MoneYou

[chrizzy]

Hallo liebe wpf Gemeinde,

Die SuFu ergab nur wenige Treffer und im Netz finde ich zu wenig aktuelles über das Thema:

 

Es geht um das TG/FG Konto von MoneYou. Dahinter steht die ANB AMRO Bank mit niederländischer einlagensicherung.

Aktuell gibt es 1,05% aufs TG und 1,15 bzw 1,25'% aufs FG

 

Ich wollte wissen ob jemand Erfahrungen mit der Bank hat? Im Netz liest man viel negatives aus der Anfangszeit, was aber Jahre her ist. Dort wird vor allem der Service bemängelt.

Ich kenne jemand der dort ein Konto hat, der Das nicht bestätigen kann.

Die niederländische Einlagensicherung würde für mich ebenfalls kein Problem darstellen.

 

Was mich viel mehr stört, ist die Sicherheit beim Online Banking. Überweisen und umbuchen funktioniert über eine mobile Tan (Handy) auf ein festgelegtes referenzkonto.

 

Sowohl das Referenzkonto als auch die Handynummer der mobilen Tan lassen sich online im Account verändern. Wenn ich es also richtig sehe, würde es ausreichen wenn jemand an mein Passwort gelangt, um das gesamte Konto leer zu räumen. Gerade Passwörter wurden ja in der Vergangenheit des häufigeren geknackt, Ich halte deshalb die Gefahr für durchaus relevant.

 

Wie steht ihr dazu? Habt ihr bereits Erfahrungen damit gemacht?

[vareya]

Wie, beim Ändern muss man keine TAN eingeben?

 

Schon die Zinsen bei diba/consorsbank abgeschöpft? Da kann man TAN Generatur und TAN Liste verwenden. Vermutlich werde ich da auch nach Ablauf der garantierten Zinsen bleiben, da mich mTAN unglaublich nervt (Auslandsaufenthalt, neue Handynummer, kein Netz/Handy kaputt, unzensierte Kontonummern in der SMS...) und da der Zinsunterschied für mein bisschen Geld nicht hoch genug ist (50-70EUR pro 10.000EUR fürs Kontenhopping).

[davidh]

Das ist ja genial. Konnte es gar nicht glauben, daher gerade mal mit meinem Moneyou-Konto (benutze ich seit Jahren nicht mehr) getestet - mTAN-Nummer lässt sich ohne mTAN neu setzen. Man kriegt eine Bestätigungsmail (wow!).

 

Krass

[ZfT]

Was die Konditionen angeht, ist Moneyou seit Bestehen immer weit im oberen Feld der ganzen Tagesgeld-Anbieter. Bin dort seit 2011 Kunde und bislang läuft alles problemlos.

 

Was die Online-Sicherheit angeht, das hört sich tatsächlich nicht gerade gut an. Ich gehe aber mal davon aus, daß man als Kunde, sofern man nicht (grob) fahrlässig gehandelt hat, wohl keine Probleme bekommen sollte, sollte die Bank gehackt und das Konto tatsächlich geräumt werden.

[chrizzy]

Ja aber genau da könnte es eben doch Probleme geben, ich weiß eben nicht wie kulant sich diese Bank zeigt. Und bei höheren investierten summen wird es schon kritisch. Ich werde mal schriftlich mit MoneYou in Kontakt treten und euch das Ergebnis mitteilen

[Ziva]

Wenn die Bank gehackt wurde, kann der Kunde dafür ja keine Schuld bekommen. Also wäre die Bank haftbar.

 

Geht der Kunde unsorgsam mit den Log-in Daten um, trägt er natürlich die Schuld. Ebenso beim Phishing, Pharming.

 

 

 

 

 

 

 

 

[chrizzy]

Und wieviel Kulanz wird bei unsorgsam eingeräumt? was ist bei fehlendem virenschutz? Muss man das Passwort mehrfach jährlich ändern?

