konnte so auch Überweisungen tätigen. Auch Haupert warnte damals schon vor der Gefahr von Phishing-Angriffen auf N26-Kunden. Laut N26 arbeitet die Bank aktiv an der Verbesserung der Sicherheit ihrer Kunden. "Neben allen gesetzlichen Anforderungen zur Betrugsprävention, kümmert sich ein dediziertes Team stets um die Verbesserung unserer Sicherheitsvorkehrungen und analysiert jeden einzelnen Betrugsfall", so die Sprecherin der Bank. (fab)