Zwei Faktoren Authentifizierung bei Scalable Capital

    Selbst wenn das so sein sollte, man muss erst mal rum rennen und hat den Stress an den Hacken. Das alles könnte durch eine simple 2FA verhindert werden. Allein das sehe ich schlicht als Service an, den ein Dienstleister mir eigentlich erbringen sollte: Auch zukünftigen Stress möglichst vermeiden

    Zitat von R.F.

    Das ist doch egal, die müssen nachweisen, dass du das Geschäft ausgelöst hat. Wellenreiten genügt nicht. Und den Nachweis können sie schon deshalb nicht führen, weil das konkrete Geschäft ja nicht autorisiert werden muss. Insofern liegt es eigentlich sogar im Kundeninteresse, wenn der Dienstleister das locker handhabt. Um es klar zu sagen, eine möglichst wasserdichte Autorisierung liegt vornehmlich im Interesse des Dienstleisters, damit hält er sich nämlich mögliche Ansprüche des Kunden vom Leib. Die Bank muss nachweisen, dass du das Geschäft ausgelöst oder autorisiert hast. Je kleiner die Hürden vor Auslösung des Geschäfts sind, um so besser bist du als Kunde geschützt und um so schwerer hat es die Bank.

    Weil es eine Gegenstelle gibt, weil das Geschäft und der Geschäftspartner dokumentiert sind, weil es nur Buchungsvorgänge sind, die nicht einmal sofort, sondern erst nach drei Tagen ausgeführt werden, und dabei nichts physisch über den Tisch geht. Das ist ja der Grund, warum die Bank es hier mit der Autorisierung nicht so genau nimmt und es auch nicht so genau nehmen muss, es ist alles rückabwickelbar und das Risiko, das die Bank dabei eingeht, ist minimal. Und nochmal, das verbleibende Restrisiko liegt bei der Bank (siehe oben), nicht beim Kunden.

    Hast du für diese Theorie auch Belege? Denn wenn dem so ist, hätten sicher schon genug Ganoven die Broker/Banken betrogen, die kein 2FA haben. Hätten sich also hingestellt und gesagt: "ich war es nicht. Beweis mir, dass ich es war". Das gleiche wäre dann auch bei EC-Karten möglich. Dort gibt es auch nur eine PIN.

    Zitat von kaifergo

    Hast du für diese Theorie auch Belege? Denn wenn dem so ist, hätten sicher schon genug Ganoven die Broker/Banken betrogen, die kein 2FA haben. Hätten sich also hingestellt und gesagt: "ich war es nicht. Beweis mir, dass ich es war". Das gleiche wäre dann auch bei EC-Karten möglich. Dort gibt es auch nur eine PIN.

    Das ist keine Theorie, sondern Gesetz. Ansonsten, lies es dir noch mal durch. Banken machen es im Wertpapiergeschäft (auch "konventionelle" Banken), weil sie das Risiko für gering halten. Und das Risiko ist extrem gering, weil alles rückabwickelbar ist. Beim Kartenmissbrauch nimmt der Trickdieb oder Betrüger seine Beute und verschwindet damit unerkannt. Da ist nichts rückabwickelbar. Wenn du den Unterschied nicht verstehst, kann ich dir auch nicht helfen.

    Zitat von BS.C

    Selbst wenn das so sein sollte, man muss erst mal rum rennen und hat den Stress an den Hacken. Das alles könnte durch eine simple 2FA verhindert werden. Allein das sehe ich schlicht als Service an, den ein Dienstleister mir eigentlich erbringen sollte: Auch zukünftigen Stress möglichst vermeiden

    Mit dem Argument darfst du auch das Haus nicht verlassen. Du hast ständig den Stress, dass dich jemand ausrauben könnte. Zu Hause hast du auch nur Stress, es könnte ja jemand einbrechen. Und dann hast du noch jede Menge Ärger, musst Anzeige erstatten und dich mit der Versicherung herum ärgern. Wenn das die Einstellung zum Leben ist, wäre es am sinnvollsten, das gesamte private Eigentum zu verschenken und sich in ein Kloster zurück zu ziehen.

