Zweitbroker gesucht

[Turmalin]

Ich hätte auch keine Probleme damit, wenn ich bei einer Änderung des Referenzkontos erst z.B. einen Brief mit Freischaltcode bekommen würde. Das Konto ändert man ja nicht ständig, dass muss auch nicht so schnell gehen.
Sicherheit geht vor Bequemlichkeit, jedenfalls für mich.

Jedenfalls sehe ich keinen Grund, warum man es zulässt, den Abgleich zwischen Namen und IBAN bei der Überweisung auf das Referenzkonto überstimmen zu können. Bei der Schreibweise des eigenen Namens sollte es doch wohl keine Probleme geben. 

Bei dem Vorschlag einer vorherigen Überweisung, um ein Referenzkonto zu legitimieren, sehe ich das Problem, dass das auch ziemlich schnell gehen könnte, besonders falls eine Echtzeitüberweisung möglich ist. 

[CorMaguire]

vor 7 Minuten von Turmalin:

... Jedenfalls sehe ich keinen Grund, warum man es zulässt, den Abgleich zwischen Namen und IBAN bei der Überweisung auf das Referenzkonto überstimmen zu können. Bei der Schreibweise des eigenen Namens sollte es doch wohl keine Probleme geben. ...

Sehe ich nicht so. Die Änderung des Referenzkontos auf einen abweichenden Kontoinhaber müsste bereits gestoppt bzw. zusätzlich legitimiert werden.

 

Bei der Überweisung bist Du ja schon in einem anderen Standard-Arbeitsablauf.

[Turmalin]

vor 16 Minuten von CorMaguire:

Sehe ich nicht so. Die Änderung des Referenzkontos auf einen abweichenden Kontoinhaber müsste bereits gestoppt bzw. zusätzlich legitimiert werden.

.

Vielleicht habe ich mich nicht klar genug ausgedrückt: Ein mögliches Problem ist doch, dass ein Betrüger den Namen des Kontoinhabers und eine fremde IBAN eingeben und dann den Namensabgleich überstimmen kann. Und dass dieses Überstimmen überhaupt möglich ist, schafft das Problem unnötigerweise herbei. Denn ich selber kenn doch meinen Namen und dessen Schreibweise, wie ich sie bei Einrichtung des Zielkontos eingegeben habe.

 

Dass es auch möglich ist, einen völlig fremden Namen, dann aber mit dazu passender IBAN angeben zu können, ist ein anderes Problem. Und sollte natürlich auch nicht möglich sein, das sehe ich so wie du. Wenn das Geld rechtmäßig an einen Dritten gehen soll, dann bitte mit Umweg über ein Girokonto, für so etwas ist das Referenzkonto schließlich nicht da.

[CorMaguire]

vor 2 Minuten von Turmalin:

Vielleicht habe ich mich nicht klar genug ausgedrückt: Ein mögliches Problem ist doch, dass ein Betrüger den Namen des Kontoinhabers und eine fremde IBAN eingeben ...

Bei Referenzkontoänderung kann man (bei ING) keinen Namen eingeben, ist mit dem Namen des Extrakontoinhabers vorbelegt.

[dimido]

Ja, der vorbelegte, nicht änderbare Name des Extrakonto-Inhabers ist der Knackpunkt!
Der Angreifer kann den Namen nicht ändern in dem Prozess.
Der Angreifer kann auch die Antwort der anderen Bank auf die Empfängerprüfung (der neuen IBAN) nicht ändern.

 

Der Bank liegen nun 2 Namen vor: 
wenn sie übereinstimmen, dann kann es als neues Referenzkonto akzeptiert werden, ansonsten Ablehnung mit Verweis auf den Customer-Support.

 

Mit dem Rest-Risko, daß der Angreifer zufällig den gleichen Namen hat wie ich, könnte ich mich arrangieren.
Mit dem Status Quo nicht so wirklich, dafür ist mein Depot bei der ING zu fett ...
Daher habe ich mal die ING direkt angefragt was sie dazu meinen.

[CorMaguire]

vor 4 Minuten von dimido:

Ja, der vorbelegte, nicht änderbare Name des Extrakonto-Inhabers ist der Knackpunkt!
Der Angreifer kann den Namen nicht ändern in dem Prozess.
Der Angreifer kann auch die Antwort der anderen Bank auf die Empfängerprüfung (der neuen IBAN) nicht ändern.....

