Beiträge von chillr

Cool zu hören - das Scalable nun doch an der 2FA-Funktion für den Login arbeitet.

Hatte mich bereits damit abgefunden auf ein neues Depot umziehen zu müssen.

Aber die paar Wochen kann ich dann auch noch warten.

Habe letzte Wochen übrigens auch eine Antwort von Scalable auf meine Anfrage bekommen, ob diese die Haftung für unautorisierte Trades übernehmen, die in Folge des unsicheren Logins entstehen.

Die Antwort mit Verweis auf die Kundenplichten lässt nichts gut hoffen. Gut möglich, dass man sich das Geld einklagen müsste:

Zitat

Falls dennoch ein Schadensfall eintritt, muss die Haftung im Einzelfall abgewägt werden. Eine konkrete Aussage hierzu können wir daher an dieser Stelle nicht treffen. Bitte beachten Sie, dass es Ihnen als Kunde obliegt, dafür Sorge zu tragen, dass Dritte keinen Zugriff auf den Kundenbereich der Plattform erhalten. Hierzu sind insbesondere die Geheimhaltung der Sicherheitsmerkmale, die Sie für den Zugang zum Kundenbereich der Plattform bzw. für die Autorisierung von Aufträgen benötigen, sicherzustellen, der Zugang zu den verwendeten Endgeräten angemessen zu sichern sowie die Absicherung des Betriebssystems des verwendeten Endgeräts durch die aktuellsten (Sicherheits-)Update zu gewährleisten.

Zitat von erdnuss

Meiner Meinung nach wurde mit PSD2 die Haftungsfrage bei Transaktionen ohne zweiten Faktor zugunsten des Kunden geändert:

Das lässt sich auch im § 675v Absatz 4 BGB nachlesen.

Die vorher zitierte Webseite drückt dies nur etwas anders aus:

Mit "ausreichend sichere System" müsste der zweite Faktor gemeint sein, der ja auch bestimmten technischen (Sicherheits-)Anforderungen gerecht werden muss.

Recht haben und Recht bekommen kann zwar weiterhin ein Unterschied sein. Wenn man etwas klarer im Recht ist, hilft das ungemein.

Danke für die Info. Das liest sich ja schon mal positiv.
Warte noch Antwort auf meine Anfrage von Scalable, ob sie die Haftung für unautorisierte Trades auf Grund des fehlenden 2FA ohne Wenn und Aber übernehmen. Wenn diese mir das schriftlich bestätigen, empfinde ich das Risiko als Nutzer dann in der Tat überschaubar.

Trotzdem würde mich das stark verwundern, wenn dies tatsächlich ein einkalkuliertes Risiko von Scalable ist und diese bedingungslos den Schaden regulieren. Denn theoretisch könnte dann ein Nutzer bei Scalable ja auch sein Vermögen in hochrisikante Knock-Out Zertifikate stecken. Und falls seine Wette schief geht behaupten, dass seine Trades unautorisiert getätigt wurden und somit das Geld zurückverlangen.
Das wäre dann zwar Betrug, aber im Prinzip kann Scalable dann auch nicht das Gegenteil beweisen.

Zitat von R.F.

Mein Gott, bist du dumm. Wenn du das von der Banlk vorgegebene Verfahren so anwendest, wie es die Bank vorgibt, kannst du keine Sorgfaltspflicht grob fahrlässig verletzen. Nie und unter keinen Umständen. Das müsste doch eigentlich auch jemand begreifen können, der aus der IT kommt und bei Mutti wohnt.

Außerdem, zum wiederholten mal, es geht hier nicht um Verfügungen, bei denen Geld abfließt, sondern um Geschäfte, die die Bank rückabwicklen kann. Wenn die Rückabwicklung etwas kostet, ist das das Problem der Bank, die dieses Risiko bewusst eingeht, wenn sie ein Verfahren ohne 2FA zulässt. Auch das begreifen doch für gewöhnlich die allermeisten, die aus der IT kommen, selbst wenn sie noch bei Mutti wohnen.

Ich denke Deine Aussagen sprechen hier für sich. Da brauche ich nichts weiter hinzuzufügen.

