Phishing-Attacken und schlechter Service bei N26 "Das kostete mich viele Nerven"
Paul Jedich, 34 und selbstständiger SAP-Softwareberater, bezeichnet sich selbst als technikaffin und digitalerfahren. Er probiert gern neue Dinge aus. Deshalb zögerte er nicht lange, als er Werbung der als hip geltenden Smartphone-Bank N26 sah. Er eröffnete in wenigen Minuten ein Konto ("Das ging superschnell und einfach") und kündigte sein altes bei einer Filialbank. Zunächst war er begeistert: Die N26-App ist intuitiv aufgebaut, einfach zu bedienen und deutlich schicker als die der Konkurrenz.
Doch am 23. Februar beginnt Jedich es zu bereuen, ein Konto bei N26 eröffnet zu haben. An diesem Tag versucht er, sich in seinem Geschäftskonto einzuloggen, doch eine Fehlermeldung poppt auf: Die Zugangsdaten seien nicht gültig. Jedich möchte dringend Geld überweisen und versucht, die Bank telefonisch zu erreichen. Aber keine Chance: Einen Telefonservice hat sie nicht, auch in Notfällen bietet sie nur einen Rückrufservice an.
Jedich bleibt nichts anderes übrig, als Mails zu schreiben. Da er glaubt, dass der Chat mit Mitarbeitern nur eingeloggten Kunden zur Verfügung steht, muss er einen Umweg gehen: Er tut so, als würde er ein neues Konto eröffnen wollen, um Zugriff auf den Kundenchat zu erhalten, so schildert er sein Vorgehen. Erst dann kann er direkt mit den Mitarbeitern der Bank kommunizieren.
Mehrere Wochen vergehen, in denen Jedich immer wieder vertröstet wird. Rechnungen bezahlen und Geld abheben kann er in dieser Zeit nicht. "Das kostete mich viele Nerven", sagt er.
Erst nach zwei Wochen hat der Mann wieder Zugriff auf sein Konto - und erfährt in einem Chat, dass ihm knapp 10.000 Euro gestohlen wurden. Hacker hatten sich offenbar bei einer Phishing-Attacke Zugriff verschafft und das Geld auf ein anderes Konto transferiert.
Auszüge aus dem Chat-Verlauf, den Jedich dem SPIEGEL zur Verfügung gestellt hat, zeigen, wie er von den Mitarbeitern der Bank hingehalten wird.
N26: Es ist dringend, dass du SOFORT zur Polizei gehst wegen des Anzeiges. Ich leite sofort deinen Anliegen direkt an die Fachabteilung. Die Polizei und die Staatsanwaltschaft werden die Aufklärung des Betrugs bei dir zuständig sein.
Jedich: Aber was ist mit meinem Konto? Und was hat euer support die letzten zwei Wochen in dem Fall unternommen? Wann bekomme ich endlich wieder zugriff auf meinen Account? Und Können wir bitte telefonieren und meine Identität festellen und dann kann ich wieder auf mein Konto zugreifen? da müssten über 20.000 Euro drauf sein. Wann komme ich wieder an mein Geld?
N26: Wieviel Geld stand in deinem Konto Ende Februar?
Jedich: Weiß ich nicht. ich habe ja seit dem 23.02. kein zugriff.
N26: Paul, es tut mir leid. Dein Konto ist jetzt gesperrt. Wir bieten keinen telefonischen Support mehr an.
Jedich: ok, aber wie komme ich an mein Geld? ihr könnt mich doch nicht einfach so ohne Erklärung und Lösungsvorschlag stehen lassen.
N26: Gar nicht. Ich kann dir jetzt auch keine weitere Information geben.
Bis heute weigert sich die Bank, ihm den Schaden zu erstatten. "Dass es beim Online-Banking zu solchen Attacken kommen kann, ist mir durchaus bewusst", sagt Jedich. "Ich kann aber in keiner Weise nachvollziehen, dass man mich als Kunden so lange hinhält und mir im Notfall nicht hilft." Inzwischen hat der Software-Berater die Polizei informiert und einen Anwalt eingeschaltet.