Die Empfängerüberprüfung gilt für Giro zu Giro. 

--> https://www.bafin.de/DE/Verbraucher/Bank/Ueberweisungen_Lastschriften/Empfaengerueberpruefung_bei_Ueberweisungen/Empfaengerueberpruefung_bei_Ueberweisungen_node.html

 

Ist das Extrakonto ein Giro? Ich vermute nicht.

[dimido]

vor 16 Minuten von CorMaguire:

Ist das Extrakonto ein Giro? Ich vermute nicht.

Nein ist es nicht. Die Emfängeprüfung ist bei Giro<->Giro "vorgeschrieben", daß heißt aber nicht daß es bei Verrechnungskonten nicht zulässig wäre.
Gerade eben nochmal getestet:
Überweisung gestartet von meinem Coba Giro auf mein flatex Verrechnungskonto, für flatex aber einen falschen Empfänger-Namen eingegeben. Und es kam eine Warnung im Coba-Banking, daß der Empfänger nicht übereinstimmt.

Also machbar und zulässig wäre es.

[Turmalin]

Nach meinem Verständnis soll das Prinzip eines Refererenzkontos doch Sicherheit gewährleisten. Dann aber auch bitte mit vernünftiger Umsetzung. 

[dimido]

Am 13.2.2026 um 10:36 von Turmalin:

Halte uns über die Antwort bitte auf dem Laufenden.

Ich habe eine Mail bekommen, daß etwas in meinem ING-Postfach ist und gedacht: oh, eine schnelle Antwort auf meine Frage.

Aber es war nur die Bestätigung der Änderung mit dem Hinweis "Bitte prüfen Sie die Angaben."

Und da ist nochmal schön säuberlich aufleistet "mein" Name als Kontoinhaber + die fremde IBAN + die fremde Bank

 

Als Angreifer würde ich sagen: Prüfung ok und in meinem Sinne ... 

Diese Mail, daß etwas in meinem Postfach ist, ist übrigens der erste Zeitpunkt an dem ich über die Referenzkonto-Änderung informiert werde.

Ich (als "Angreifer") habe aber bereits 1 Minute nach der Online-Änderung am 13.02. Geld überweisen können auf das neue Konto.

Am 13.2.2026 um 09:25 von franko:

An deiner Stelle wäre ich da etwas zurückhaltend. Du hast gegen die Vertragsbedingungen verstoßen, indem du ein fremdes Konto angegeben hast. Und jetzt beschwerst du dich auch noch, dass die ING das nicht verhindert hat.

Ich weiss ja nicht wie es bei Dir ist, aber ich habe bei der ING mehrere Jahresgehälter liegen, daher sehe ich die Sache anders.
Sicherheit besteht immer aus mehreren Stufen.
Sie setzt sich zusammen aus dem eigenen Verhalten, der Technik und den Prozessen.
Und keine der Stufen ist perfekt.
Daher ist es wichtig, daß jede Stufe ihren unabhängigen Beitrag zur Gesamt-Sicherheit leistet.

Viele reduzieren Sicherheit nur auf die verwendete Technik (Handy=böse), aber wenn man sich mal umschaut wird in aller Regel das eigene Verhalten und/oder die Prozesse als potentielle Schwachstelle angegriffen.

Ich halte es für unwahrscheinlich, daß ich durch eigenes Fehlerhalten gehackt werde oder daß die Technik versagt, solange ich sie bestimmungsgemäß auf aktuellen Endgeräten einsetze.
Aber ausschließen kann ich beides natürlich nicht.
Daher lege ich Wert auf die Zusatzsicherheit die mir das Referenzkonto-Verfahren bietet.
Quasi als "last line of defense".

 

Meine Depots liegen daher bei Brokern, die entweder kein Girokonto anbieten (flatex) oder ich bewusst keins angelegt habe (ING).
Wenn ich nun feststelle, daß die ING mit dem Referenzkonto-Verfahren schludrig umgeht, beschwere ich mich natürlich bei der ING.
Denn ich trage meinen Teil zur Sicherheit bei und erwarte es daher auch von der Bank.