    Zitat von R.F.

    Ja und? Dann muss Scalable dich so stellen, als ob die unauthorisierten Verfügungen nicht stattgefunden hätten. Ist also deren Problem und nicht das der Kunden. Wobei das ganze Szenario so was an den Haaren herbei gezogen ist. Der betrügerische Handelspartner wäre nämlich ohne weiteres zu identifizieren und so dumm ist eigentlich kein Betrüger.


    Ich bin ja nun kein Freund dieser Neobroker, aber das ist nun wirklich ein Scheinproblem. Und die ganzen Umstände der zwei Beiträge sehen für mich eigentlich aus wie Guerillamarketing. Da ist jemand "zufällig" hier als neuer Benutzer im Forum an und warnt vor dieser weitgehend erfundenen großen Gefahr für das Vermögen der Kunden von Scalable. Da bleibt nur die Frage offen, wer dafür wieviel bezahlt.

    LOL - ist klar ich bin also ein Bot :D

    Vll als Kontext - ich habe meine Mutter das Konto von Scalable empfohlen und ihr bei der Einrichtung geholfen. Als ich ihr den Login mit 2FA erklären wollte, ist dann aufgefallen, dass der 2FA gar nicht abgefragt wird. Dass ich hier im Forum gelandet bin, liegt einfach daran, dass ich nach mehr Information gegooglet habe. Wenn man "2FA scalable" googelt ist dieses Forum das zweite Ergebnis.

    Aber nun mal zu Deinen inhaltlichen Argumenten. Da ich aus der IT komme, muss ich ehrlich gesagt über Deine Behauptungen ziemlich stark schmunzeln.

    Bei unautorisierten Trades haftet grundsätzlich erst einmal die Bank für den Schaden. Soweit so gut.
    Dies gilt allerdings nur, solange dem Nutzer kein fahrlässiges Verhalten vorgeworfen werden kann. Was gilt nun als fahrlässig?
    Beim Online-Banking wäre das zum Beispiel wenn der Nutzer kein PC oder Handy mit aktuellen Sicherheitsupdates fürs Banking benutzt. Aktuell hat meine Mutter ein noch aktuelles Handy, aber da sie sich nicht alle 3 Jahre ein neues Handy kauft, wird es auch einmal ein Jahr geben in der ihr Handy nicht ganz aktuell ist. Wenn sie in dieser Zeit die Banking App öffnet, ist die Haftungsfrage bereits wieder offen. Jetzt könnte man natürlich sagen, sie ist selber dran Schuld, dass sie sich nicht regelmäßig ein aktuellen Computer und ein aktuelles Handy kauft. Aber faktisch gäbe es das Problem in dieser Form ja nicht, wenn ein 2FA für den Login zur Verfügung gestellt würde (so wie bei jeder anderen mir bekannten Bank).

    Bezüglich der Rückabwicklung:
    Du scheinst hier ein paar naive Annahmen zu treffen.

    1. Der Betrüger nutzt ein Konto welches auf seinen Namen lautet und/oder

    2. Der Betrüger agiert aus einem Land oder mit Banken aus Ländern, welches ein vergleichbares Rechtssystem haben und auch an der Verfolgung etwaiger Straftaten interessiert sin.
    So funktioniert Onlinekriminalität aber nicht.

    Geknackte Passwörter werden vor allem über Foren zum Verkauf in größeren Mengen angeboten und dort auch größtenteils sogar mehrfach gekauft.

