#50 Wenn Deine Bank plötzlich ein Sicherheitsproblem hat und durch Unerreichbarkeit glänzt - N26 im Verruf oder berechtigte aber ungehörte Kritik?
Der ichbindochnichthierumbeliebtzusein.com PodCast
9 Minuten
Podcast
Podcaster
Der PodCast rund um Führung, Fliegen, Technik und Alltag. Deine Informationsquelle für das Ohr am Puls der Zeit!
Beschreibung
vor 5 Jahren
#50: Wenn Deine Bank plötzlich ein Sicherheitsproblem hat und durch
Unerreichbarkeit glänzt - N26 im Verruf oder berechtigte aber
ungehörte Kritik?
Fintechs und Insurtechs sind aktuell bzw. immer noch der große
Hype. Mal schnell eine Haftpflicht über das Handy abschließen
für gerade mal 30 Tage? Machbar! Ein Konto ausschließlich über
das Handy führen, mit VideoCall zur Verifizierung? Machbar!
Aber da wir Deutsche ein "spezielles" Verhältnis zu Geld und
damit verbundenen Banken haben, setzt sich auch bei den
Fintechs die Einsicht durch, dass eine Bankenlizenz eine
gewisse Notwendigkeit darstellt. Hier war N26, vormals
Number26, Vorreiter und einer der ersten, der sich in
Deutschland aus der Position Fintech heraus um eine bemüht hat.
Das dies aber kein Garantie für Sicherheit oder Erreichbarkeit
darstellt, erleben momentan betrogene Kunden, das
N26-Management und das weltweite Internet.
Wenn Dein Fintech namens N26 plötzlich ein massives
Sicherheitsproblem hat / Bildquelle: N26 Newsletter
Wer nicht weiß, worauf ich anspiele, möge bei Google N26
80.000€ eingeben: die Liste der Treffer, vor allem auch
internationaler Seiten, ist sehr umfangreich. Wer das komplette
Drama im Detail mitlesen möchte, nutze diesen Link von
gruenderszene.de.
Doch, kurz zusammen gefasst, was war passiert:
Einem N26-Kunden wurde das komplette Konto leer geräumt.
Gemerkt hat er es erst, als er, selbstständiger Unternehmer,
sich über sein Handy einloggen wollte, um Rechnungen für sein
Business zu bezahlen. Dies war Mitte Februar.
Alarmiert durch den Fehler beim Login versucht er telefonisch
seine Bank zu erreichen - um eine Ansage zu hören, dass der
Telefon-Support zu Gunsten des Chatbots eingestellt wurde.
Dieser ist allerdings nicht rund um die Uhr erreichbar.
Erreichbarkeit von N26 - NUR per Chat! / Bildquelle: n26.com
Webseite
Also wurde aus dem Vorhaben, schnell mal dringend ein paar
Rechnungen zu überweisen - nichts. An sich ein Todesurteil für
einen Selbstständigen.
Ich weiß - und auch im Internet brandeten sofort Beschimpfungen
und Mutmaßungen von "Wer alles kostenlos will, selber schuld"
bis hin zu "Wärst Du halt mal zu einer richtigen Bank gegangen"
los - es existiert ein gewisses Misstrauen auf der einen oder
eine totale Euphorie neuen "Erfindungen" gegenüber auf der
anderen Seite.
Aber, wie ich dieses Jahr auch in meiner Serie der Sicherheit
kund getan habe, ist der Nutzer nur EINE Seite der Medaille
(zum Nachlesen: Teil 1 und Teil 2). Auch der
Anbieter muss seinen Teil erfüllen. Und wenn nun, wie auch im
Internet von einigen anderen Nutzern geschildert, aktuell aktiv
Kunden der N26-Bank mit social engineering angegriffen werden,
MUSS die Bank reagieren und kann den Kunden nicht einfach "im
Regen stehen" lassen, wie geschehen.