Recherchen des SPIEGEL zeigen, dass Jedich mit seinen Problemen nicht allein ist. Seit Anfang März häufen sich die Kundenklagen über die Bank. "Bei uns liefen eine Reihe von Beschwerden auf, die sich alle ähneln", berichtet Kay Görner, Referent im Team Marktwächter Finanzen der Verbraucherzentrale Sachsen. Der Ablauf der Fälle immer wieder: Kunden können sich in ihre Konten zunächst nicht mehr einloggen, können mehrere Wochen nicht mehr auf ihr Konto zugreifen - bis sie merken, dass sie Opfer sogenannter Phishing-Attacken geworden sind. Mitarbeiter der Bank sind währenddessen nicht am Telefon erreichbar.
Der SPIEGEL hat mit zahlreichen Opfern solcher Online-Raubzüge gesprochen. Der Befund ist so eindeutig wie alarmierend: Die schönen, neuen, mobilen Bezahlwelten bergen immense Risiken und verfügen im Notfall über keinen ausreichenden Kundenservice. Die Probleme werfen die Frage auf, ob das derzeit rasant wachsende Start-up über geeignete Strukturen verfügt, um bei zunehmender Kundenanzahl auf die ebenfalls zunehmende Zahl von Problemen angemessen reagieren zu können. Nach eigenen Angaben kommen bei der Bank pro Tag 10.000 neue Kunden hinzu.
Kürzlich sorgte die Bank deutschlandweit für Furore, als sie zum wertvollsten Finanz-Start-up Europas aufstieg (Lesen Sie hier ein Porträt über N26.). Nachdem Investoren 300 Millionen Dollar in das Unternehmen gepumpt hatten, ließ sich der Wert der gesamten Firma auf 2,7 Milliarden Dollar hochrechnen. Investoren bewerten das Berliner Start-up damit höher als die drittgrößte börsennotierte Bank hierzulande, die Wiesbadener Aareal Bank, die seit fast einem Jahrhundert Immobilienfinanzierungen anbietet.
Es ist zunächst nicht ungewöhnlich, dass eine Bank, die eine gewisse Größe erreicht hat, Ziel von Phishing-Angriffen wird. Auch andere Institute werden immer wieder Opfer von solchen Attacken. Doch der Umgang von N26 mit den Vorfällen wirft Fragen auf.
"Das Problem der mangelnden Erreichbarkeit macht uns Sorgen", sagt Verbraucherschützer Görner. Es sei für den Kunden in kritischen Situationen wichtig, die Bank schnell zu erreichen. Zum Beispiel, wenn das eigene Konto gesperrt sei oder wenn der Verdacht eines Diebstahls bestehe. "Nicht erreichbar zu sein, sorgt für einen Vertrauensverlust, den sich keine Bank wünschen kann."
"Wir wussten tagelang nicht, was vor sich geht"
Auch Judith Bogner, Journalistin und Moderatorin, wurde von N26 enttäuscht. Ihr Mann war gerade auf einer Geschäftsreise in Italien, als er sich nicht mehr in sein Konto einloggen konnte. "Ihm ist es nicht gelungen, direkten Kontakt mit der Bank aufzunehmen, tagelang wussten wir nicht, was vor sich geht", erzählt Bogner. Inzwischen steht fest: Dem Paar wurden 4000 Euro gestohlen. Bogner machte ihrem Ärger Luft und berichtete ausführlich über ihre negativen Erfahrungen auf der Jobvermittlungsplattform LinkedIn .