    Die "Kunden" solcher Foren sind ein relativ heterogene Masse, global aber insbesondere in Drittstatten anzutreffen. Da kommt es natürlich gelegen das Aktienmärkte ebenfalls global funktionieren.
    Bin auf jeden Fall gespannt zu sehen, wie und auf welcher Rechtsgrundlage, Aktiengeschäfte mit einer Bank auf den Bahamas rückabgewickelt werden sollen, zumal mit ein paar anschließenden Kryptotransaktionen sich auch problemlos die weiteren Spuren verwischen lassen. Aber klar, was man selber noch nicht erlebt hat, das gibt es auch nicht :D

    Zitat von chillr


    Bei unautorisierten Trades haftet grundsätzlich erst einmal die Bank für den Schaden. Soweit so gut.
    Dies gilt allerdings nur, solange dem Nutzer kein fahrlässiges Verhalten vorgeworfen werden kann. Was gilt nun als fahrlässig?

    Grob fahrlässig muss es sein, nicht fahrlässig. Grob fahrlässig verhält sich, wenn er Regeln außer acht lässt, die jedem einleuchten. Oder anders herum ausgedrückt, wenn er sich so verhält, wie sich kein vernünftiger Mensch verhalten würde. Die Rechtsprechung dazu ist eindeutig. Und nachweisen muss das die Bank. Was die Bank an Verfahren vorgibt, kann dem Kunden nie als "grob fahrlässig" vorgeworfen werden. Insofern ist ja schön, dass du "aus der IT kommst", aber auch für die Gruppe gilt, dass jemand der von etwas anderem keine Ahnung hat, vielleicht besser die Klappe halten sollte. Und dass du noch bei deiner mutter wohnst, macht es auch nicht besser.

    Zitat von chillr


    ...

    1. Der Betrüger nutzt ein Konto welches auf seinen Namen lautet und/oder

    2. Der Betrüger agiert aus einem Land oder mit Banken aus Ländern, welches ein vergleichbares Rechtssystem haben und auch an der Verfolgung etwaiger Straftaten interessiert sin.

    ...
    Bin auf jeden Fall gespannt zu sehen, wie und auf welcher Rechtsgrundlage, Aktiengeschäfte mit einer Bank auf den Bahamas rückabgewickelt werden sollen.

    Es geht hier um Wertpapierhandel nach den Regeln des deutschen Wertpapierhandelsgesetzes, zugunsten und zu Lasten eines Verrechnungskontos, von dem aus nur Überweisungen auf ein vorher festgelegtes Referenzkonto des Kunden vorgenommen werden. Auch da gilt, erst informieren, dann aufblasen. Da kann jedes Geschäft nachvollzogen und rückabgewickelt werden. Wenn die Bank bereit ist, das sehr überschaubare Risiko der Rückabwicklung einzugehen, dann muss der Kunde sich daran nicht stören, denn der trägt überhaupt kein Risiko. Verfügungen zu Lasten des Kunden setzen eine Änderung des Referenzkontos voraus, und die erfordert eine 2FA. Die Bahamas sind übrigens für Betrüger ein gar nicht guter Standort.

    Zitat von R.F.

    Grob fahrlässig muss es sein, nicht fahrlässig. Grob fahrlässig verhält sich, wenn er Regeln außer acht lässt, die jedem einleuchten. Oder anders herum ausgedrückt, wenn er sich so verhält, wie sich kein vernünftiger Mensch verhalten würde. Die Rechtsprechung dazu ist eindeutig. Und nachweisen muss das die Bank. Was die Bank an Verfahren vorgibt, kann dem Kunden nie als "grob fahrlässig" vorgeworfen werden. Insofern ist ja schön, dass du "aus der IT kommst", aber auch für die Gruppe gilt, dass jemand der von etwas anderem keine Ahnung hat, vielleicht besser die Klappe halten sollte. Und dass du noch bei deiner mutter wohnst, macht es auch nicht besser.

    Du scheinst mir ja ein besonderes sympathischer Mitmensch zu sein.
    Man kann seiner Mutter im Übrigen auch noch nach seinem Auszug Gefallen machen. Nur so als kleiner Lebenstipp.

    Da du aber anscheinend in diesem Forum ohnehin nur Dir selber glaubst, werde ich jetzt einfach nur zitieren:
    "Neben der groben Fahrlässigkeit kann auch die Verletzung der Sorgfaltspflichten durch den Geschädigten dazu führen, dass die Hausbank nicht haften muss. [..]
    Eine Verletzung dieser Sorgfaltspflichten wird in erster Linie bei den folgenden Aktionen angenommen: [..]