Besonders erschütternd ist der Chatverlauf bei gruenderszene,
in dem der Betroffene explizit nach einem Telefonkontakt fragt
- und ihm lapidar mitgeteilt wird, dass die Bank keinen
telefonischen Support mehr bietet. Dies steht nun im krassen
Widerspruch zu einem Interview mit einem der Gründer, der nun
plötzlich sagt, dass Kunden in solchen Fällen sehr wohl zurück
gerufen werden.
Summa summarum hat der betroffene Bankkunde einen Höllenritt
erlebt, was ihm, dank schlechter Schulung des
Chat-Bank-Mitarbeiters Wohnung, Firma und Mitarbeiter hätte
kosten können. Da ist der schwache Trost, dass die Bank das
fehlende Geld, wie gesagt, wir reden von 80.000€ Kapital,
ersetzt hat, das mindeste was man erwarten kann.
Da die Presse nun auf das Thema sensibilisiert ist, werden mehr
und mehr Stimmen lauf, die ebenfalls betrogen wurden. Und die
Masche scheint aktuell immer die Gleiche zu sein - social
engineering .
Phishing scheint es nicht zu treffen, N26 - kümmere Dich
endlich um Sicherheit und ein Notfall-Telefon! / Bildquelle:
N26-Newsletter
Details hierzu in einem Artikel bei t3n:
Anruf mit vermeintlicher Nummer der N26-Bank im Display,
fließend auf Deutsch, mit Hinweis auf ein Sicherheitsproblem.
Die dann abzuarbeitende Prozesskette zwischen vermeintlichen
"Bankmitarbeiter" und Kunden entspricht den Erwartungen.
Allerdings ist der Betrüger durch vermutliche Abfrage von
Login-Daten nun in der Lage, eine andere email-Adresse und ein
neues Passwort zu vergeben - und somit Herr über die
Kontoführung.
Es ist also mitnichten Phishing, wie N26 uns verharmlosend klar
machen möchte, sondern hochkomplex-technische Arbeit im
Hintergrund nötig, um so vorgehen zu können! Auch sollte sich
die Bank überlegen, ob neben Chatbots nicht auch eine
automatische Sicherheitseinrichtung "unübliche" Überweisungen
filtern und im Notfall eben stoppen sollte! Damit wären ein
Teil der aktuellen Betrugsfälle zu vermeiden gewesen, was auch
klar aus dem t3n-Artikel hervor geht: Erst das Konto leer
räumen, dann den Dispo-Rahmen ausnutzen und ebenfalls auf ein
weiteres Konto in einer Summe überweisen. Spätestens hier hätte
eine Alarmglocke einen Mitarbeiter informieren sollen.
Ich zitiere hier die t3n, die es glasklar auf den Punkt
bringt:
"Bemerkenswert ist tatsächlich, dass die Sicherheitsmechanismen
der Bank trotz des Zusammentreffens mehrerer Auffälligkeiten
nicht angeschlagen haben: Änderung der Handynummer (auf ein in
England gemeldetes Smartphone), Änderung der E-Mail-Adresse,
kompletter Kontoinhalt überwiesen und eine weitere Überweisung
bis zum Kreditlimit – und das alles innerhalb von 20 Minuten".
Diese Vorwürfe muss sich N26 gefallen lassen und dringend
nachbessern! Schließlich hat schon einen Hack im Jahr 2016
Wellen geschlagen, als über die eigene API-Schnittstelle
Kundendaten ausgelesen werden konnten. Und die Reaktion von
N26? Notdürftige Schließung der Lücke, Blogpost mit Verweis auf
Schutz der eigenen Identität - ein echtes Trauerspiel, von
Anfang an!
