Probleme mit mTAN-Verfahren Bundesweite Betrugsserie im Online-Banking

Bis zu 200.000 Euro einfach so weg: Die Polizei hat in den vergangenen Wochen mindestens sieben Fälle von Betrug beim sogenannten mTan-Verfahren registriert. Die Verbrecher spähen beim Online-Banking massenhaft Daten von Bankkunden aus und erschleichen sich per SMS hohe Summen. Zum vermeintlich sicheren mTAN-Verfahren gibt es Alternativen.

Von Harald Freiberger

58 000 Euro waren weg, einfach so. Als Helene Huber vor vier Wochen ihr Online-Konto überprüfte, fehlte das Geld. Eigentlich wollte sie von dem Ersparten später eine Immobilie kaufen. Huber ging zur Polizei, meldete es der Bank, doch ihr Geld hat sie immer noch nicht wieder. "Ich bin am Rande des Nervenzusammenbruchs", sagt sie. Huber, die ihren richtigen Namen nicht nennen will, wurde Opfer einer neuen Form von Onlinebanking-Betrug: Kriminelle nutzen dabei das mTan-Verfahren, das in Deutschland von mehreren Millionen Bankkunden verwendet wird.

Nutzer von mTan geben am Computer eine Überweisung in Auftrag, anschließend erhalten sie eine Transaktionsnummer (Tan-Nummer) per SMS auf ihr Handy. Erst wenn eine Überweisung mit dieser Nummer bestätigt wird, transferiert die Bank das Geld für ihren Kunden - oder den Betrüger. Denn der Fall von Helene Huber ist kein Einzelfall.

In Wangen im Allgäu verschwanden Ende August auf die gleiche Weise 77.000 Euro vom Online-Girokonto einer Frau; sie hat das Geld inzwischen von ihrer Bank zurückerhalten. Bundesweit gibt es nach Angaben der Polizei mindestens sieben Fälle, drei davon im Rhein-Neckar-Kreis. Einen Fall registrierte die Polizei in Hannover, zwei weitere in Mittelhessen, allein dort erbeuteten die Täter 200.000 Euro.

Die Betrüger bekamen alle SMS - die Telekom reagiert

Die Betrüger spionierten den Computer der Bankkunden aus und kamen so an das Passwort für das Online-Banking. Anschließend besorgten sie sich eine SIM-Karte und ließen die Mobilfunk-Nummer des Kunden auf ihr eigenes Handy umleiten. Mehrere Geschädigte waren Kunden bei der Telekom. Diese erklärt sich den Betrug so, dass die Täter am gehackten Computer auch Kundengeheimnisse herausfanden, die nötig sind, um eine zusätzliche SIM-Karte freischalten zu lassen. Der Täter bekam fortan alle SMS, die für den echten Kunden bestimmt waren - einschließlich der mTan-Nummern.

Die Telekom hat nach eigenen Angaben inzwischen reagiert. "Wir verschicken SIM-Karten nur noch an die bekannte Kundenadresse, im Shop muss sich der Käufer ausweisen", sagt ein Sprecher. Werde eine Multi-SIM beantragt, die für mehrere Geräte einsetzbar ist, erhalte der Nutzer eine Nachricht an seine Haupt-SIM. "Zusätzlich empfehlen wir dringend einen aktuellen Virenschutz auf dem Rechner", sagt der Sprecher.

Die Betrugsserie ist ein herber Rückschlag für das mTan-Verfahren. Viele Banken führten es 2011 ein, weil es immer wieder zu Sicherheitsproblemen mit den herkömmlichen - auf Papier gedruckten - Tan-Listen kam. Die Bankenverbände halten das neue mTan-Verfahren trotz der nun bekannt gewordenen Betrugsfälle weiter für sicher - zumindest dann, wenn Kunden die Daten streng getrennt hielten, also etwa die Mobilfunk-Rechnung nicht auf dem Computer speicherten.

Frank-Christian Pauli vom Bundesverband der Verbraucherzentralen hingegen rät zum sogenannten Tan-Generator, einem Gerät, das die Tan-Nummern selbst erzeugt. Zudem gibt es noch das ältere HBCI-Verfahren, bei dem die Daten mit einem Gerät direkt am Computer verschlüsselt werden. Bei beiden Verfahren gab es bisher keine Betrugsfälle - im Gegensatz zum bislang sicher geglaubten System "mTan".