Zitat von R.F.

Grob fahrlässig muss es sein, nicht fahrlässig. Grob fahrlässig verhält sich, wenn er Regeln außer acht lässt, die jedem einleuchten. Oder anders herum ausgedrückt, wenn er sich so verhält, wie sich kein vernünftiger Mensch verhalten würde. Die Rechtsprechung dazu ist eindeutig. Und nachweisen muss das die Bank. Was die Bank an Verfahren vorgibt, kann dem Kunden nie als "grob fahrlässig" vorgeworfen werden. Insofern ist ja schön, dass du "aus der IT kommst", aber auch für die Gruppe gilt, dass jemand der von etwas anderem keine Ahnung hat, vielleicht besser die Klappe halten sollte. Und dass du noch bei deiner mutter wohnst, macht es auch nicht besser.

Du scheinst mir ja ein besonderes sympathischer Mitmensch zu sein.
Man kann seiner Mutter im Übrigen auch noch nach seinem Auszug Gefallen machen. Nur so als kleiner Lebenstipp.

Da du aber anscheinend in diesem Forum ohnehin nur Dir selber glaubst, werde ich jetzt einfach nur zitieren:
"Neben der groben Fahrlässigkeit kann auch die Verletzung der Sorgfaltspflichten durch den Geschädigten dazu führen, dass die Hausbank nicht haften muss. [..]
Eine Verletzung dieser Sorgfaltspflichten wird in erster Linie bei den folgenden Aktionen angenommen: [..]

- Online-Transaktionen auf ungesicherten Geräten durchführen

- Online-Banking auf Endgeräten nutzen, die keinen (ausreichenden) Antiviren-Schutz besitzen"

Online Banking Betrug ⚠️ Konto leergeräumt? Wer haftet? (cdr-legal.de)

Und das mit der Rückabwicklung in diesem Fall auch nicht anwendbar. Aber dass kannst Du Dir ja vielleicht einfach mal selber zusammen suchen.

Zitat von R.F.

Ja und? Dann muss Scalable dich so stellen, als ob die unauthorisierten Verfügungen nicht stattgefunden hätten. Ist also deren Problem und nicht das der Kunden. Wobei das ganze Szenario so was an den Haaren herbei gezogen ist. Der betrügerische Handelspartner wäre nämlich ohne weiteres zu identifizieren und so dumm ist eigentlich kein Betrüger.

Ich bin ja nun kein Freund dieser Neobroker, aber das ist nun wirklich ein Scheinproblem. Und die ganzen Umstände der zwei Beiträge sehen für mich eigentlich aus wie Guerillamarketing. Da ist jemand "zufällig" hier als neuer Benutzer im Forum an und warnt vor dieser weitgehend erfundenen großen Gefahr für das Vermögen der Kunden von Scalable. Da bleibt nur die Frage offen, wer dafür wieviel bezahlt.

LOL - ist klar ich bin also ein Bot

Vll als Kontext - ich habe meine Mutter das Konto von Scalable empfohlen und ihr bei der Einrichtung geholfen. Als ich ihr den Login mit 2FA erklären wollte, ist dann aufgefallen, dass der 2FA gar nicht abgefragt wird. Dass ich hier im Forum gelandet bin, liegt einfach daran, dass ich nach mehr Information gegooglet habe. Wenn man "2FA scalable" googelt ist dieses Forum das zweite Ergebnis.

Aber nun mal zu Deinen inhaltlichen Argumenten. Da ich aus der IT komme, muss ich ehrlich gesagt über Deine Behauptungen ziemlich stark schmunzeln.

