mTAN beim Online-Banking 77.826,33 Euro einfach abgebucht

Der Betrüger spähte ihren Computer aus, setzte sich mit ihrem Mobilfunkanbieter in Verbindung und räumte dann das Konto leer. Wie eine Kundin beim Online-Banking trotz des vermeintlich sicheren mTAN-Verfahrens ihr gesamtes Erspartes verlor.

Von Harald Freiberger

Claudia Jenny, 53, kann sich noch genau an die Stunde des Schocks erinnern. Es war am 30. August abends um halb neun, als sie an ihrem Computer online nur schnell eine Banküberweisung machen wollte. "Auf einmal sah ich, dass da nur noch 650 Euro auf meinem Girokonto waren", erzählt sie. Das kann doch nicht sein, dachte sie sich, da müssen doch fast 80.000 Euro drauf sein. Als sie auf die Buchungen klickte, sah sie das ganze Ausmaß des Unglücks. In sieben einzelnen Buchungen zwischen 8000 und 15.000 Euro waren insgesamt genau 77.826,33 Euro an einen "Istvan Lakatos" überwiesen worden. Den Namen hatte sie noch nie gehört.

Claudia Jenny hat eine logopädische Praxis in Wangen im Allgäu. "Die fast 80.000 Euro waren meine gesamten Ersparnisse, ich hatte sie deswegen auf mein Girokonto gelegt, weil eine große Überweisung an ein Bauunternehmen für einen Anbau an mein Haus bevorstand", sagt sie. Sie war zunächst zwar schockiert, glaubte aber, dass es sich nur um einen Irrtum handeln konnte und sich alles schnell regeln lassen müsste. Da wusste sie noch nicht, dass ihr "drei sehr harte Wochen" bevorstanden.

Jenny ging am nächsten Tag zur Filiale ihres Kreditinstituts, einer großen, privaten, deutschen Bank. Man sagte ihr, dass man den Fall intern weiterleiten und sich dann bei ihr melden werde. Doch dann hörte sie nichts mehr, auch auf wiederholtes Nachfragen nicht. "Die Bank nannte mir keinen Ansprechpartner, sie hat sich drei Wochen lang totgestellt", sagt sie. Schließlich kundschaftete sie zumindest eine Faxnummer aus und versandte die Drohung, dass sie sich mit ihrem Fall an die Medien wenden werde. Auf einmal ging alles ganz schnell. "Eine Viertelstunde später kam ein Anruf, dass ich mein Geld zurückbekomme und man den Vorfall bedauere", sagt sie. Kurz darauf waren die fast 78.000 Euro wieder da.

Der Betrüger spähte erst den Computer aus

Was Jenny erlebt hat, ist der Albtraum jedes Bankkunden. Dabei nutzt sie eine Art des Online-Bankings, das als vergleichsweise sicher gilt, das mTAN-Verfahren. Der Kunde gibt am Computer eine Überweisung in Auftrag, daraufhin erhält er per SMS auf sein Handy eine Transaktionsnummer, die er in den Computer eintippt. "Da dafür zwei voneinander unabhängige Geräte nötig sind, hielten wir das mTAN-Verfahren für relativ sicher", sagt Frank Christian Pauli vom Bundesverband der Verbraucherzentralen. Umso bedauerlicher sei es, dass man auch damit offensichtlich nicht mehr vor Betrug gefeit sei.

Die Nachforschungen der Polizei ergaben, dass der Betrüger - vermutlich über einen Trojaner - erst den Computer von Claudia Jenny ausspähte und so die Kontodaten auskundschaftete. Anschließend setzte er sich mit ihrem Mobilfunkanbieter in Verbindung und teilte diesem mit, er habe eine neue SIM-Karte. Das war einfach möglich, indem er Jennys Name, Adresse und Geburtsdatum angab. Anschließend bekam er die TAN-Nummern auf sein eigenes Handy.

Schon Ende 2012 registrierte das Landeskriminalamt Berlin eine Reihe von Betrugsfällen mit dem mTAN-Verfahren. Die Betrüger hackten sich dabei in die Computer von Bankkunden ein und spähten die Kontoverbindung aus. Gleichzeitig forderten sie die Bankkunden am Computer für ein angebliches Update auf, die Handynummer einzugeben. Danach fingen sie die Transaktionsnummern ab.

Das mTAN-Verfahren galt besonders dann als relativ sicher, wenn es über das Handy läuft und nicht über ein Smartphone, das seinerseits ein kleiner Computer und häufig mit dem PC zu Hause zusammengekoppelt ist. Doch auch die voneinander unabhängigen Systeme lassen sich offensichtlich austricksen, wenn sie getrennt ausspioniert werden. "Kein System ist vor Betrug gefeit", sagt Verbraucherschützer Pauli. Das gelte übrigens auch für die guten alten Überweisungsträger, bei dem Betrug mit einer gefälschten Unterschrift möglich sei. Verbrauchern, die auf Online-Banking nicht verzichten und möglichst sicher gehen wollen, empfiehlt Pauli das derzeit ausgereifteste Verfahren: einen TAN-Generator. Es handelt sich dabei um ein kleines Gerät, in das der Kunde bei einer Überweisung die EC-Karte steckt und das er an den Computer hält; es erzeugt dann die Transaktionsnummer.

Claudia Jenny hat erst einmal aber genug vom Online-Banking. "Ich dachte drei Wochen lang, dass ich vor dem finanziellen Ruin stehe und war schon ein nervliches Wrack", sagt sie. Es sei gruselig, wenn man allein dran denke, was da alles im Hintergrund ablaufe und man wisse nichts davon. "Vielleicht ist man immer auch zu gutgläubig."