Fragen? Antworten! Siehe auch: Alternativlos
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat am 05.10.2021 gegenüber der N26 Bank GmbH angeordnet, Maßnahmen zu ergreifen, um wieder eine ordnungsgemäße Geschäftsorganisation herzustellen und Risiken für die operationelle Resilienz einzudämmen. Ein von der BaFin bestellter Sonderbeauftragter wird die Umsetzung der angeordneten Maßnahmen überwachen.Au weia. Das sind für eine Bundesbehörde ausgesprochen scharfe Formulierungen. Was ist denn genau das Problem?
Konkret hat die BaFin die Beseitigung von Mängeln insbesondere im Risikomanagement in den Bereichen Informationstechnologie und Auslagerungsmanagement angeordnet.Auslagerungsmanagement? OMFG Wat!? Heilige Scheiße. Das muss man erstmal hinkriegen, dass die Bafin findet, man habe Defizite im Auslagerungsmanagement. Krasse Kacke. (Danke, Jörg)
Früher gab es da mal so ein paar Spezial-Blogs über Berliner Startups und wie sie alle gerade pleite gehen, ihre Kunden und Geschäftspartner verarschen und ihre Mitarbeiter ausnehmen. Das hier liest sich wie ein Beitrag in so einem. Ein "disgruntled ex-employee" packt aus!!1!
Inhaltlich liest sich das wie eine schöne Auflistung aller Startup-Klischees, insbesondere wie man sich das von außen so vorstellt in einer Startup-"Bank". Immer auf dem Weg zur nächsten Finanzspritze, zum goldenen Exit. Wieso hat uns eigentlich Google noch nicht gekauft?! Wir sind doch so toll!!1!
Ich habe daher ein paar Kollegen befragt, die sich mit sowas auskennen, wieso wir das eigentlich überhaupt gekriegt haben.
Die Antwort könnte die Bevölkerung verunsichern.
Kollege1: Fefe: SOFORT-"bank" legalisieren und schufa im business haltenAls wenn das noch nicht schlimm genug ist: Die Schweiz lacht sich kaputt über unsere Idiotie und sagt an:
Kollege2: was Kollege1 sagt
Kollege1: Fefe: ziemlich genau das ist die anforderungsdefinition
Kollege1: "Zahlungsauslösedienste" und "Kontoauskunftsdienste"
Kollege2: Kontoinformationsdienste bitte
Kollege1: pardon
Kollege2: also ich stelle mir das so vor: Schritt 1: Dings und Bums legalisieren. Schritt 2: Hmm, wir müssen uns irgendwas einfallen lassen, das als Sicherheit zu verkaufen. Schritt 3: Alles andere kaputmachen.
Fefe: na meine daten ohne mein einverständnis weggeben wäre auch gegangen, ohne mein ui anzufassen
Kollege2: Fefe: nene, muss ja mit deinem einverständnis sein!
Fefe: IST ES ABER NICHT
Kollege2: doch doch, du musst einmal (im laufe der zahlungsabwicklung ggbf) zustimmen
Die PSD2-Regulierung der EU gilt nicht für die Schweiz. Die Schweiz setzt auf marktwirtschaftliche Lösungen.Es sah ja eine Weile so aus, als ob das Schweizer Bankgeheimnis und damit Schweizer Banking als (aus welchen Gründen auch immer) attraktive Option für EU-Bürger tot ist.
Welch selbstloser Akt der Selbstaufopferung auf Seiten der EU! Die haben wahrscheinlich beim letzten "Stabilitätstest" gesehen, dass die europäischen Banken eh alle so gut wie tot sind, und haben sich gedacht: Dann sorgen wir lieber dafür, dass die Leute in der Schweiz ein Konto haben, damit sie eine Chance haben, den Kollaps zu überleben.
Ich bin jedenfalls gerade ernsthaft am überlegen, ob ich nicht in der Schweiz ein Konto aufmache, um diesem nicht enden wollenden Bullshit-Tsunami zu entgehen, mit dem die Banken mich erst von Papier-TANs zu Chip-TANs, dann von Chip-TANs zu Mobile-TANs und jetzt von Mobile-TANs zu App-TANs genötigt haben, und jeden Schritt des Weges ist für mich das Verfahren untransparenter und unsicherer geworden. Ich hab echt die Schnauze voll.
Das geilste ist ja immer, wenn die Banken sich dann wundern, wieso die Leute zu N26 und co gehen.