Bei unautorisierten Trades haftet grundsätzlich erst einmal die Bank für den Schaden. Soweit so gut.
Dies gilt allerdings nur, solange dem Nutzer kein fahrlässiges Verhalten vorgeworfen werden kann. Was gilt nun als fahrlässig?
Beim Online-Banking wäre das zum Beispiel wenn der Nutzer kein PC oder Handy mit aktuellen Sicherheitsupdates fürs Banking benutzt. Aktuell hat meine Mutter ein noch aktuelles Handy, aber da sie sich nicht alle 3 Jahre ein neues Handy kauft, wird es auch einmal ein Jahr geben in der ihr Handy nicht ganz aktuell ist. Wenn sie in dieser Zeit die Banking App öffnet, ist die Haftungsfrage bereits wieder offen. Jetzt könnte man natürlich sagen, sie ist selber dran Schuld, dass sie sich nicht regelmäßig ein aktuellen Computer und ein aktuelles Handy kauft. Aber faktisch gäbe es das Problem in dieser Form ja nicht, wenn ein 2FA für den Login zur Verfügung gestellt würde (so wie bei jeder anderen mir bekannten Bank).

Bezüglich der Rückabwicklung:
Du scheinst hier ein paar naive Annahmen zu treffen.

1. Der Betrüger nutzt ein Konto welches auf seinen Namen lautet und/oder

2. Der Betrüger agiert aus einem Land oder mit Banken aus Ländern, welches ein vergleichbares Rechtssystem haben und auch an der Verfolgung etwaiger Straftaten interessiert sin.
So funktioniert Onlinekriminalität aber nicht.

Geknackte Passwörter werden vor allem über Foren zum Verkauf in größeren Mengen angeboten und dort auch größtenteils sogar mehrfach gekauft.

Die "Kunden" solcher Foren sind ein relativ heterogene Masse, global aber insbesondere in Drittstatten anzutreffen. Da kommt es natürlich gelegen das Aktienmärkte ebenfalls global funktionieren.
Bin auf jeden Fall gespannt zu sehen, wie und auf welcher Rechtsgrundlage, Aktiengeschäfte mit einer Bank auf den Bahamas rückabgewickelt werden sollen, zumal mit ein paar anschließenden Kryptotransaktionen sich auch problemlos die weiteren Spuren verwischen lassen. Aber klar, was man selber noch nicht erlebt hat, das gibt es auch nicht

Zitat von Geizhals

Wie gehst du denn nun vor, chillr? Löst du das Depot auf?

Habe jetzt zunächst mal dem Scalable Support geschrieben um zu Klären, ob Scalable die Haftung für nicht autorisierte Trades übernimmt. Denn schlussendlich sehe ich hier die Fahrlässigkeit bei Scalable überhaupt so ein unsicheren Login Prozess zur Verfügung zu stellen. Zumal meinem Verständnis nach solch ein Login mit der PSD2 Richtlinie vor ein paar Jahren verboten worden ist. Warte noch auf Antwort.

Mir ist auch heute durch Zufall aufgefallen, dass man sich nur an Hand von Email und Passwort mit dem Computer bei Scalable anmelden kann und sogar Trades ohne weitere Authentifizierung durchführen kann.

Das erscheint mir ein extremes Sicherheitsrisiko zu sein!

Den Euer Konto lässt sich auch nur durch Trades leerräumen.

Ganz ohne Referenzkontoänderung!

Hierzu muss der Angreifer einfach nur wenig gehandelte Aktien oder Derivate abwechseld kaufen und verkaufen. Diese weisen auf Grund ihres geringen Handelsvolumen höhere Spreads auf.

Beispiel:

Sagen wir, es gibt ein Beispiel-Derivate A welches mit einem Bid-Kurs von 70 und einem Ask-Kurs von 90 gehandelt wird.

Der Angreifer stellt dann für Derivate A zunächst von seinem eigenen Konto Liquidität zur Verfügung. In der Folge kann er das fremde Scalable Konto nehmen um das Derivate für 90 zu kaufen und dann wieder für 70 zu verkaufen. Die Differenz von 20 führt dann jeweils zu Verlust auf dem Scalable Konto, während es zu Gewinnen auf dem Konto des Angreifers führt.

Widerholt man diesen Kreislauf ein paar mal hintereinander ist das Scalable Konto nahezu komplett leer geräumt.

Im Kryptobereich werden mit genau dieser Methode ebenfalls Konten leer geräumt, wenn jemand sein Trading-API-Key abhanden kommt. Daher halt ich dies nicht für ein theoretisches Szenario!