Bankgeschäfte im Internet:Betrugsfall beim Onlinebanking weitet sich aus

Bankgeschäfte im Internet: Illustration: Dimitrov/SZ

Illustration: Dimitrov/SZ

  • In den jüngsten Betrugsfällen beim Onlinebanking ist das Ausmaß erheblich höher als bislang gedacht.
  • Auch Kunden anderer Telefongesellschaften sind betroffen.

Von Harald Freiberger und Helmut Martin-Jung

Die Betrugsserie im Online-Banking mit dem sogenannten mTan-Verfahren weitet sich aus. Zunächst sah es so aus, als wären allein Mobilfunkkunden der Telekom davon betroffen. Am Mittwoch erfuhr die Süddeutsche Zeitung, dass es auch beim Mobilfunkanbieter Telefónica mindestens einen Fall gibt. Die bisherige Schätzung, dass der Schaden mindestens eine Million Euro beträgt, dürfte zu niedrig angesetzt sein. Nach Informationen aus Polizeikreisen geht die Schadenshöhe eher in Richtung zwei Millionen Euro. 34 Millionen Kunden in Deutschland nutzen Online-Banking. Sie fragen sich, wie sie sich vor dem Betrug schützen können. Die wichtigsten Fragen und Antworten.

Worum geht es genau?

Beim mTan-Verfahren gibt ein Online-Banking-Kunde zunächst die Überweisungsdaten in seinen Computer ein. Danach erhält er eine Transaktionsnummer (Tan) per SMS auf sein Handy, die er wiederum in den Computer eintippt. Das Verfahren, das vor vier Jahren eingeführt wurde, galt als sicher, weil dafür zwei voneinander getrennte Systeme nötig sind: Computer und Handy. Beim vorherigen Verfahren mit Tan-Listen, die die Bank per Brief verschickt, war es immer wieder zu Betrug gekommen. Doch auch beim mTan-Verfahren gab es 2013 und 2014 schon Betrugswellen. Banken und Mobilfunkanbieter verstärkten darauf ihre Sicherheitsmaßnahmen. Nun haben Betrüger aber eine neue Sicherheitslücke ausgemacht.

Wie läuft der Betrug ab?

Die Täter hacken sich zunächst mit einer Spähsoftware, zum Beispiel einem Trojaner, in den Computer des Bankkunden ein. Dort kundschaften sie den Zugang zum Online-Konto samt Passwort aus, außerdem die Mobilnummer des Kunden. Mit diesen Daten geben sich die Täter gegenüber der Telekom-Hotline als Mitarbeiter eines Mobilfunk-Shops aus. Sie melden den angeblichen Verlust der Sim-Karte eines Kunden und teilen mit, eine Ersatzkarte aktivieren zu wollen. So können sie die mTan auf das eigene Handy bekommen und die betrügerischen Überweisungen veranlassen.

Polizeikreise: Auch andere Banken betroffen

Die Telekom berichtete, dass es in den vergangenen Wochen Betrugsfälle "im mittleren zweistelligen Bereich" gab. Nach Information der SZ wurden dabei jeweils hohe Summen von den Konten der Kunden abgezogen, meist im fünfstelligen Bereich. Bei einem Telekom-Kunden buchten die Täter erst eine hohe Summe vom Tagesgeld- auf das Girokonto und überwiesen von dort in neun einzelnen Überweisungen mehr als 30 000 Euro auf betrügerische Konten. Der Kunde hat sein Online-Konto bei der Postbank. Nach Information aus Polizeikreisen sind aber auch andere Banken von der Betrugswelle betroffen.

Wie lief der neu bekannt gewordene Fall ab?

Ein 74-jähriger Rentner wurde am 29. September ebenfalls Opfer einer solchen Masche. Er ist Kunde von Telefónica und nutzt den Tarif "Base", ursprünglich vom Mobilfunkanbieter E-Plus eingeführt, den Telefónica übernahm. Dem Mann wurden über das mTan-Verfahren insgesamt 10 600 Euro vom Konto abgezogen, in mehr als 100 einzelnen Buchungen über jeweils 100 Euro. Die Buchungen liefen über den Zahlungsdienstleister Transact, der zum Beispiel mit dem Musikdienst iTunes von Apple kooperiert. Bei Telefónica gab man dem Sohn des Rentners die Auskunft, dass im Base-Shop am Frankfurter Flughafen eine zweite Sim-Karte für ihn freigeschaltet wurde. Im Shop selbst will man dagegen eine solche Freischaltung nicht registriert haben. Der Fall lässt viele Fragen offen. Telefónica betont, dass der Fall anders gelagert sei als jene bei der Telekom, wollte sich aber nicht weiter dazu äußern.

Was wird gegen den Betrug getan?