[franko]

vor 5 Stunden von dimido:

Ich weiss ja nicht wie es bei Dir ist, aber ich habe bei der ING mehrere Jahresgehälter liegen, daher sehe ich die Sache anders.

Wie viel ich bei der ING liegen habe, tut aus meiner Sicht nichts zur Sache.

 

vor 5 Stunden von dimido:

Sicherheit besteht immer aus mehreren Stufen. [...] Daher lege ich Wert auf die Zusatzsicherheit die mir das Referenzkonto-Verfahren bietet. [...]

Wenn ich nun feststelle, daß die ING mit dem Referenzkonto-Verfahren schludrig umgeht, beschwere ich mich natürlich bei der ING.

Die Frage ist halt, ob du zu Recht die Umsetzung sämtlicher Sicherheitsmerkmale verlangen kannst, die du dir in diesem Zusammenhang vorstellst, oder ob deine Erwartungen vielleicht etwas hoch sind.

Gehen wir doch gedanklich mal ein halbes Jahr zurück in die Vergangenheit. Es gab noch keine bankübergreifende Prüfung des Empfängernamens bei Überweisungen. Keine Bank war in der Lage, den Namen des Referenzkonto-Inhabers zu verifizieren. Damals wäre dein Wunsch jedenfalls nicht ohne Weiteres umsetzbar gewesen.

Dann wurde im Oktober 2025 die Empfänger-Namensprüfung eingeführt. Der Anlass war allerdings ein etwas anderer: Der Auftraggeber einer Überweisung soll davor geschützt werden, dass ihm irgendwie eine Empfänger-IBAN untergejubelt wird (sei es durch Betrug oder aus Versehen), die nicht zum legitimen Empfänger führt. Davor kann die neue Prüfung schützen, aber sie hilft nichts, wenn ein Betrüger deinen Kontozugang vollständig kompromittiert hat.

Du kritisierst, dass die ING bisher keinen ähnlichen Mechanismus eingebaut hat, um den Namen des Referenzkonto-Inhabers bei der Fremdbank abzugleichen. Mich überrascht das nicht, und ich vermute sogar, dass es bei anderen Banken ähnlich aussieht. Die Banken dürften erst mal froh sein, wenn sie die Namensprüfung für normale Überweisungen (und die damit verbundenen Rückfragen der Kunden) bewältigen.

Was wird passieren, wenn die ING anfängt, den Inhaber des Referenzkontos "hart" zu prüfen? Dann werden sich bald Tausende von Kunden beschweren, weil ein externes Tagesgeldkonto oder das Konto des Partners (oder eines anderen engen Angehörigen) nicht mehr als Referenzkonto funktioniert. Will die Bank das?

Als Kunde kann man sich natürlich weitere Verbesserungen wünschen – keine Frage. Von Schludrigkeit würde ich an dieser Stelle allerdings nicht sprechen.

 

Am 13.2.2026 um 14:05 von dimido:

Überweisung gestartet von meinem Coba Giro auf mein flatex Verrechnungskonto, für flatex aber einen falschen Empfänger-Namen eingegeben. Und es kam eine Warnung im Coba-Banking, daß der Empfänger nicht übereinstimmt.

Also machbar und zulässig wäre es.

Die Warnung kannst du aber übergehen. Die ist für dich als echter Kontoinhaber sinnvoll, aber wenn ein Betrüger dein Konto gekapert hat, nützt sie nichts.

[dimido]

vor 1 Minute von franko:

Die Frage ist halt, ob du zu Recht die Umsetzung sämtlicher Sicherheitsmerkmale verlangen kannst, die du dir in diesem Zusammenhang vorstellst, oder ob deine Erwartungen vielleicht etwas hoch sind.

Wie bitte?

vor 2 Minuten von franko:

Gehen wir doch gedanklich mal ein halbes Jahr zurück in die Vergangenheit. Es gab noch keine bankübergreifende Prüfung des Empfängernamens bei Überweisungen. Keine Bank war in der Lage, den Namen des Referenzkonto-Inhabers zu verifizieren. Damals wäre dein Wunsch jedenfalls nicht ohne Weiteres umsetzbar gewesen.

Nein.

