Die Prepaid-Karte von Revolut hat ihren Siegeszug rund um die Welt angetreten: Gerade bei Auslandsaufenthalten nutzen viele Konsumenten das Angebot des Startup-Unternehmens, weil es günstigere Wechselkurse bietet als die Kreditkarten herkömmlicher Banken. Doch während das britische Unternehmen und andere Online-Banken rasant wachsen, klagen viele Nutzer über Sicherheitslücken und eine schlechte Betreuung durch den Kundendienst.

So zum Beispiel Helmuth Zimmermann: Am vergangenen Sonntag wurde der 59-jährige Zürcher Opfer einer Hackerattacke. Betrüger knackten sein Revolut-Konto und erbeuteten 30 000 Fr. Zimmermann ist sich sicher, dass viele weitere Revolut-Kunden Gefahr laufen, durch Hackerangriffe Geld zu verlieren. Schliesslich habe er ein sicheres Passwort genutzt, seine Daten nicht geteilt und auch seine Karte nicht unbeobachtet gelassen, sagt der Chef einer IT-Beratungs-Firma. Die Schwachstelle müsse beim Finanzdienstleister liegen.

Mehrere Betrugsfälle in Deutschland

Nachdem Zimmermanns Fall öffentlich geworden ist, beschweren sich weitere Betroffene über Twitter. Die Magazine «Gründerszene» und «Spiegel» berichteten bereits im Frühjahr über Kunden des deutschen Revolut-Pendants N26, denen mehrere tausend Euro von ihren Konten entwendet wurden. Verzerren die öffentlichen Beschwerden derzeit das Bild von den jungen Finanzdienstleistern – oder haben sie ein systemisches Sicherheitsproblem?

Jedenfalls erhält die deutsche Finanzaufsicht Bafin verstärkt Beschwerden bezüglich betrügerischer Transaktionen über Direktbank-Konten. Sechs deutsche Volksbanken setzten aus Sorge über Betrug vorübergehend die Überweisungen an Revolut aus. Traditionelle Finanzinstitute und Smartphone-Banken liefern sich einen harten Kampf um Kunden, die Cybersicherheit wird dabei zu einem entscheidenden Faktor.

«Sicherheit ist im Banking für Kunden einer der wichtigsten Punkte», sagt Oliver Hirschi, Dozent für Informationssicherheit an der Hochschule Luzern. Allerdings setzen Klienten der Direktbanken diese Sicherheit häufig voraus und achten vornehmlich auf Kosten und Funktionalität. Häufen sich jedoch die Fälle von Cyberbetrug gegenüber Revolut-Nutzern, droht dies das Kundenwachstum des Startups zu beeinträchtigen.

Wechselkurse machen Startups attraktiv

Momentan befinden sich junge Dienstleister im Aufwind. Revolut operiert mit einer litauischen Banklizenz, Nutzer können ihre Prepaid-Karte über ihr gewöhnliches Bankkonto aufladen. Um profitabel zu werden, muss das Unternehmen möglichst viele Neukunden gewinnen. Global hat es bereits über 6 Millionen Nutzer, in der Schweiz sind es mehrere zehntausend.

Revolut und N26 bieten ihren Nutzern bequeme Apps, mit denen sie weltweit günstig zahlen können. So rechnet Revolut beim Tausch von Franken in Fremdwährung zum Interbankenkurs ab, den die Geldhäuser bei Transaktionen untereinander verwenden. Traditionelle Banken schlagen beim Geldwechsel dagegen üblicherweise noch eine Marge drauf.

Opfern Kunden für diesen Kostenvorteil ihre Sicherheit? Schliesslich greifen die etablierten Finanzinstitute bei der Bekämpfung von Cyberkriminalität auf grössere Ressourcen zurück. Zudem sind sie untereinander vernetzt, tauschen sich schnell über Gefahren aus und teilen Strategien.

Natürlich haben die etablierten Finanzinstitute ebenfalls mit Problemen zu kämpfen; die Aufseher der Finma attestierten der Credit Suisse erst im vergangenen Jahr Mängel bei der Geldwäschereibekämpfung. Auch garantiert ein Online-Konto bei traditionellen Banken keine Sicherheit vor Hackerattacken. Laut dem Software-Entwickler Kaspersky steigen die Angriffe gegen Nutzer von Online-Transaktionen insgesamt stark und werden noch zunehmen. Allerdings wappnen sich traditionelle Geldhäuser und Online-Banken mit unterschiedlichen Methoden gegen Betrüger.

Klassische Banken nutzen künstliche Intelligenz

Laut der Bafin drehen sich viele deutsche Beschwerden über die neuen Zahlungsdienstleister um Schwierigkeiten bei der Umstellung auf das sogenannte starke Authentifizierungsverfahren. Die EU-Richtlinie PSD2, die auch für Revolut gilt, sieht vor, dass die Nutzeridentifikation aus mindestens zwei Elementen, zum Beispiel einem Passwort und dem Fingerabdruck, besteht. Das gewährleisten die Direktbanken nach Ansicht vieler Nutzer nicht ausreichend.

Die etablierten Banken nutzen im Kampf gegen Geldwäscherei zudem aufwendige Prozesse. Die UBS beispielsweise analysiert mithilfe künstlicher Intelligenz das Kundenverhalten, kann so Unregelmässigkeiten erkennen und betrügerischen Transaktionen vorbeugen. Zudem können UBS-Kunden bestimmte Länder und einzelne Konten für Online-Zahlungen sperren sowie verbindliche Auszahlungslimits festlegen.