Der Sparkassenverband betont, das mTan-Verfahren sei nicht "geknackt" worden, es handle sich weiter um ein technisch sicheres Legitimationsverfahren beim Online-Banking. Es erfordere jedoch, dass der Kunde seine Sorgfaltspflichten beachte. Aktuell gehe es um Fälle von Identitätsdiebstahl von Mobilfunknummern, die durch eine Sicherheitslücke im Prozess der Freischaltung von Sim-Karten möglich waren. Die Telekom verschärfte Ende vergangener Woche die Sicherheitsmaßnahmen bei der Identifizierung der Händler, wenn diese bei der Telekom-Hotline für einen Kunden eine neue Sim-Karte beantragen. Ihrer Ansicht nach ist die Betrugswelle damit gestoppt, von neuen Fällen sei nichts mehr bekannt geworden, sagt eine Sprecherin.

Wie viele Bankkunden nutzen das mTan-Verfahren?

Genaue Zahlen sind nicht bekannt, der Verband der Privatbanken (BdB) schätzt aber, dass die Mehrheit der Online-Banking-Kunden das mTan-Verfahren nutzt, also mehr als das ältere iTan-Verfahren, bei dem die Nutzer die Transaktionsnummern auf einer Papierliste erhalten. Insgesamt gibt es 54 Millionen Online-Konten in Deutschland, 34 Millionen Bankkunden erledigen ihre Überweisungen zumindest teilweise online.

Welche Alternative gibt es?

Die meisten Banken bieten inzwischen eine sogenannte Chip-Tan an. Bei dem Verfahren wurden zumindest noch keine systematischen Betrugsfälle bekannt. Dazu braucht der Bankkunde ein eigenes Gerät, Generator genannt. Dieses hält er an den Computer-Bildschirm, wenn er die Überweisungsdaten eingegeben hat. Er muss seine EC-Karte dabei in das Gerät stecken. Der Generator erzeugt dann erst die Tan. Allerdings muss der Kunde das Gerät bei den meisten Instituten selbst bezahlen. Nach wie vor bieten die Banken auch die iTan an: Sie verschicken Listen mit den Tan, bei der Überweisung fragt der Computer nach einer bestimmten Nummer auf der Liste. Allerdings kam es dabei auch schon öfter zu Betrug.

Bankgeschäfte im Internet: chip- bzw. Smart-Tan-Generatoren sind eine Alternative zum mTan-Verfahren.

chip- bzw. Smart-Tan-Generatoren sind eine Alternative zum mTan-Verfahren.

(Foto: oh)

Wer sichergehen will, kann zum Bezahlen übers Netz auch ein eigenes, abgeschottetes System nutzen, sozusagen einen Computer im Computer. Dieser startet von einem schreibgeschützten Speichermedium, und das ist auch das Entscheidende: Selbst wenn es Kriminelle darauf abgesehen hätten, ein solches System anzugreifen - sie könnten es nicht, weil das Medium jeden Schreibzugriff blockiert. Die passende Software dazu ist ct-Bankix, das von der Fachzeitschrift c't kostenlos zur Verfügung gestellt wird (http://www.heise.de/download/ct-bankix.html). Sie basiert auf der Linux-Variante Ubuntu. Bankix wird auf ein Medium gespielt, das man gegen Zugriffe schützen kann, also einen USB-Stick mit Schreibschutz, eine SD-Karte, oder man brennt sie auf eine CD. Damit die Sache funktioniert, muss der Computer so eingestellt sein, dass er als Erstes vom Speichermedium startet. Diese Einstellung nimmt man bei den PC-Grundeinstellungen (Bios oder Uefi) vor, und zwar beim Punkt Boot-Reihenfolge. Wie man zu den Grundeinstellungen gelangt, kann von Gerät zu Gerät unterschiedlich sein, Suchmaschinen helfen bei dieser Frage aber schnell weiter.

Wie lässt sich der Rechner besser schützen?

Wie lässt sich der Rechner schützen? Das Problem ist seit vielen Jahren bekannt, aber geändert hat sich wenig: Viele Computer sind gar nicht oder völlig unzureichend gegen Hackerangriffe geschützt. Was an zwei Dingen liegt: Erstens bedeutet es Arbeit, weil man ständig darauf achten muss, seine Software aktuell zu halten. Zweitens herrscht oft der Irrglaube vor, ein gutes Anti-Viren-System würde einen schon schützen. Auch wenn die Schutzsoftware immer aktuell gehalten wird, wenn der Hersteller seinen Job gut macht, kann Schadsoftware trotzdem durchschlüpfen. Es ist ähnlich wie mit einem Fahrradhelm: Auch wer ihn trägt, kann sich bei einem Sturz verletzen. Ratsam ist er doch - genauso wie ein Anti-Viren-Programm.

Wichtig ist aber auch ein gesundes Misstrauen bei Mail-Anhängen oder bei Links, auf die man klicken soll. Die Kriminellen entwickeln ihre Methoden ständig weiter. Manche Mails, die sich etwa als Mahnung tarnen, wirken in der Tat ziemlich echt. Also lieber noch einmal genau überlegen oder mal mit der Maus bloß über den Link fahren - nicht klicken -, um zu sehen, wohin er überhaupt führt. Meist sind das völlig kryptische Seiten, die nichts mit Versendern oder Banken zu tun haben. Oder bei der Bank anrufen, ob wirklich etwas nicht stimmt mit der Kreditkarte. Solche einfachen Schritte können viel Ärger ersparen.

Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: