Von Jan Willmroth, Frankfurt, und Nils Wischmeyer, Köln

Als Eckehard Küntzle an einem Montag im Januar ein Konto eröffnete, dachte er nicht im Traum daran, dass er am Ende Opfer von Internetbetrügern würde. Er hatte sich auf einer Webseite für Marktforschungen registriert, wie schon häufig. In deren Auftrag sollte er angeblich das Video-Identifikationsverfahren der Online-Bank N26 testen. Das stellt via Videochat sicher, dass man der ist, der man vorgibt zu sein bei der Kontoeröffnung. Küntzle sollte prüfen, wie gut das läuft. Das glaubte er jedenfalls.

Wenige Tage nach seinem Test erhielt er eine Mastercard und eine Nummer, die er an die vermeintlichen Marktforscher weiterreichte. Die versprachen, das Konto zu schließen. Küntzle bekam sein Honorar, 60 Euro. Alles lief unauffällig, bis er im März die Webseite der Marktforscher erneut aufrief - und diese nicht mehr existierte. Panisch alarmierte er N26 und ging zur Polizei: Betrüger hatten Küntzles Identität missbraucht. Er wurde unabsichtlich Teil eines größeren Problems, das N26 - im Gegensatz zu Konkurrenzinstituten - nur schwer in den Griff bekommt und das nachweislich Hunderte Opfer betrifft.

Recherchen von Süddeutscher Zeitung und NDR zufolge haben mutmaßliche Kriminelle in mehreren Hundert Fällen Konten bei der Bank eröffnet, um offenbar Geld aus dem Geschäft mit betrügerischen Online-Shops zu waschen. Bis die Bank die jeweiligen Konten sperrte, waren teilweise mehrere Tage vergangen - Zeit, mit der Online-Betrüger kalkulieren, um genügend gutgläubige Kunden mit gefälschten Produktangeboten reinzulegen.

N26, ein deutsches Vorzeige-Start-up, finanziert mit hunderten Millionen Euro von namhaften Investoren, will eine Plattform-Bank sein, mit dem Smartphone als Schaltzentrale für die persönlichen Geldgeschäfte. Die Zahl der Kunden wächst schnell. Dabei gibt es immer wieder Anhaltspunkte dafür, dass die Bank womöglich Risikoprozesse vernachlässigt. Es braucht nicht viel, um im Internet ein paar Tausend Euro zu ergaunern. Betrüger registrieren eine Webseite, oft mit de-Domain, die aussieht wie ein moderner Online-Shop. Kurzzeitig kassieren sie Geld für Kaffeemaschinen, Armbanduhren und Winterjacken, die es gar nicht gibt. Dafür benötigen sie Bankkonten, auf denen das Geld zahlender Kunden landet und auf die sie Zugriff haben. Zwar könnten sie bei vielen Banken versuchen, solche Konten zu eröffnen, die meisten Geldhäuser kennen solche Fälle. Konten von N26 aber sind, das bestätigen Betreiber von Internetforen und das LKA Niedersachsen, sind bei Kriminellen besonders beliebt. Bei der Berliner Digitalbank muss niemand selbst vorbeischauen, um Kunde zu werden. Der Video-Chat reicht: Ausweis in die Kamera halten, einige Fragen beantworten und schon werden Karten und die Daten zur Aktivierung des Kontos per Post verschickt. Ob in Spanien, Großbritannien oder Deutschland: Jeder neue Kunde bei N26 erhält eine deutsche Iban. Das ist nicht ungewöhnlich, auch andere Banken machen es. Aber es schafft Vertrauen bei Kunden, die auf Fakeshops hereinfallen.

Damit die Masche funktioniert, braucht es Menschen wie Küntzle, die gutgläubig bei einem Test mitmachen und ein Konto auf ihren Namen eröffnen, über das dann Betrüger verfügen. Im Glauben, sie handelten als Testkunden, werden sie unabsichtlich zu Gehilfen. Wenn sie im Chat gefragt werden, ob sie von einer Firma mit der Kontoeröffnung beauftragt wurden, sagen sie nein. Diese Lüge, denken sie, gehöre zum Test. So heißt es in der E-Mail des vermeintlichen Marktforschungsinstituts an Küntzle: "Um das Testergebnis nicht zu verfälschen, darf der Mitarbeiter nicht merken, dass wir ihn prüfen." Eine Masche, die im Fall von N26 häufig funktioniert hat.