"Es ist nachvollziehbar, dass ein Kunde mit Unbehagen reagiert, wenn die Bank in solch einer Situation nicht telefonisch erreichbar ist. Bleibt eine Reaktion über längere Zeit komplett aus, ist das schwer zu ertragen", sagt Sicherheitsexperte Vincent Haupert. Die etablierten Banken würden das besser machen: "Dank ihrer etablierten Strukturen können sie schnell und persönlich reagieren."
Haupert ist der Forscher, der Ende 2017 Lücken im Sicherheitssystem der Bank entdeckt und auf einem Hackerkongress öffentlich gemacht hat. Ihm war es gelungen, Überweisungen zu manipulieren, ganze Accounts zu übernehmen und damit alle möglichen Transaktionen auszuführen. N26 behob daraufhin die Schwachstellen und es kam nach Angabe des Unternehmens zu keinen Schadensfällen. "Andernfalls wäre heute nicht nur die Existenz mancher Kunden, sondern vielleicht auch die von N26 selbst bedroht", sagt er.
Unternehmen entschuldigt sich für Vorfälle
N26 teilt auf Anfrage mit, man dürfe sich aus datenschutzrechtlichen Gründen nicht zu den einzelnen Fällen äußern. Wie alle Banken werde aber auch N26 mit Cyberkriminalität konfrontiert, so könnten "leider auch N26-Kunden Opfer von Betrugsmethoden wie zum Beispiel Phishing werden".
Inzwischen sei ein Kundensupport-Team von 600 Mitarbeitern im Einsatz, um sich um die Fälle zu kümmern. "Wir können daher sehr gute Erreichbarkeit sicherstellen", heißt es in einer Mitteilung des Unternehmens. "Wenn Kunden es wünschen, rufen wir sie zurück - insbesondere in dringenden Fällen, wie zum Beispiel bei Betrugsverdacht. "Leider haben wir in einigen Fällen festgestellt, dass Kunden nicht sofort zurückgerufen wurden, und wollen uns hierfür entschuldigen."
N26-Gründer Valentin Stalf
Foto: n26Auch bei der Rückerstattung von entstandenen Schäden wolle N26 die Kunden "bestmöglich unterstützen". Ein eigenes Team kümmere sich um die Verbesserung der Sicherheitsvorkehrungen und werde jeden Betrugsfall analysieren.
Doch nicht immer werden Kunden von Banken bei Phishing-Attacken entschädigt. "Ein Großteil der Kundenanliegen, die bei uns auflaufen, werden von den Banken abgelehnt und nicht entschädigt", sagt Thomas Feil, Fachanwalt für IT-Recht. Viele Häuser scheuten nicht davor zurück, die Angelegenheiten mit Kunden vor Gericht zu klären.
Theoretisch müssen Banken zwar bei einem "nicht autorisierten Zahlungsvorgang" einspringen und dem Kontoinhaber den Betrag erstatten. Allerdings gilt diese Pflicht im Fall grober Fahrlässigkeit nicht. Diese aber ist schwer zu definieren und müssen Banken gegenüber dem Kunden nachweisen können.
Berater Jedich hat die Hoffnung nicht aufgegeben, dass er sein Geld von N26 zurückerstattet bekommt. Er rätselt noch immer, wie das eigentlich passieren konnte. Seiner Meinung nach ist er nicht auf gefälschte Mails oder Ähnliches hereingefallen. Doch selbst wenn er am Ende den Betrag erstattet bekommen sollte - enttäuscht ist er allemal. Er hat deshalb ein neues Konto eröffnet: bei einer Filialbank.
Anmerkung der Redaktion: In einer früheren Version hieß es, N26 biete auch in Notfällen keinen Telefonservice an. Richtig ist jedoch, dass die Bank in solchen Fällen einen Rückrufservice anbietet. Auch steht der Chat mit Mitarbeitern nicht-eingeloggten Kunden zur Verfügung. Wir haben die beiden Textstellen präzisiert.
Aktualisierung 5. April 2019: Die Bank teilt mit, dass sie den Kunden die entsprechenden Schäden mittlerweile erstattet habe.