    - Online-Transaktionen auf ungesicherten Geräten durchführen

    - Online-Banking auf Endgeräten nutzen, die keinen (ausreichenden) Antiviren-Schutz besitzen"

    Online Banking Betrug ⚠️ Konto leergeräumt? Wer haftet? (cdr-legal.de)

    Und das mit der Rückabwicklung in diesem Fall auch nicht anwendbar. Aber dass kannst Du Dir ja vielleicht einfach mal selber zusammen suchen.

    Mein Gott, bist du dumm. Wenn du das von der Banlk vorgegebene Verfahren so anwendest, wie es die Bank vorgibt, kannst du keine Sorgfaltspflicht grob fahrlässig verletzen. Nie und unter keinen Umständen. Und wenn die Bank gar keine Autorisierung verlangt, dann gibt es keine Sorgfaltspflicht, die du verletzen könntest. Das müsste doch eigentlich auch jemand begreifen können, der aus der IT kommt und bei Mutti wohnt.


    Außerdem, zum wiederholten mal, es geht hier nicht um Verfügungen, bei denen Geld abfließt, sondern um Geschäfte, die die Bank rückabwicklen kann. Wenn die Rückabwicklung etwas kostet, ist das das Problem der Bank, die dieses Risiko bewusst eingeht, wenn sie ein Verfahren ohne 2FA zulässt. Auch das begreifen doch für gewöhnlich die allermeisten, die aus der IT kommen, selbst wenn sie noch bei Mutti wohnen.

    Zitat von R.F.

    Mein Gott, bist du dumm. Wenn du das von der Banlk vorgegebene Verfahren so anwendest, wie es die Bank vorgibt, kannst du keine Sorgfaltspflicht grob fahrlässig verletzen. Nie und unter keinen Umständen. Das müsste doch eigentlich auch jemand begreifen können, der aus der IT kommt und bei Mutti wohnt.


    Außerdem, zum wiederholten mal, es geht hier nicht um Verfügungen, bei denen Geld abfließt, sondern um Geschäfte, die die Bank rückabwicklen kann. Wenn die Rückabwicklung etwas kostet, ist das das Problem der Bank, die dieses Risiko bewusst eingeht, wenn sie ein Verfahren ohne 2FA zulässt. Auch das begreifen doch für gewöhnlich die allermeisten, die aus der IT kommen, selbst wenn sie noch bei Mutti wohnen.

    Ich denke Deine Aussagen sprechen hier für sich. Da brauche ich nichts weiter hinzuzufügen.

    Zitat von BS.C

    @R.F.

    Ich bitte dich, deinen Umgangston hier schnellstens anzupassen. Das ist hier nicht Finanztip-Würdig und du wirfst ein extrem schlechtes Bild auf dieses Forum!

    Danke!


    Im übrigen teile ich die Bedenken von chillr. Recht haben und recht bekommen sind nicht immer das selbe und im Zweifel nur mit viel Mühe und Kosten zu erstreiten.

    Für mich persönlich habe ich daher schon vor einem Jahr die Konsequenzen gezogen und SC den Rücken gekehrt, auch andere Banken haben schöne Depots ;)

    Meiner Meinung nach wurde mit PSD2 die Haftungsfrage bei Transaktionen ohne zweiten Faktor zugunsten des Kunden geändert:

    Zitat von https://www.stader-law.de/missbrauch-im-onlinebanking.html

    Der Einwand grober Fahrlässigkeit ist aber grds. ausgeschlossen, wenn die Bank für die Autorisierung von Zahlungen keine starke Kundenauthentifizierung (= 2-Faktor-Autorisierung) verlangt.

    Das lässt sich auch im § 675v Absatz 4 BGB nachlesen.