"Die Volksbank Freiburg hat aufgrund einer Zunahme an Betrugsfällen im Online-Banking den Zahlungsverkehr mit den Direktbanken N26, Fidor, Revolut, bunq und Solarisbank temporär eingestellt", sagte ein Sprecher.Angeblich haben Betrüger dort Konten eröffnet und nutzen das als komfortable Geldabflussmöglichkeit, denn die Kunden von so Hipster-Direktbanken sind ja nicht die Leute, die da ein Konto aufmachen, sondern die Idi, … äh Investoren, die ihnen Kohle zum Verbrennen gegeben haben. Und denen sind hohe Kundenzahlen wichtiger als wenig Betrugsfälle.
Update: Wisst ihr, was mich an der Nummer so richtig ärgert? Dass die seit Jahrzehnten nichts gegen Western Union machen. Das ist die Geldraustragmaschine der Wahl für Nigeria-Scammer. Wenn ihr einen alten Menschen findet, der von Nigeria-Scammern ausgenommen wurde, fragt die mal, wieso das Geld nicht zurückholbar war. Dann kommt immer nur Schulterzucken. Geht nicht bei Western Union.
Bevor Bitcoin ihnen die Butter vom Brot genommen hat, war das auch bei Online-Erpressungen das Nummer-1-Zahlungssystem. Aber da konnte man nichts machen.
Aber jetzt bei N26 und co, da geht das plötzlich? Ja nee, klar.
Das gefeierte Bank-Startup stellte erst kürzlich den Telefonservice ein. Bei schwerwiegenden Problemen der Kunden reagiert N26 nicht gut, wie mehrere Fälle zeigen.Wer braucht schon Service, wenn ihm 80.000 Euro vom Konto gestohlen werden. N26-Kunden brauchen da offenbar eher einen Seelsorger.
Wie die Bank reagiert? Erst vertröstet ihn eine automatische Mail des Kundenservices für ein bis zwei Tage Werktage. Auch in den folgenden Tagen können die N26-Mitarbeiter Seitz per Mail nicht helfen, sie finden seine Mailadresse nicht unter den Kunden und verweisen auf den Chat, den es auf der Internetseite gibt.
Update: Wer den 33c3-Talk über N26 noch nicht gesehen hat: Jetzt böte sich das vielleicht an :-)
N26 is Europe’s first Mobile Bank with a full European banking license. We redesigned the banking experience to be simple, fast and contemporary. Founded in 2013 by Valentin Stalf and Maximilian Tayenthal, N26 has more than 500 employees and more than 1,5 million customers in 18 countries. N26 has raised more than $215 million from renowned investors including Allianz X, Tencent Holdings Limited, Li Ka-Shing’s Horizons Ventures, Peter Thiel’s Valar Ventures, members of the Zalando management board and Earlybird Venture Capital.Once here you will
- Use penetration testing skills and methodology to strengthen our internal and external applications and services.
- Use software engineering skills to build services for security related topics such as: access management, continuous security testing, intrusion detection, fraud and abuse detection.
- Use systems engineering skills to architect and build out solutions and frameworks that address current and future threats.
- Use your knowledge of security architecture to help software engineers build secure products and services.
- Perform application security design, threat modeling and code reviews.
- Improve engineering standards, tooling, and processes.
- Delve into large datasets to find significant features, anomalies and patterns.
- Enable other engineering teams to find flaws before they are introduced into production.
- Perform reactive incident response when a security event occurs.
- Perform proactive research to detect new attack vectors.
- Educate technical and non-technical staff through our security awareness training program.
- Improve our customer education program.
Also ich empfehle ja meinen Kunden immer, lieber erst Security und dann Produkt zu machen als umgekehrt. Dann hat man eine Chance. Sorum wird das erfahrungsgemäß ein ewiges hinterherlaufen und nie ankommen, wie bei Apple und Microsoft. Der Einsender hat noch einen Screenshot mitgeschickt.Inhaltlich klingt das alles sehr nach "das ist SO verkackt, dass wir jetzt alles wegschmeißen und nochmal ordentlich neu machen wollen". Sie suchen jemanden, der weiß, wie man Architektur ordentlich macht. Das ist nichts, was man nachträglich ändern kann.
Hi Fefe, mir geht es genauso, kein Zugriff mehr seit 29.10., die Info "Routineüberprüfung" wurde mir nicht mal mitgeteilt, nur dass ich auf eine E-Mail warten solle, und dass die Entscheidung "final" sei. Sonst nicht ein Wort, es gibt keine Hotline und der Chat blockt ab. Vielen Dank fürs publik machen. Daran, dass die Bude gehackt worden sein könnte habe ich gar nicht gedacht, nach ihrer öffentlichen Zerstörung beim CCC 2016 dachte ich, wer so auf die Fresse bekommen hat muß dazugelernt haben. Habe bereits Beschwerde bei der BaFin eingelegt, da eine Bank zwei Monate Kündigungsfrist hat. Es wäre super wenn du diese Möglichkeit verlinken könntest, sie haben ihre Lizenz erst seit zwei Jahren, diese Sprache verstehen sie (hoffentlich). Außerdem haben sie eine vollständige DSGVO Anfrage per Einschreiben mit Rückschein bekommen, vielleicht bringt sie das dazu, dass sie sich äußern. Mich hat diese Aktion in die ultra Misere gebracht (Gehalt/Miete). Vielen Dank!!!Oh ja stimmt, wir haben ja gerade einen Monatswechsel! Das ist ja richtig kacke für die Leute, die da ihr Gehaltskonto haben und nicht nur ein Zweitkonto zum Spielen.
