Onlinebanking: Die zwei Fronten der Onlinebanking-Sicherheit
Konten von N26 werden vermehrt als Bankdrops benutzt - und bilden damit das Fundament für Phishing und Betrugsmaschen.
2016 war ein aufregendes Jahr für N26. Nicht nur, weil das Berliner Banken-Start-up in diesem Jahr seine Vollbanklizenz erhielt. Sondern auch, weil der Sicherheitsexperte Vincent Haupert einen fatalen Fehler in der API der N26-App öffentlich machte.
- Onlinebanking: Die zwei Fronten der Onlinebanking-Sicherheit
- Bankdrops sind die Infrastruktur zur Geldwäsche
Auf dem 33C3, dem Kongress des Chaos Computer Club, demonstrierte Haupert ein Angriffsszenario, das eine Schwachstelle in der Authentifizierungsmethode der N26-App ausnutzte. Die größte Lücke hatte N26 damals schon korrigiert. Sechs Jahre später steht die Onlinebank nicht weniger in der Kritik - aber wegen anderer Probleme.
Direkte Angriffe auf die N26-Konten treten fast in den Hintergrund, gestritten wird über die Sperrung unbescholtener Kunden. Dahinter steckt eine Verschiebung der Sicherheitsprobleme, denen Kunden und Banken heute beim Zahlungsverkehr im Internet ausgesetzt sind.
Zwischenstopp zur Geldwäsche
Die von Haupert aufgezeigte Sicherheitslücke wurde - soweit ihm bekannt ist - nie in der Praxis ausgenutzt. Das Betrugsproblem von Onlinebanken wie N26 liege ohnehin weniger bei den von ihnen selbst aufgezeigten Sicherheitslücken, erklärt Vincent Haupert. "Sparkassen und Volksbanken sind eher diejenigen, wo das Geld abgeht, also geklaut wird", sagt er.
Die vom Bundeskriminalamt erfassten Fälle von "Betrug bzw. Computerbetrug mittels rechtswidrig erlangter sonstiger unbarer Zahlungsmittel" nach den Paragraphen 263 und 263a des Strafgesetzbuches stiegen im Jahr 2021 auf 4.434 an, gegenüber 3.804 im Vorjahr. N26 hat heute eher mit der anderen Seite des Onlinebankingbetrugs zu kämpfen: dem Missbrauch zur Geldwäsche.
Im März etwa wurden Konten von N26 für einen Fake-Shop für Playstation-5-Konsolen genutzt. Kunden, die glaubten, per Vorkasse an Euronics zu bezahlen, buchten in Wirklichkeit an das N26-Konto eines Betrügers. Das Konto wurde schnell gesperrt, nachdem das echte Euronics öffentlich vor dem Betrug warnte. Wie viel Geld dann schon von dem N26-Konto an anonyme Krypto-Wallets weitergeschoben wurde, ist nicht bekannt.
Gewachsen am Sicherheitsbewusstsein und Bankenregulierung
"Die Anforderungen an Banken im Bereich Onlinekriminalität sind in den letzten Jahren deutlich angestiegen", sagt Gino Cordt. Als die Sicherheitslücke 2016 öffentlich wurde, war er Interims-CTO bei N26. Mittlerweile hat er diesen Posten dauerhaft inne. Der Kampf gegen Betrüger müsse jeden Tag geführt werden. "Wir müssen hier weiterhin investieren, um kontinuierlich besser zu werden."
Seit dem Hack habe N26 viel dazugelernt. 2013 gegründet, geht die Firma auf ihr zehnjähriges Jubiläum zu. Als sogenanntes Einhorn-Start-up ist N26 mit mehr als 1 Milliarde Euro bewertet. "Damals waren die eigentlich komplett blank bei dem Thema Security", erinnert sich Haupert, der zwischenzeitlich zum Sicherheitskonzept von N26 promoviert hat und als Berater für Informationssicherheit arbeitet.
Die Anforderungen an N26 sind nicht nur durch den öffentlichen Druck nach Hauperts Veröffentlichung gestiegen, sondern auch die Regulierung der Bafin. Mit der Lizenz zur Vollbank ist auch die Beobachtung durch die Finanzaufsichtsbehörde strenger geworden. Die hat es nicht bei Ermahnungen belassen. Seit 2021 ist das Neukundengeschäft eingeschränkt, eine Millionenstrafe musste die Bank auch noch bezahlen - weil sie der Bafin nicht entschieden genug gegen Verdachtsfälle der Geldwäsche vorgegangen war.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
| Bankdrops sind die Infrastruktur zur Geldwäsche |
- 1
- 2
Wie lange dauert es bis bei "herkömlichen" Banken Geld vom Konto weg geht zu anderen...