Bei Revolut setzen die Nutzer ebenfalls maximale Auszahlungsbeträge – haben aber keine Möglichkeit, Aufladegrenzen zu setzen. So lässt sich theoretisch der ganze auf einem Bankkonto verfügbare Betrag auf die Revolut-Karte laden. In Zimmermanns Fall konnten die Betrüger 30 000 Fr. von seinem Revolut-Account abbuchen, obwohl das Auszahlungslimit bei 15 000 Fr. lag.

Eine Revolut-Sprecherin bestritt auf Anfrage der NZZ zunächst, dass die «robusten Sicherheitskontrollen» des Unternehmens umgangen wurden und bezeichnete den Betrug an Zimmermann als «isolierten Einzelfall». Allerdings musste Revolut am Freitag einräumen, dass mehrere seiner Kundenkonten geplündert wurden.

Ob Zimmermann sein Geld zurückerhält, war zunächst fraglich. Nachdem mehrere Medien über seinen Fall berichteten, hat Revolut den von der Attacke betroffenen Kunden aber eine Rückerstattung versprochen. Inzwischen hat das Unternehmen Zimmermann die 30 000 Franken überwiesen – der Geschädigte aber weiterhin um die Cyber-Sicherheit bei der Direktbank.

Revolut warnt seine Nutzer nun vor Phishing-Attacken per SMS: Hacker versendeten aktuell per Kurznachricht Links an Revolut-Kunden und forderten sie auf, ihr Passwort zu verifizieren. Revolut verlange von seinen Kunden aber nie, Kontendetails wie die PIN anzugeben, teilte eine Sprecherin mit. Wer eine Mitteilung erhalte und sich nicht sicher sei, ob diese wirklich von Revolut komme, solle sich direkt an das Unternehmen wenden. Zimmermann hat nach eigenen Angaben allerdings nie eine Phishing-SMS geöffnet.

Britische Zahlungsdienstleister sind bei unautorisierten Transaktionen generell rückerstattungspflichtig. Für Schweizer Banken sähe die Rechtslage laut Bankenombudsmann Marco Franchetti anders aus. «Wer für den entstandenen Schaden geradestehen muss, richtet sich danach, wie das Konto gehackt wurde», sagt er. Sprich: ob es sich aus Kundensicht um Eigen- oder Fremdverschulden handelt.

Wie es in seinem Fall zur Sicherheitslücke kommen konnte, versucht Zimmermann im Revolut-Chat herauszufinden – denn das Unternehmen bietet keine Telefonhotline an. Im Chatverlauf, der der NZZ vorliegt, versprechen mehrere Mitarbeiter, sich um Zimmermanns Problem zu kümmern. Schliesslich behauptet eine Mitarbeiterin, die SIM-Karte des Geschädigten sei gehackt worden und die Betrüger hätten die Überweisungen über sein Telefon ausgeführt. Zimmermanns Mobilfunkanbieter, die Swisscom, widerspricht dem allerdings.

Chat-Support frustriert Kunden

Zimmermann bohrt also weiter nach, wird von Mitarbeitern tagelang vertröstet. Weitere Nutzer berichten von ähnlichen Erfahrungen, in den Revolut-Foren fordern Kunden einen telefonischen Support. Das Startup hält das allerdings für unnötig. «Unser Chat bietet Kundenservice rund um die Uhr», schreibt das Unternehmen in einer Stellungnahme. Allerdings müssen Nutzer teilweise lange darauf warten, mit einer echten Person zu chatten. Fordern Kunden eine solche Unterhaltung nicht ausdrücklich, nutzt Revolut Bots.

«Wenn ein Zahlungsdienstleister tatsächlich nicht telefonisch erreichbar ist, stellt das einen deutlichen Nachteil im Kundenservice dar», sagt Hirschi. Schliesslich verfallen viele Opfer von Phishing-Attacken in Panik, sobald sie den Betrug bemerken. Da wirkt es beruhigend, über Telefon die Stimme eines Bankmitarbeiters zu hören – der Kunde erhält so den Eindruck, dass sein Anliegen ernst genommen wird. Auch Zimmermann hat bei seiner Hausbank, der UBS, um Hilfe gebeten. Diese verfolge das Problem nun parallel zu Revolut. «Ich bin mittlerweile optimistischer, dass ich mein Geld zurückerhalte», sagt Zimmermann.

Revolut und andere Online-Banken laufen derweil Gefahr, als reine Schönwetterangebote dazustehen. Heisst: Solange der Nutzer keine Hilfe benötigt, sind ihre Produkte zwar modern und bequem. Sobald aber Probleme auftreten, müssen sich Kunden an eine klassische Bank wenden – oder sie bleiben im Regen stehen.

Kommentar

Fintech-Firmen nutzen Schwächen der traditionellen Banken aus

Junge Technologiefirmen haben sich im Finanzsektor nicht so rasch durchgesetzt wie prognostiziert. Es wird im Finanzsektor aber zu Umbrüchen kommen, zumal die Banken diese geradezu provozieren.

Daniel Imwinkelried 22.08.2019

Die Online-Bank N26 ist mit Gratiskonten zum Milliardenwert geworden – bald kommt sie in die Schweiz

Die Berliner Online-Bank N26 sammelt noch mehr Geld ein und expandiert in die Schweiz. Gründer und Chef Valentin Stalf informiert im Gespräch über Pläne für die N26-App, wie sich die Bank vor Betrügern schützen will und was er von der Facebook-Währung Libra hält.

Christian Gattringer 18.07.2019