[Ziva]

Und wieviel Kulanz wird bei unsorgsam eingeräumt? was ist bei fehlendem virenschutz? Muss man das Passwort mehrfach jährlich ändern?

 

Naja, wenn man unsorgsam mit seinen Daten umgeht, oder sein PC nicht schützt, weiß ich nicht, warum es da Kulanz von seiten der Bank geben soll.

 

Da ist man dann doch selbst schuld.

 

Bei Moneyou wird man regelmäßig aufgefordert, sein Passwort zu ändern.

 

Ich weiß jetzt nicht mehr in welchen Abständen.

 

 

 

 

 

 

 

 

 

 

 

 

 

[chrizzy]

Und wieviel Kulanz wird bei unsorgsam eingeräumt? was ist bei fehlendem virenschutz? Muss man das Passwort mehrfach jährlich ändern?

 

Naja, wenn man unsorgsam mit seinen Daten umgeht, oder sein PC nicht schützt, weiß ich nicht, warum es da Kulanz von seiten der Bank geben soll.

 

Da ist man dann doch selbst schuld.

 

Bei Moneyou wird man regelmäßig aufgefordert, sein Passwort zu ändern.

 

Ich weiß jetzt nicht mehr in welchen Abständen.

 

Na das darfst du aber keinem Verbraucherschützer erzählen. Aus diversen phishing Fällen weiß ich, dass da je nach Bank ganz andere geschütze aufgefahren werden, um sich aus der Verantwortung zu entziehen. Virenprogramm das nicht auf dem aktuellsten Stand ist. Was ist wenn du mal mit dem Handy unterwegs bist? Jede Bank hat mittlerweile Apps und Co aber welches Handy hat schon explizit einen virenschutz?

Die Annahme ist also durchaus etwas naiv, dass jeder seine Sache richtig macht.

Ich spreche jetzt etwas im allgemeinen.

 

By the way.. Das häufige ändern eines Passwortes ist für mich kein Indiz für erhöhte Sicherheit. Einen direkten Angriff wird das auch nicht verhindern. Für mich jedenfalls sollte dieses System kritisch hinterfragt werden, anstatt zu sagen "man ist selbst schuld"

[ZehWeh]

Hatte eine Zeit lang einen Wohnsitz in den Niederlanden und ein Konto bei der ABN. Nie schlechte Erfahrungen etc. gemacht !

 

Bei Moneyou war ich auch mal wegen attraktiven Tagesgeldzinsen (allerdings bestimmt gut 5-6 Jahre her) und auch da gabs keine Probleme. Von der Eröffnung bis zur Schließung des Kontos lief alles reibungslos !

[Ziva]

Ich hab Moneyou mal angeschrieben.

 

Hier die Antwort:

 

"Das Online-Banking ist bei MoneYou selbstverständlich sicher. MoneYou legt großen Wert auf Sicherheit. Für die Beauftragung der Referenzkontoänderung ist eine mTAN erforderlich. Außerdem wird der Kunde und das dazugehörige Konto auch noch mit einer Testüberweisung geprüft. Sollten Sie weitere Fragen zur Referenzkontoänderung haben, nehmen Sie gerne Kontakt mit unserem Kundenservice auf: kundenservice@moneyou.de Mit freundlichen Grüßen, Ihr MoneYou Team"

 

 

 

[davidh]

So uncool ist Handynummer ohne mTAN ändern gar nicht, hatte nämlich die hinterlegte Rufnummer vor ein paar Tagen gekündigt.

[bla]

So uncool ist Handynummer ohne mTAN ändern gar nicht, hatte nämlich die hinterlegte Rufnummer vor ein paar Tagen gekündigt.

 

Man könnte auch Passwörter abschaffen, dann muss man sich kein neues schicken lassen, wenn man das alte vergisst

 

Aber im Ernst, Sicherheit und Komfort (Freiheit) ist natürlich fast immer eine Abwägung

[chrizzy]

Ich hab Moneyou mal angeschrieben.