Solange die einzige Möglichkeit, mich zu schützen, ein Login
aus meiner email-Adresse, die logischerweise auch für andere
Zwecke verwendet wird, und einem Passwort ist - handelt im Jahr
2019 die Bank absolut fahrlässig! Was ist mit
2-Wege-Sicherheit? SMS, email oder einem USB-Schlüssel für
wenige Euro? Warum greifen interne Mechanismen nicht, wenn -
abweichend von bisherigen Aktivitäten - plötzlich das Konto
leer geräumt wird? Lasst Euch von Mails wie der aktuellen nicht
verunsichern: ein gutes Passwort, also in der Länge von 15 und
mehr Zeichen ist der beste Schutz. Klar, passt auf Phishing auf
- solange es nicht, wie in einigen Fällen, telefonisch unter
der früheren N26-Rufnummer (0 30 - 3 64 28 68 80) erfolgt. Es
gilt die alte Regel: Mitarbeiter, die telefonisch nach
Passwörtern fragen, sofort ohne Aussage abwürgen! Kein
Mitarbeiter wird telefonisch jemals ein Passwort abfragen!!!
Wenn ihr jetzt unsicher seid, ob ihr bei N26 gut aufgehoben
seid, kann ich Euch nur ganz altmodisch raten: Geld ist
Vertrauenssache. Wenn ihr wert auf persönlichen Kontakt, und
sei es eben nur per Telefon, legt, sucht Euch eine neue
Bank.
Vielleicht nicht wieder ein Fintech, eher ein Online-Angebot
"klassischer" Banken. Aber auch da gilt: für die Sicherheit,
und das bedeutet in erster Linie, Euer Passwort, seid ihr immer
selbst verantwortlich!
PS: Da hier aktuell viel im Köcher ist und täglich neues
passieren kann, was Teile meines PodCasts sowie der zugehörigen
Shownotes und des BlogPosts "überholen" kann, folgende Info:
dieser Artikel wurde am 03.04.2019 um 09:22 Uhr geschrieben
(mit Veröffentlichungsdatum 07.04.2019) und nimmt Bezug auf zu
diesem Stichtag, auch der 03.04.2019, vorliegenden
Informationen. Wie gewohnt könnt ihr mit einem Update rechnen,
wenn es neues hierzu gibt.
Meinen PodCast abonnieren: | direkt | iTunes | Spotify |
Folge direkt herunterladen
Unerreichbarkeit glänzt - N26 im Verruf oder berechtigte aber
ungehörte Kritik?
Fintechs und Insurtechs sind aktuell bzw. immer noch der große
Hype. Mal schnell eine Haftpflicht über das Handy abschließen
für gerade mal 30 Tage? Machbar! Ein Konto ausschließlich über
das Handy führen, mit VideoCall zur Verifizierung? Machbar!
Aber da wir Deutsche ein "spezielles" Verhältnis zu Geld und
damit verbundenen Banken haben, setzt sich auch bei den
Fintechs die Einsicht durch, dass eine Bankenlizenz eine
gewisse Notwendigkeit darstellt. Hier war N26, vormals
Number26, Vorreiter und einer der ersten, der sich in
Deutschland aus der Position Fintech heraus um eine bemüht hat.
Das dies aber kein Garantie für Sicherheit oder Erreichbarkeit
darstellt, erleben momentan betrogene Kunden, das
N26-Management und das weltweite Internet.
Wenn Dein Fintech namens N26 plötzlich ein massives
Sicherheitsproblem hat / Bildquelle: N26 Newsletter
Wer nicht weiß, worauf ich anspiele, möge bei Google N26
80.000€ eingeben: die Liste der Treffer, vor allem auch
internationaler Seiten, ist sehr umfangreich. Wer das komplette
Drama im Detail mitlesen möchte, nutze diesen Link von
gruenderszene.de.
Doch, kurz zusammen gefasst, was war passiert:
Einem N26-Kunden wurde das komplette Konto leer geräumt.
Gemerkt hat er es erst, als er, selbstständiger Unternehmer,
sich über sein Handy einloggen wollte, um Rechnungen für sein
Business zu bezahlen. Dies war Mitte Februar.