    Die vorher zitierte Webseite drückt dies nur etwas anders aus:

    Zitat

    In den meisten Fällen ist die Hausbank also in der Haftung und dazu verpflichtet, den entstandenen Schaden umgehend zu regulieren. Das gilt umso mehr unter der Voraussetzung, dass das Kreditinstitut kein ausreichend sicheres System implementiert hatten. Dann wäre selbst bei (grober) Fahrlässigkeit seitens des betroffenen Kunden davon auszugehen, dass die Hausbank in Haftung für die Folgen der Phishing-Attacke genommen werden kann.

    Mit "ausreichend sichere System" müsste der zweite Faktor gemeint sein, der ja auch bestimmten technischen (Sicherheits-)Anforderungen gerecht werden muss.

    Recht haben und Recht bekommen kann zwar weiterhin ein Unterschied sein. Wenn man etwas klarer im Recht ist, hilft das ungemein.


    Vom Haftungsrisiko unabhängig sollte jeder selber entscheiden, ob der zweite Faktor ein "Wohlfühlfaktor" oder ein "Störfaktor" ist. Die Wahl des Brokers ist halt zum Teil auch "Bauchsache", genauso wie auch die Wahl der Geldanlage.

    Danke für die Info. Das liest sich ja schon mal positiv.
    Warte noch Antwort auf meine Anfrage von Scalable, ob sie die Haftung für unautorisierte Trades auf Grund des fehlenden 2FA ohne Wenn und Aber übernehmen. Wenn diese mir das schriftlich bestätigen, empfinde ich das Risiko als Nutzer dann in der Tat überschaubar.

    Trotzdem würde mich das stark verwundern, wenn dies tatsächlich ein einkalkuliertes Risiko von Scalable ist und diese bedingungslos den Schaden regulieren. Denn theoretisch könnte dann ein Nutzer bei Scalable ja auch sein Vermögen in hochrisikante Knock-Out Zertifikate stecken. Und falls seine Wette schief geht behaupten, dass seine Trades unautorisiert getätigt wurden und somit das Geld zurückverlangen.
    Das wäre dann zwar Betrug, aber im Prinzip kann Scalable dann auch nicht das Gegenteil beweisen.

    Zitat von chillr

    Danke für die Info. Das liest sich ja schon mal positiv.
    Warte noch Antwort auf meine Anfrage von Scalable, ob sie die Haftung für unautorisierte Trades auf Grund des fehlenden 2FA ohne Wenn und Aber übernehmen. Wenn diese mir das schriftlich bestätigen, empfinde ich das Risiko als Nutzer dann in der Tat überschaubar.

    Meiner Meinung nach ist Scalable einfach nicht Dein Broker.


    Mich würde es auch stark wundern, wenn sie Dir das bestätigen und einen Freibrief erteilen. Wenn mein Vertrauen in eine Geschäftsbeziehung am 2FA hängt, sollte ich einfach einen Broker wählen, der dies in mir geeignet erscheinender Weise umsetzt.

    Es gibt Neuigkeiten: Scalable testet in einem halböffentlichen Beta-Test eine erweiterte 2FA!


    Anmeldemöglichkeit besteht momentan über die Facebook-Gruppe "Scalable Trading Community".


    Das Traurige an der Geschichte ist leider das erste Feedback einiger Gruppenmitglieder. Es schreiben leider User, dass ihnen das nicht wichtig wäre und lieber andere Funktionen eingeführt werden sollten (z.B. mehr Ordertypen) oder sogar, dass zusätzliche Sicherheitsmechanismen für sie ein Grund zum Wechsel wären, da die Anmeldung ihnen dann ggf. zu lange dauern würde.

    Schon echt komisch manche Leute. Hoffentlich wird es nach dem Test wenigstens optional ausgerollt.

    Ist schon jemand in den Genuss des Beta Tests gekommen?


    Ich habe mich zum Beta Test angemeldet und dort stand, man benötige die App Version 23.2.

    Seit kurzem konnte ich auf diese Version updaten. Beim Anmelden und der Aufgabe einer Test-Order (in meinem Fall ein Sparplan) in der App, war alles beim alten/ nichts Neues. :(