Auf Twitter behauptet der N26-Support übrigens, sie würden schlicht zufällig ausgewählte Konten einfrieren. Wait, what?!
Übrigens, ich weiß nicht, ob ihr es wusstet: Peter Thiel (ja, DER Peter Thiel) ist Investor bei N26.
Update: Eine andere Theorie ist die aktuell laufende Bafin-Routineprüfung von N26.
"Wir haben Erkenntnisse, dass das Foto-Ident-Verfahren angewandt wird, dem gehen wir nach. Dieses Verfahren entspricht nicht den hiesigen Ansprüchen an die Identifizierung von Neukunden", sagte ein BaFin-Sprecher.
Update: Einer der Betroffenen schreibt mir gerade, sein Konto gehe wieder, und er wisse jetzt, was das Problem war: Er hatte den Account via VPN benutzt.
Update: Ein anderer Leser wendet ein:
ich möchte hier anmerken, dass die Kündigungsfrist von 2 Monaten nur für normale Girokonto-lohnt-sich-für-uns-nicht-mehr- und du-gleichst-deinen-Dispo-nie-aus-Kündigungen gilgt. Bei Verstößen gegen die diversen Geldwäschegesetzte oder das Gesetz zur Förderung der Steuerehrlichkeit, kann das Konto zu Sofort gekündigt werden. Der Kontoinhaber muß in diesem Falle jedoch per Brief informiert und um Meldung eines Auszahlungskonto gebeten werden. Kommt diese Info nicht, dann gibt es auch keine Kontokündigung.
Im Falle einer Kündigung durch eine Bank dürfen die 1. lvl-Support Leute (2/3 werden in einem Callcenter bei einer anderen Firma arbeiten) keinerlei Auskunft geben und müssen auf den Schriftweg verweisen. Da dies hier scheinbar nicht der Fall ist, könnte es sich auch um einen Fall von Software-ist-Scheisse handeln.
Nicht dass die wieder eine Sicherheitsschwankung hatten?!
Update: Die nachfolgenden Tweets scheinen zu bestätigen, dass es da einen Security-Vorfall gab. Und mehrere Leute berichten, beim Login einen HTTP-500-Fehler zu kriegen.
Informationen darüber, wer wann mit welchem Arzt Gesundheitsdaten geteilt hatte, lagen ungeschützt für jeden lesbar im Netz. Versicherte konnten durch die Informations-Yecks anhand von Name, Foto, E-Mailadresse, Geburtsdatum und Versichertennummer identifiziert werden. Auch Name, Adresse und Fachrichtung des kontaktierten Arztes konnten ausgelesen werden. Unbefugte konnten über das Internet alle Dokumente, die an einen Arzt gesendet werden sollten, abfangen und entschlüsseln. Darüber hinaus fand modzero zahlreiche konzeptionelle Schwächen im Rahmen der Nutzung der RSA-Verschlüsselung und des Schlüssel-Managements. So konnten beispielsweise über trivial ausnutzbare Fehler in der Server-Anwendung die geheimen Schlüssel der Ärzte ausgelesen werden.Wow. Das ist echt Totalschaden.
Aber leider nicht so ungewöhnlich für die Startup-Kultur im Augenblick. Ich hab das ja schon ein paar Mal in Vorträgen thematisiert, wie da erstmal gewaltig auf den Busch geklopft wird, und man plant dann, wenn man am Markt Erfolg hat, das später nach ein-zwei Investitionsrunden oder dem IPO nochmal richtig und ordentlich zu machen. :-(
Update: Der Gründer von Vivy war vorher CTO bei N26. Und die hatten ja auch schon ihren Auftritt beim CCC-Congress m(
Ach komm, Fefe, Sicherheit ist nicht so wichtig bei Banking und Gesundheitsanwendungen! Da liefern wir einen Patch nach!1!!
Update: Falls das jemand übersehen hatte: Vivy ist natürlich vom TÜV geprüft. Diesmal Rheinland, nicht Süd. Da kann also gar nichts schiefgehen!!1!
Deren CSV-Kontoauszug stimmt anscheinend nicht mit deren PDF-Kontoauszug überein.
Liebe Kontoauszugsabteilung bei N26? You had ONE Job!