Alarmiert durch den Fehler beim Login versucht er telefonisch
seine Bank zu erreichen - um eine Ansage zu hören, dass der
Telefon-Support zu Gunsten des Chatbots eingestellt wurde.
Dieser ist allerdings nicht rund um die Uhr erreichbar.
Erreichbarkeit von N26 - NUR per Chat! / Bildquelle: n26.com
Webseite
Also wurde aus dem Vorhaben, schnell mal dringend ein paar
Rechnungen zu überweisen - nichts. An sich ein Todesurteil für
einen Selbstständigen.
Ich weiß - und auch im Internet brandeten sofort Beschimpfungen
und Mutmaßungen von "Wer alles kostenlos will, selber schuld"
bis hin zu "Wärst Du halt mal zu einer richtigen Bank gegangen"
los - es existiert ein gewisses Misstrauen auf der einen oder
eine totale Euphorie neuen "Erfindungen" gegenüber auf der
anderen Seite.
Aber, wie ich dieses Jahr auch in meiner Serie der Sicherheit
kund getan habe, ist der Nutzer nur EINE Seite der Medaille
(zum Nachlesen: Teil 1 und Teil 2). Auch der
Anbieter muss seinen Teil erfüllen. Und wenn nun, wie auch im
Internet von einigen anderen Nutzern geschildert, aktuell aktiv
Kunden der N26-Bank mit social engineering angegriffen werden,
MUSS die Bank reagieren und kann den Kunden nicht einfach "im
Regen stehen" lassen, wie geschehen.
Besonders erschütternd ist der Chatverlauf bei gruenderszene,
in dem der Betroffene explizit nach einem Telefonkontakt fragt
- und ihm lapidar mitgeteilt wird, dass die Bank keinen
telefonischen Support mehr bietet. Dies steht nun im krassen
Widerspruch zu einem Interview mit einem der Gründer, der nun
plötzlich sagt, dass Kunden in solchen Fällen sehr wohl zurück
gerufen werden.
Summa summarum hat der betroffene Bankkunde einen Höllenritt
erlebt, was ihm, dank schlechter Schulung des
Chat-Bank-Mitarbeiters Wohnung, Firma und Mitarbeiter hätte
kosten können. Da ist der schwache Trost, dass die Bank das
fehlende Geld, wie gesagt, wir reden von 80.000€ Kapital,
ersetzt hat, das mindeste was man erwarten kann.
Da die Presse nun auf das Thema sensibilisiert ist, werden mehr
und mehr Stimmen lauf, die ebenfalls betrogen wurden. Und die
Masche scheint aktuell immer die Gleiche zu sein - social
engineering .
Phishing scheint es nicht zu treffen, N26 - kümmere Dich
endlich um Sicherheit und ein Notfall-Telefon! / Bildquelle:
N26-Newsletter
Details hierzu in einem Artikel bei t3n:
Anruf mit vermeintlicher Nummer der N26-Bank im Display,
fließend auf Deutsch, mit Hinweis auf ein Sicherheitsproblem.
Die dann abzuarbeitende Prozesskette zwischen vermeintlichen
"Bankmitarbeiter" und Kunden entspricht den Erwartungen.
Allerdings ist der Betrüger durch vermutliche Abfrage von
Login-Daten nun in der Lage, eine andere email-Adresse und ein
neues Passwort zu vergeben - und somit Herr über die
Kontoführung.