Bei flatex (und wie auch bei anderen), wo zuerst eine Überweisung hin zum Verrechnungskonto nötig ist, bevor man es als Referenzkonto auswählen kann,  sieht die Bank sehr wohl wer der Kontoinhaber des Kontos war, von dem das Geld kam. Dafür brauchte man die neue Empfängerüberprüfung auch bisher nicht.

vor 12 Minuten von franko:

Wie viel ich bei der ING liegen habe, tut aus meiner Sicht nichts zur Sache.

Risiko ist das Produkt aus Eintrittwahrscheinlichkeit mal Schadensausmaß.

Daher ist es für mich sehr wichtig, wieviel Geld (Schadensausmaß) auf dem Spiel steht um mein persönliches Risko zu bestimmen, das ich bereit bin einzugehen.

Wenn Du das anders siehst, auch gut.

[franko]

vor 3 Minuten von dimido:

vor 22 Minuten von franko:

Die Frage ist halt, ob du zu Recht die Umsetzung sämtlicher Sicherheitsmerkmale verlangen kannst, die du dir in diesem Zusammenhang vorstellst, oder ob deine Erwartungen vielleicht etwas hoch sind.

Wie bitte?

Naja, du hast mit der ING einen Vertrag, und nach dessen Bedingungen richtet sich, wie und welche Leistungen die Bank erbringen muss. Da wird es Grenzen geben, zu welchen Sicherheitsmechanismen die Bank verpflichtet ist.

 

vor 4 Minuten von dimido:

Bei flatex (und wie auch bei anderen), wo zuerst eine Überweisung hin zum Verrechnungskonto nötig ist, bevor man es als Referenzkonto auswählen kann,  sieht die Bank sehr wohl wer der Kontoinhaber des Kontos war, von dem das Geld kam. Dafür brauchte man die neue Empfängerüberprüfung auch bisher nicht.

Dass die ING kein solches Verfahren hat, ist aber allgemein bekannt. Wie genau prüft denn Flatex dabei eigentlich den Namen des Absenders? Was passiert, wenn der nicht (oder nur ungefähr) übereinstimmt?

 

vor 7 Minuten von dimido:

Daher ist es für mich sehr wichtig, wieviel Geld (Schadensausmaß) auf dem Spiel steht um mein persönliches Risko zu bestimmen, das ich bereit bin einzugehen.

Wenn Du das anders siehst, auch gut.

Für mich persönlich spielen solche Überlegungen schon eine Rolle. Mein persönlicher Kontostand ist aber nicht für die allgemeine Diskussion relevant, und deshalb mache ich hier keine Angaben dazu.

[Turmalin]

Die Tendenz, die ich wahrnehme, ist aber, dass es bei den Banken derzeit eher in Richtung Bequemlichkeit statt in Richtung Sicherheit geht, wenn sie nicht durch Vorschriften zu etwas gezwungen werden.
Damit meine ich z.B. den Weg weg von einer TAN-App zu einer einheitlichen Banking-APP, mit der man dann alles machen kann. Es gibt sicher Kunden, die das begeistert, ich bevorzuge aber die Trennung von Zugang und Freigabe. 
Und die Frage, wie ein Referenzkonto geändert werden kann, betrachte ich ähnlich kritisch.

[oktavian]

vor 9 Stunden von dimido:

Meine Depots liegen daher bei Brokern, die entweder kein Girokonto anbieten (flatex) oder ich bewusst keins angelegt habe (ING).

was hindert den Angreifer ein Girokonto zu eröffnen und dann zu überweisen, wenn Zugriff auf die app inkl Pin besteht.

[Turmalin]

vor 1 Stunde von oktavian:

was hindert den Angreifer ein Girokonto zu eröffnen und dann zu überweisen, wenn Zugriff auf die app inkl Pin besteht.

Leider ein berechtigter Einwand. Das könnte tatsächlich schnell gehen. 

[W.Heisenberg]

vor 1 Stunde von oktavian:

was hindert den Angreifer ein Girokonto zu eröffnen und dann zu überweisen, wenn Zugriff auf die app inkl Pin besteht.

Das dauert wohl paar Tage, bis dahin hat man es hoffentlich gemerkt und Konto sperren lassen.

 

Aber sicherer bei Broker Depot zu haben, wo Girokonto nicht geht, wie Flatex oder Scalable.

