Onlinebanking: Die zwei Fronten der Onlinebanking-Sicherheit

Konten von N26 werden vermehrt als Bankdrops benutzt - und bilden damit das Fundament für Phishing und Betrugsmaschen.

Ein Bericht von Daniel Ziegener veröffentlicht am
Was tun gegen Onlinebanking-Betrüger?
Was tun gegen Onlinebanking-Betrüger? (Bild: Super Snapper/Unsplash)

2016 war ein aufregendes Jahr für N26. Nicht nur, weil das Berliner Banken-Start-up in diesem Jahr seine Vollbanklizenz erhielt. Sondern auch, weil der Sicherheitsexperte Vincent Haupert einen fatalen Fehler in der API der N26-App öffentlich machte.

Inhalt:
  1. Onlinebanking: Die zwei Fronten der Onlinebanking-Sicherheit
  2. Bankdrops sind die Infrastruktur zur Geldwäsche

Auf dem 33C3, dem Kongress des Chaos Computer Club, demonstrierte Haupert ein Angriffsszenario, das eine Schwachstelle in der Authentifizierungsmethode der N26-App ausnutzte. Die größte Lücke hatte N26 damals schon korrigiert. Sechs Jahre später steht die Onlinebank nicht weniger in der Kritik - aber wegen anderer Probleme.

Direkte Angriffe auf die N26-Konten treten fast in den Hintergrund, gestritten wird über die Sperrung unbescholtener Kunden. Dahinter steckt eine Verschiebung der Sicherheitsprobleme, denen Kunden und Banken heute beim Zahlungsverkehr im Internet ausgesetzt sind.

Zwischenstopp zur Geldwäsche

Die von Haupert aufgezeigte Sicherheitslücke wurde - soweit ihm bekannt ist - nie in der Praxis ausgenutzt. Das Betrugsproblem von Onlinebanken wie N26 liege ohnehin weniger bei den von ihnen selbst aufgezeigten Sicherheitslücken, erklärt Vincent Haupert. "Sparkassen und Volksbanken sind eher diejenigen, wo das Geld abgeht, also geklaut wird", sagt er.

Stellenmarkt
  1. Business Analyst Vertriebssteuerung und -controlling (m/w/d)
    DANNEMANN Cigarrenfabrik GmbH, Lübbecke
  2. 40% remote work - SAP Logistik Berater Job (m/w/x) - SAP MM, PP, EWM, LE, PM, QM oder SD Consultant ... (m/w/d)
    über duerenhoff GmbH, Raum Offenburg
Detailsuche

Die vom Bundeskriminalamt erfassten Fälle von "Betrug bzw. Computerbetrug mittels rechtswidrig erlangter sonstiger unbarer Zahlungsmittel" nach den Paragraphen 263 und 263a des Strafgesetzbuches stiegen im Jahr 2021 auf 4.434 an, gegenüber 3.804 im Vorjahr. N26 hat heute eher mit der anderen Seite des Onlinebankingbetrugs zu kämpfen: dem Missbrauch zur Geldwäsche.

Im März etwa wurden Konten von N26 für einen Fake-Shop für Playstation-5-Konsolen genutzt. Kunden, die glaubten, per Vorkasse an Euronics zu bezahlen, buchten in Wirklichkeit an das N26-Konto eines Betrügers. Das Konto wurde schnell gesperrt, nachdem das echte Euronics öffentlich vor dem Betrug warnte. Wie viel Geld dann schon von dem N26-Konto an anonyme Krypto-Wallets weitergeschoben wurde, ist nicht bekannt.

Gewachsen am Sicherheitsbewusstsein und Bankenregulierung

"Die Anforderungen an Banken im Bereich Onlinekriminalität sind in den letzten Jahren deutlich angestiegen", sagt Gino Cordt. Als die Sicherheitslücke 2016 öffentlich wurde, war er Interims-CTO bei N26. Mittlerweile hat er diesen Posten dauerhaft inne. Der Kampf gegen Betrüger müsse jeden Tag geführt werden. "Wir müssen hier weiterhin investieren, um kontinuierlich besser zu werden."

Seit dem Hack habe N26 viel dazugelernt. 2013 gegründet, geht die Firma auf ihr zehnjähriges Jubiläum zu. Als sogenanntes Einhorn-Start-up ist N26 mit mehr als 1 Milliarde Euro bewertet. "Damals waren die eigentlich komplett blank bei dem Thema Security", erinnert sich Haupert, der zwischenzeitlich zum Sicherheitskonzept von N26 promoviert hat und als Berater für Informationssicherheit arbeitet.

Die Anforderungen an N26 sind nicht nur durch den öffentlichen Druck nach Hauperts Veröffentlichung gestiegen, sondern auch die Regulierung der Bafin. Mit der Lizenz zur Vollbank ist auch die Beobachtung durch die Finanzaufsichtsbehörde strenger geworden. Die hat es nicht bei Ermahnungen belassen. Seit 2021 ist das Neukundengeschäft eingeschränkt, eine Millionenstrafe musste die Bank auch noch bezahlen - weil sie der Bafin nicht entschieden genug gegen Verdachtsfälle der Geldwäsche vorgegangen war.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Bankdrops sind die Infrastruktur zur Geldwäsche 
  1. 1
  2. 2
  3.  


Aktuell auf der Startseite von Golem.de
25 Jahre Dungeon Keeper
Wir sind wieder richtig böse!

Nicht Held, sondern Monster: Darum geht's in Dungeon Keeper von Peter Molyneux. Golem.de hat neu gespielt - und einen bösen Bug gefunden.
Von Andreas Altenheimer

25 Jahre Dungeon Keeper: Wir sind wieder richtig böse!
Artikel
  1. bZ4X: Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an
    bZ4X
    Toyota bietet Rückkauf seiner zurückgerufenen E-Autos an

    Toyota bietet Kunden den Rückkauf seiner Elektro-SUVs an, nachdem diese im Juni wegen loser Radnabenschrauben zurückgerufen wurden.

  2. Laptops: Vom Bastel-Linux zum heimlichen Liebling der Entwickler
    Laptops
    Vom Bastel-Linux zum heimlichen Liebling der Entwickler

    Noch vor einem Jahrzehnt gab es kaum Laptops mit vorinstalliertem Linux. Inzwischen liefern das aber sogar die drei weltgrößten Hersteller - ein überraschender Siegeszug.

  3. Entwicklerstudio: Eidos Montreal möchte Cyberpunk 2077 mit Deus Ex toppen
    Entwicklerstudio
    Eidos Montreal möchte Cyberpunk 2077 mit Deus Ex toppen

    Eidos Montreal würde gerne ein neues Deus Ex machen. Der Plan, damit Cyberpunk 2077 zu übertrumpfen, scheitert aber vorerst an einem Detail.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (u. a. Samsung 980 1 TB 77€ und ASRock RX 6800 639€ ) • Alternate (u. a. Corsair Vengeance LPX 8 GB DDR4-3200 34,98€ ) • AOC GM200 6,29€ • be quiet! Deals • SSV bei Saturn (u. a. WD_BLACK SN850 1 TB 119€) • Weekend Sale bei Alternate • PDP Victrix Gambit 63,16€ [Werbung]
    •  /