Es ist also mitnichten Phishing, wie N26 uns verharmlosend klar
machen möchte, sondern hochkomplex-technische Arbeit im
Hintergrund nötig, um so vorgehen zu können! Auch sollte sich
die Bank überlegen, ob neben Chatbots nicht auch eine
automatische Sicherheitseinrichtung "unübliche" Überweisungen
filtern und im Notfall eben stoppen sollte! Damit wären ein
Teil der aktuellen Betrugsfälle zu vermeiden gewesen, was auch
klar aus dem t3n-Artikel hervor geht: Erst das Konto leer
räumen, dann den Dispo-Rahmen ausnutzen und ebenfalls auf ein
weiteres Konto in einer Summe überweisen. Spätestens hier hätte
eine Alarmglocke einen Mitarbeiter informieren sollen.
Ich zitiere hier die t3n, die es glasklar auf den Punkt
bringt:
"Bemerkenswert ist tatsächlich, dass die Sicherheitsmechanismen
der Bank trotz des Zusammentreffens mehrerer Auffälligkeiten
nicht angeschlagen haben: Änderung der Handynummer (auf ein in
England gemeldetes Smartphone), Änderung der E-Mail-Adresse,
kompletter Kontoinhalt überwiesen und eine weitere Überweisung
bis zum Kreditlimit – und das alles innerhalb von 20 Minuten".
Diese Vorwürfe muss sich N26 gefallen lassen und dringend
nachbessern! Schließlich hat schon einen Hack im Jahr 2016
Wellen geschlagen, als über die eigene API-Schnittstelle
Kundendaten ausgelesen werden konnten. Und die Reaktion von
N26? Notdürftige Schließung der Lücke, Blogpost mit Verweis auf
Schutz der eigenen Identität - ein echtes Trauerspiel, von
Anfang an!
Solange die einzige Möglichkeit, mich zu schützen, ein Login
aus meiner email-Adresse, die logischerweise auch für andere
Zwecke verwendet wird, und einem Passwort ist - handelt im Jahr
2019 die Bank absolut fahrlässig! Was ist mit
2-Wege-Sicherheit? SMS, email oder einem USB-Schlüssel für
wenige Euro? Warum greifen interne Mechanismen nicht, wenn -
abweichend von bisherigen Aktivitäten - plötzlich das Konto
leer geräumt wird? Lasst Euch von Mails wie der aktuellen nicht
verunsichern: ein gutes Passwort, also in der Länge von 15 und
mehr Zeichen ist der beste Schutz. Klar, passt auf Phishing auf
- solange es nicht, wie in einigen Fällen, telefonisch unter
der früheren N26-Rufnummer (0 30 - 3 64 28 68 80) erfolgt. Es
gilt die alte Regel: Mitarbeiter, die telefonisch nach
Passwörtern fragen, sofort ohne Aussage abwürgen! Kein
Mitarbeiter wird telefonisch jemals ein Passwort abfragen!!!
Wenn ihr jetzt unsicher seid, ob ihr bei N26 gut aufgehoben
seid, kann ich Euch nur ganz altmodisch raten: Geld ist
Vertrauenssache. Wenn ihr wert auf persönlichen Kontakt, und
sei es eben nur per Telefon, legt, sucht Euch eine neue
Bank.
Vielleicht nicht wieder ein Fintech, eher ein Online-Angebot
"klassischer" Banken. Aber auch da gilt: für die Sicherheit,
und das bedeutet in erster Linie, Euer Passwort, seid ihr immer
selbst verantwortlich!
PS: Da hier aktuell viel im Köcher ist und täglich neues
passieren kann, was Teile meines PodCasts sowie der zugehörigen
Shownotes und des BlogPosts "überholen" kann, folgende Info:
dieser Artikel wurde am 03.04.2019 um 09:22 Uhr geschrieben
(mit Veröffentlichungsdatum 07.04.2019) und nimmt Bezug auf zu
diesem Stichtag, auch der 03.04.2019, vorliegenden
Informationen. Wie gewohnt könnt ihr mit einem Update rechnen,
wenn es neues hierzu gibt.
Meinen PodCast abonnieren: | direkt | iTunes | Spotify |
Folge direkt herunterladen
Weitere Episoden
In Podcasts werben
Kommentare (0)