[oktavian]

vor 48 Minuten von W.Heisenberg:

Das dauert wohl paar Tage, bis dahin hat man es hoffentlich gemerkt und Konto sperren lassen.

Bei welcher onlinebank dauert es Tage für einen bestehenden Kunden mit bestehender Identifizierung ein Giro zu eröffnen? Ich vermute es ist sofort verfügbar.

[W.Heisenberg]

vor 12 Stunden von oktavian:

Bei welcher onlinebank dauert es Tage für einen bestehenden Kunden mit bestehender Identifizierung ein Giro zu eröffnen? Ich vermute es ist sofort verfügbar.

KI:

Zitat

Ausgehende Zahlungen: Manche Banken (wie die DKB) haben eine Sicherheitssperre von 24 bis 48 Stunden für ausgehende Überweisungen bei neu eröffneten Konten, um Betrug vorzubeugen.

 

[DennyK]

Am 15.2.2026 um 17:26 von oktavian:

was hindert den Angreifer ein Girokonto zu eröffnen und dann zu überweisen, wenn Zugriff auf die app inkl Pin besteht.

Dann muss der Angreifer das neu eröffnere Girokonto aber auf den Namen des Depotbesitzers erstellen.
Er muss sich also dort schon mit falschen Namen identifizieren. Und je nach Broker muss dann die (Secure-)App auch entsprechend authentifiziert sein.

 

In wie weit die Broker die Kunden über eine Änderung von verifizierten Geräten und Referenzkonto informieren ist auch so eine Sache.

 

Die DKB schickt z.B. eine Info-Mail, wenn ein neues Gerät mit dem Konto verknüpft wurde.

Bei z.B. Scalable, TR, Flatex gibt es das nicht.

Wegen neuen Smartphone hatte ich erst vor einem Monat bei Flatex ein neues Gerät für flateXSecure hinterlegt, das klappte recht problemlos.

Nachdem das alte Smartphone nun nicht mehr benötigt wird und alles auf dem neuen läuft habe ich das alte deshalb die Tage zurückgesetzt und habe das Gerät unter den flateXSecure Einstellungen jetzt gelöscht.

Das löschen ging aber auch komplett ohne zusätzliche Rückfrage/Bestätigung und vor allem auch ohne TAN. Fand ich jetzt auch ein bissle komisch.

 

Bei der Consorsbank wählt man das alte Gerät aus, kommt in eine extra Maske und muss dort das löschen mit TAN bestätigen. 

 

 

[OSO]

Bei Consors ist es leider genauso. Wenn ich ein Referenzkonto eingebe, das nicht mir gehört, erscheint eine Warnmeldung: "Name passt nicht zur IBAN. Wenn Sie fortfahren, könnte die Überweisung an einen falschen Empfänger gehen." Diese Warnung ist aber nur das - eine Warnung. Ein Angreifer kann also problemlos das Referenzkonto durch ein eigenes Konto ersetzen. Da das Referenzkonto klar als Sicherheitsfeature gedacht ist, ist das sehr schlecht implementiert. 

[DennyK]

vor 2 Stunden von OSO:

Bei Consors ist es leider genauso. Wenn ich ein Referenzkonto eingebe, das nicht mir gehört, erscheint eine Warnmeldung: "Name passt nicht zur IBAN. Wenn Sie fortfahren, könnte die Überweisung an einen falschen Empfänger gehen." Diese Warnung ist aber nur das - eine Warnung. Ein Angreifer kann also problemlos das Referenzkonto durch ein eigenes Konto ersetzen. Da das Referenzkonto klar als Sicherheitsfeature gedacht ist, ist das sehr schlecht implementiert. 

Bei der Consorsbank kann man mehrere Referenzkonten hinterlegen. 

Wenn du ein neues Konto anlegst und dort z.B. den Namen der Frau/Freundin und die IBAN von Ihrem Konto hinterlegst, dann sagt die VoP Prüfung "Name und IBAN passen zusammen."  und du kannst das Konto mittels TAN hinterlegen und dann für Auszahlungen nutzen.  Wenn man also gültige TANs erzeugen kann, dann kann wirklich jedes beliebiege Girokonto hinterlegt werden, sogar wenn es auf ganz wen anderes läuft.