SZ und NDR liegt eine Liste mit fast 400 N26-Konten vor, die offenbar für Fakeshops und betrügerische Ebay-Händler eingesetzt wurden. Für die ahnungslosen Testkunden kann das brutal enden: Nach Angaben der Staatsanwaltschaft Hamburg drohen Kontoinhabern selbst in Fällen, in denen sie reingelegt wurden, Verfahren wegen leichtfertiger Geldwäsche - und später Klagen von betrogenen Kunden der Fakeshops. "Das ist das Gefährliche daran", sagt der auf Geldwäschedelikte spezialisierte Oberstaatsanwalt Gerhard Brinker.

Die Überwachung von Überweisungen hat offenbar schlecht funktioniert

Gefährlich ist das Ganze auch für N26. Denn bei der Smartphone-Bank reihen sich die Fakeshops in eine lange Liste von Problemen ein. Vor wenigen Wochen erst wurden Fälle bekannt, in denen Betrüger Konten leer räumten, diese gesperrt wurden - und N26 nicht erreichbar war; nicht per Telefon und nur unzureichend per Chat. Sodann wurde bekannt, dass die Bafin in einer Sonderprüfung unter anderem die Personalausstattung, den Umgang mit ausgelagerten Aufgaben und die IT der Bank gerügt habe. Bekomme die Bank die Mängel nicht schnell genug in den Griff, drohten Sanktionen. N26 erklärte daraufhin, die angeregten Verbesserungen so schnell wie möglich umzusetzen.

Auch mit der hohen Zahl an missbräuchlich eröffneten Konten konfrontiert, erklärte N26, 390 der 394 verdächtigen Konten seien inzwischen geschlossen worden. Was aber auch bedeutet: Vier Konten hatte N26 bis zum Hinweis durch SZ und NDR nicht aufgespürt. Auch die sollen nun geschlossen sein und waren mutmaßlich von Betrügern genutzt worden. Nicht nur konnten diese also die Kontrollsysteme bei der Kontoeröffnung aushebeln - auch die Risikokontrolle für Transaktionen war anscheinend lückenhaft. Auffällige Überweisungen werden im elektronischen Geldverkehr bei Banken markiert und im Zweifel gesondert betrachtet, um Fälle von Betrug, Geldwäsche oder Zahlungen an und in sanktionierte Länder zu vermeiden. Diese Art der Überwachung hat bei N26 offenbar nicht so gut funktioniert wie anderswo. Viele der Betrugskonten waren oft mehrere Tage oder sogar Wochen aktiv.

Die Bank verspricht, sich weiterzuentwickeln, um besser auf Bedrohungen zu reagieren

Auf die Sicherheitslücken angesprochen, verweist Bankchef Valentin Stalf auf die hohen Standards seines Instituts. "Ich glaube auch dass wir in vielen Bereichen deutlich sicherer sind als der Marktdurchschnitt", sagt er. "Es gibt einfach Bedrohungsszenarien, da müssen wir uns ständig weiterentwickeln." Man habe das gleiche Interesse wie der Regulator und tue alles, um die Verfahren noch sicherer zu machen. Dazu gehöre es, auf neue Betrugsmaschen sofort zu reagieren.

N26 gibt zudem an, die in einem Bafin-Rundschreiben von April 2017 festgelegten Vorgaben zum Video-Ident-Verfahren vollständig umgesetzt zu haben. Allerdings: Bafin-Rundschreiben seien "kein Gesetz, sondern eine Empfehlung. Das heißt, das kann man umsetzen, man muss es aber nicht", sagt Stalf. Die Finanzaufsicht hatte vor zwei Jahren Anforderungen für die Identifizierung per Videochat formuliert. Darin heißt es, Kunden sollten im Verlauf von Chats ausdrücklich darauf hingewiesen werden, sie eröffneten gerade ein Bankkonto, und darauf, dass keine Dritten dazu Aufträge erteilten. Letzteres fragte N26 offenbar zu zaghaft ab, so dass gutgläubige Menschen wie Küntzle nicht merkten, dass sie Betrügern halfen.

Neuerdings warnt N26 seine Kunden im Videochat explizit, es handle sich nicht um einen Test und man arbeite nicht mit Marktforschern zusammen. Die Bank hat zuletzt betont, die Betrugsprävention erheblich verbessert zu haben. Um das Thema kümmere sich ein Team von 50 Leuten.