Die Betrugsserie im Online-Banking hält an. Seit Anfang vergangener Woche wurden nach SZ-Informationen sechs weitere Fälle beim sogenannten mTan-Verfahren bekannt. Damit liegt die Zahl der Fälle inzwischen bei mindestens 17, die Schadenssumme bei mehr als einer Million Euro.
Auffällig ist die hohe Schadenssumme, die sich jeweils meist im fünfstelligen, teilweise im sechsstelligen Bereich bewegt. Auch in zwei neuen Fällen, mit denen die Kölner Anwaltskanzlei Wilde Beuger Solmecke befasst ist, war das so. Einem Mann in Offenbach wurden 98.000 Euro vom Konto geräumt. Bei einem Mann im Sauerland waren es 88.000 Euro. Wie in den zuvor bekannt gewordenen Fällen buchten die Betrüger das Geld in vielen einzelnen Tranchen ab, offenbar um das interne Kontrollsystem der Banken zu umgehen.
Auffällig ist auch, dass häufig Kunden der Postbank der Betrugsmasche zum Opfer fielen, so auch in den beiden aktuellen Fällen. Jakob Wahlers, Anwalt bei der Kölner Kanzlei, vermutet, dass dies mit der "Sparcard direkt" zusammenhängen könnte, die die Postbank mit dem Slogan bewirbt: "Sie kombiniert die Sicherheit des klassischen Sparbuchs mit dem Zinsvorteil des Tagesgeldkontos". Die Täter nutzten aus, dass Kunden online auf das Sparkonto Zugriff haben. So überwiesen sie in vielen Fällen erst hohe Beträge vom Sparkonto auf das Girokonto des Opfers.
Betrüger griffen auch auf Sparkonten zu
Teilweise erhöhten sie online auch den maximal möglichen Überweisungsbetrag. Vom Girokonto überwiesen sie das Geld schließlich per mTan-Verfahren auf betrügerische Konten im In- und Ausland. "Wir sehen einen Zusammenhang darin, dass die Sparkonten online zugänglich waren und so die Möglichkeit bestand, große Beträge betrügerisch abzubuchen", sagt Anwalt Wahlers. Das könnte auch erklären, warum die Schadenssummen so hoch sind. Auf normalen Girokonten haben Sparer in der Regel nicht so viel Geld liegen.
Die Betrüger gingen grundsätzlich immer nach derselben Masche vor: Sie hackten sich zunächst in den Computer der Bankkunden ein und spionierten über eine Spähsoftware die Zugangsdaten zum Online-Banking aus. So kamen sie auch an Daten zum Mobilfunkvertrag heran. Mit diesen ließen sie beim Mobilfunkanbieter telefonisch eine zweite SIM-Karte freischalten, die sie sich vorher besorgt hatten. Anschließend erhielten sie die mTan, die nötig ist, um eine Online-Überweisung auszuführen, auf ihr eigenes Handy.
Banken halten mTan-Verfahren weiter für sicher
Wie dreist die Täter vorgingen, zeigt der Fall eines Postbank-Kunden in Emden, bei dem Betrüger 125.000 Euro abhoben. 67.000 Euro stammten von der Sparcard direkt, 20.000 Euro von einem Tagesgeld-Konto. Darüber hinaus drückten sie das Girokonto mit 38.000 Euro ins Minus, obwohl der Kunde nur einen Überziehungsrahmen von 1500 Euro hatte. Dabei überlisteten die Betrüger das Postbank-System, indem sie erst von einem fremden, ungedeckten Konto hohe Beträge auf das Girokonto des Opfers überwiesen. Anschließend hoben sie per mTan sofort Geld ab. Erst später merkte das System, dass die ursprünglichen Überweisungen von einem ungedeckten Konto gekommen waren und machte diese rückgängig.
Die Betrüger haben es aber nicht ausschließlich auf hohe Summen abgesehen. Im Fall einer Rentnerin, ebenfalls Postbank-Kundin, lagen die einzelnen Überweisungen nur zwischen 5 und 25 Euro. Da es 39 einzelne Überweisungen waren, kam eine Summe von 805 Euro zusammen.
Nach SZ-Informationen hat die Postbank mittlerweile den meisten Opfern den Schaden erstattet, oft nach einer mehrwöchigen zermürbenden Wartezeit. Um weitere Rechtsansprüche auszuschließen, schreibt sie ihnen, dass der Schadenersatz "aus Kulanzgründen" erfolge.
Auch die Comdirect, die Direktbank-Tochter der Commerzbank, registrierte inzwischen drei Betrugsfälle mit dem mTan-Verfahren. Das bestätigte eine Sprecherin der SZ. Damit sich die Serie nicht ausweite, stimme man sich eng mit den Mobilfunkanbietern ab. Telekom und E-Plus geben an, sie erschwerten die Freischaltung einer zweiten SIM-Karte durch strengere Identitätsprüfungen.
Die Banken halten das mTan-Verfahren weiter für sicher, vorausgesetzt, der Kunde schütze seinen Computer mit aktueller Virensoftware und trenne PC und Handy streng. Die Comdirect empfiehlt ihren Kunden darüber hinaus seit April ein neues Verfahren, die photoTan. Dabei erscheint auf dem Computer-Bildschirm eine mehrfarbige Grafik, die Auftragsdaten und Tan in verschlüsselter Form enthält. Mit einer App auf dem Smartphone wird die Grafik eingelesen, dessen Display zeigt dann Auftragsdaten und Tan an. "Dabei besteht zwischen Smartphone und Online-Banking keine Verbindung - das erhöht die Sicherheit", so die Comdirect.