 

Hier die Antwort:

 

"Das Online-Banking ist bei MoneYou selbstverständlich sicher. MoneYou legt großen Wert auf Sicherheit. Für die Beauftragung der Referenzkontoänderung ist eine mTAN erforderlich. Außerdem wird der Kunde und das dazugehörige Konto auch noch mit einer Testüberweisung geprüft. Sollten Sie weitere Fragen zur Referenzkontoänderung haben, nehmen Sie gerne Kontakt mit unserem Kundenservice auf: kundenservice@moneyou.de Mit freundlichen Grüßen, Ihr MoneYou Team"

 

 

 

 

 

 

Das war mir bisher ja alles bewusst. Aber ich sage es nochmal: Hat man lediglich das Passwort des Kontos, ist jedwede Änderung möglich. Man braucht für die Referenzkontoänderung eine mTAN...na und ? Die lässt man sich auf die neue Handynummer schicken, die man zuvor angegeben hat. Überweisung vom neuen Referenzkonto sollte auch kein Problem sein, oder MUSS der Kontoinhaber des Red-Kontos = MoneYou Kontoinhaber sein? Das würde die betrügerischen Möglichkeiten beschränken. Hat das jemand probiert?

[Ziva]

davidh hatte geschrieben, das man für die Änderung der Handy-Nr./Referenzkonto-Nr. keine mtan benötigt.

 

Das konnte ich mir nicht vorstellen. Deshalb hatte ich bei Moneyou angefragt.

 

 

 

 

Für das Online-Banking reicht das Passwort nicht aus. Man benötigt auch die Kennwort-ID. Das ist sicherer als bei anderen Banken.

 

Bei den meisten Banken braucht man die Konto-Nr. und Passwort zum Einloggen. Die Konto-Nr. ist jedem bekannt, der schon Zahlungsverkehr mit der Person hatte.

 

Demzufolge dürftest du gar kein Online-Banking machen, wenn du Angst hast, das jemand an dein Konto kommt.

 

Und, ich frag mich, wie soll jemand an das Passwort kommen, mal abgesehen von einem Hackerangriff/Trojaner/Pfishing usw. ?

 

 

 

 

 

[davidh]

Überweisung vom neuen Referenzkonto sollte auch kein Problem sein, oder MUSS der Kontoinhaber des Red-Kontos = MoneYou Kontoinhaber sein?

 

Kontoinhaber werden bei Überweisungen nicht geprüft.

[chrizzy]

davidh hatte geschrieben, das man für die Änderung der Handy-Nr./Referenzkonto-Nr. keine mtan benötigt.

 

Das konnte ich mir nicht vorstellen. Deshalb hatte ich bei Moneyou angefragt.

 

 

 

 

Für das Online-Banking reicht das Passwort nicht aus. Man benötigt auch die Kennwort-ID. Das ist sicherer als bei anderen Banken.

 

Bei den meisten Banken braucht man die Konto-Nr. und Passwort zum Einloggen. Die Konto-Nr. ist jedem bekannt, der schon Zahlungsverkehr mit der Person hatte.

 

Demzufolge dürftest du gar kein Online-Banking machen, wenn du Angst hast, das jemand an dein Konto kommt.

 

Und, ich frag mich, wie soll jemand an das Passwort kommen, mal abgesehen von einem Hackerangriff/Trojaner/Pfishing usw. ?

 

Eben genau durch diese! Wodurch sonst? Allerdings gab es letztes Jahr nicht gerade wenige Attacken auf große Unternehmen mir auch teils sehr empfindlichen Daten zB eBay.

Dass man sich mit der Nutzer ID anmeldet ändert wie gesagt immer noch nichts am Sachverhalt. Ich gehe davon aus das die Zugangsdaten, sprich IP und Passwort abgegriffen werden. Bei anderen Banken hat man dann noch den Schutz durch beispielsweise einen tan Generator, für den man zusätzlich noch die Bankkarte benötigt. Hier hat man, sobald man im Account ist aber einfach alle Möglichkeiten.

 

Ich bitte ja nur darum sich kritisch damit auseinander zu setzen.

[davidh]

Ich bin kein Sicherheitsfanatiker, z. B. Referenzkontoänderung per TAN bestätigen muss ausreichen. Andere Banken wollen ein Fax oder Post, was mir dann schon wieder ein Tick zu viel ist. Wenn Computer und TAN-Liste (oder mobiles Endgerät) infiziert sind, liegt die Haftung eher beim Kunden als bei der Bank. Ein Tagesgeldkonto, wo sich höhere Summen befinden, darf nicht mit Username + PW leergeräumt werden können.

 

Ich finde diese Implementierung sehr eigenartig und sehe gerade weder fachlich noch technisch einen Grund dafür. Wenn man keinen Zugriff mehr auf seine Handynummer hat, kann die Bank gerne einen Brief für die Änderung erwarten - vollkommen im Rahmen. Aber Handynummer ohne mTAN zu ändern geht gar nicht.

[PIBE350]

Ich bin kein Sicherheitsfanatiker, z. B. Referenzkontoänderung per TAN bestätigen muss ausreichen. Andere Banken wollen ein Fax oder Post, was mir dann schon wieder ein Tick zu viel ist. Wenn Computer und TAN-Liste (oder mobiles Endgerät) infiziert sind, liegt die Haftung eher beim Kunden als bei der Bank. Ein Tagesgeldkonto, wo sich höhere Summen befinden, darf nicht mit Username + PW leergeräumt werden können.

 

Ich finde diese Implementierung sehr eigenartig und sehe gerade weder fachlich noch technisch einen Grund dafür. Wenn man keinen Zugriff mehr auf seine Handynummer hat, kann die Bank gerne einen Brief für die Änderung erwarten - vollkommen im Rahmen. Aber Handynummer ohne mTAN zu ändern geht gar nicht.

 

Das ist in der Tat sehr ungewöhnlich. Ich verstehe nicht, wie man sich dieses unnötige Sicherheitsloch auch noch schönreden kann.

[ZfT]

Überweisung vom neuen Referenzkonto sollte auch kein Problem sein, oder MUSS der Kontoinhaber des Red-Kontos = MoneYou Kontoinhaber sein?

 

Kontoinhaber werden bei Überweisungen nicht geprüft.

 

 

was die technische Überweisung angeht, nicht, aber Moneyou kann ja trotzdem abgleichen, ob bei einer eingehenden Überweisung der Kontoinhaber identisch ist. Diese Information wird ja nach wie vor mitgeliefert.

[chrizzy]

Ich bin kein Sicherheitsfanatiker, z. B. Referenzkontoänderung per TAN bestätigen muss ausreichen. Andere Banken wollen ein Fax oder Post, was mir dann schon wieder ein Tick zu viel ist. Wenn Computer und TAN-Liste (oder mobiles Endgerät) infiziert sind, liegt die Haftung eher beim Kunden als bei der Bank. Ein Tagesgeldkonto, wo sich höhere Summen befinden, darf nicht mit Username + PW leergeräumt werden können.

 

Ich finde diese Implementierung sehr eigenartig und sehe gerade weder fachlich noch technisch einen Grund dafür. Wenn man keinen Zugriff mehr auf seine Handynummer hat, kann die Bank gerne einen Brief für die Änderung erwarten - vollkommen im Rahmen. Aber Handynummer ohne mTAN zu ändern geht gar nicht.

 

Das ist in der Tat sehr ungewöhnlich. Ich verstehe nicht, wie man sich dieses unnötige Sicherheitsloch auch noch schönreden kann.

 

Endlich die kritischen Stimmen die ich mir gewünscht hatte - ich sehe es nämlich genauso.

 

 

 

[Nicky]

Ich erlaube mir hier als Antwort auf die ursprünglich Frage eine teilweise Original-Antowrt von Moneyou aus dem blog von Finanzwesir zu zitieren:

Bei Änderung der E-Mail-Adresse wird eine Bestätigungsnachricht über den Vorgang an die neue und alte E-Mail-Adresse versendet. Somit kann dies nicht ohne Ihr Wissen geschehen.

 

Die Referenzkontoänderung besteht aus zwei Schritten:

MoneYou versendet eine Testzahlung von EUR 0,01 an Ihr altes Referenzkonto. In dieser Zahlung wird ein Aktivierungscode angeführt, den Sie auf Ihrer persönlichen Seite eingeben.

Sie nehmen eine Testzahlung von EUR 0,01 von Ihrem neuen Referenzkonto vor. Dadurch überprüft MoneYou den Namen des Kontoinhabers und gleicht diesen mit den bei uns hinterlegten Kundendaten ab.

...

Wenn ein Angreifer das Passwort hat, dann kann er wie folgt vorgehen:

 

Die Mobilfunknummer ändern, denn die muss man mit dem Passwort bestätigen und das hat er ja.

Dann die E-Mail-Adresse ändern, denn die wird mit einer mTAN bestätigt, die auf die neue Mobilnummer geht. Das bekommen Sie aber mit, denn Moneyou informiert auch die alte E-Mail-Adresse darüber, dass Mails ab sofort an eine neue E-Mail gehen. Ab jetzt können Sie eingreifen und den Angreifer stoppen.

Spätestens bei der Änderung des Referenzkontos ist Schluss.

[Hermann]

Ab jetzt können Sie eingreifen und den Angreifer stoppen.

Spätestens bei der Änderung des Referenzkontos ist Schluss.

Es sei denn du bist 3 Wochen im Urlaub, 2 Wochen im Krankenhaus oder sonstwie verhindert über einen gewissen Zeitraum deine eMails zu checken.

 

Insgesamt finde ich diesen Tread hochinteressant, denn diese monströse, enorme klaffende Sicherheitslücke war mir nicht bekannt.

 

Ich denke, ich werde mittels einer Mitteilung an Moneyou die Änderung des Referenzkontos und der Handynummer untersagen, weil auch durch Nutzung von Firewall, und aktuellen Virenscannern nie die IT-Sicherheit in Gänze gegeben ist.

 

Ich gehe davon aus, dass eine Antwort ála "Wir schreiben Sicherheit groß", "man solle Virenscanner und Firewalls haben" und schließlich auch "technisch nicht möglich" oder ähnliches zurückkommt, aber für spätere eventuelle Gerichtsprozesse ist diese Willensbekundung mit Sicherheit nicht schädlich.

 

Grüße

H

[Nicky]

@Hermann: nur keine Paranoia Du hast wohl folgendes übersehen:

Die Referenzkontoänderung besteht aus zwei Schritten:

MoneYou versendet eine Testzahlung von EUR 0,01 an Ihr altes Referenzkonto. In dieser Zahlung wird ein Aktivierungscode angeführt, den Sie auf Ihrer persönlichen Seite eingeben....

[xenopus]

Ich denke, ich werde mittels einer Mitteilung an Moneyou die Änderung des Referenzkontos und der Handynummer untersagen, weil auch durch Nutzung von Firewall, und aktuellen Virenscannern nie die IT-Sicherheit in Gänze gegeben ist.

 

Woeso gehst Du davon aus, das Moneyou sich das untersagen läßt und Dir nicht einfach empfiehlt, sich eine andere Bank zu suchen. TG ist ein Massengeschäft mit standardisierten Prozessen. Die Banken haben eine Minimarge und warum sollen sie Dir eine Sonderlocke stricken? Vielleicht, wenn Du 10 Millionen parken willst, aber doch nicht für die handelsüblichen paar Tausend Euro eines Privatanlegers. Das rechnet sich nicht.

 

Xenopus