Online-Banking per mTan-Verfahren Sicher? Sicher nicht!

Bankkunden müssen sich Sorgen machen, denn erstmals haben Betrüger systematisch ein System ausgetrickst, das bisher als relativ gut geschützt galt. Doch letzte Sicherheit kann es beim Online-Banking nicht geben. Umso wichtiger ist es daher, dass die Banken für mögliche Schäden aufkommen.

Ein Kommentar von Harald Freiberger

Irgendetwas passiert hier, aber man weiß nicht, was es ist. Die jüngste Betrugsserie im Online-Banking muss Bankkunden zutiefst beunruhigen. Erstmals haben Täter systematisch ein System ausgehebelt, das bisher als vergleichsweise sicher galt: das mTan-Verfahren, bei dem der Kunde eine Überweisung am Computer veranlasst und die dafür nötige Transaktionsnummer per SMS auf das Handy bekommt. Für sicher hielt man die Methode, weil hier zwei voneinander getrennte Systeme im Spiel sind, die sich nicht so leicht austricksen lassen. Dachte man. Doch nun ist es passiert, und zwar mindestens siebenmal im gesamten Bundesgebiet.

Beunruhigend sind die Fälle auch, weil die Betrüger enorm hohe Summen erbeuteten. In einem Fall waren es 77.000 Euro, in einem anderen 58.000 Euro, in zwei weiteren Fällen zusammen 200.000 Euro. Das heißt, dass die Täter vorher geradezu recherchiert haben müssen, wo sich der Betrug lohnt. Die Geschädigten hatten deshalb so viel Geld auf ihren Konten, weil sie den Kauf einer Immobilie beabsichtigten. Von den dubiosen Vorgängen merkten sie nichts. Das Geld war auf einmal weg, einfach so.

Die Betrugsserie ist ein erneuter Beleg für die These von Experten, dass es beim Online-Banking keine 100-prozentige Sicherheit gibt. Eingeführt wurde das mTan-Verfahren vor etwa zwei Jahren von vielen Banken, weil sich die vorherigen Verfahren als anfällig herausgestellt hatten. Ganz früher gab es Listen mit Transaktionsnummern, die Online-Kunden auf Papier zugeschickt bekamen. Als diese von Betrügern abgefischt wurden, entwickelte man das iTan-Verfahren mit einer durchnummerierten Tan-Liste, bei der vor jeder Transaktion eine bestimmte Tan abgefragt wird. Doch auch da kam es immer wieder zu Betrug. Das mTan-Verfahren schien ein Ausweg zu sein - bis jetzt. Es ist ein Hase-und-Igel-Rennen, bei dem Betrüger die Rolle des Igels übernehmen und rufen: Ich bin all hier.

Über einen Trojaner spähten die Betrüger die Computer der Betroffenen aus

Was bleibt Kunden, die trotzdem nicht darauf verzichten wollen, ihre Bankgeschäfte bequem am Computer zu erledigen? Immerhin gibt es in Deutschland 50 Millionen Online-Kontos. Im aktuellen Betrugsfall war es so, dass die Täter zunächst den Computer der Betroffenen ausspionierten. In der Regel läuft das über einen Trojaner, eine Spähsoftware, die sich selbst installiert, wenn der Nutzer auf einen betrügerischen Link klickt. Der beste Schutz dagegen ist zunächst ein aktuelles Virenprogramm und eine grundsätzliche Vorsicht bei Aufforderungen, irgendetwas anzuklicken. Banken verschicken solche Aufforderungen nicht.

Das Knacken des Computers führte offenbar auch dazu, dass die Täter an Daten zum Mobilfunkvertrag herankamen, die auf dem Computer gespeichert waren. Mit diesen konnten sie den Vertrag beim Anbieter telefonisch für eine andere SIM-Karte freischalten lassen, die sie sich vorher besorgt hatten. Der beste Schutz gegen den doppelten Betrug ist es, die beiden Systeme getrennt zu halten, also keine Mobilfunkdaten auf dem Computer zu speichern. Doch das ist leichter gesagt als getan. Viele Mobilfunkanbieter verschicken die Rechnungen gar nicht mehr per Post, sondern nur noch online.

Bleiben zwei andere Verfahren, die sich gegen Betrug bisher noch als resistent erwiesen haben. Da ist zum einen der Tan-Generator, ein kleines, separates Gerät, in das man die EC-Karte steckt und das die Tan im Zusammenspiel mit dem Computer erst erzeugt. Das Problem hier ist, dass es nicht alle Banken anbieten. Und es gibt das sogenannte HBCI-Verfahren, bei dem ein Verschlüsselungsgerät direkt am Computer installiert wird und das 50 bis 100 Euro kostet.

Die Banken müssen für die Sicherheit der Geschäfte sorgen

Doch über all dem steht der Satz, dass es letzte Sicherheit nicht gibt. Umso wichtiger ist es für Verbraucher, die Sicherheit zu haben, dass die Bank im Betrugsfall für den Schaden aufkommt. Die Rechtsprechung ist eindeutig: Wenn der Kunde den Schaden nicht verhindern konnte, weil er von dem Betrug gar nichts wusste, wie es in den aktuellen Fällen offensichtlich war, dann haftet die Bank. Trotzdem kommt es vor, dass die Geschädigten wochenlang hingehalten werden. Das ist besonders dann eine Zumutung, wenn es um hohe Summen geht, manchmal um das gesamte Ersparte.

Die Banken sparen viel Geld, Zeit und Personal, wenn der Kunde seine Geschäfte selbst erledigt. Es ist ihre Aufgabe, für die Sicherheit dieser Geschäfte zu sorgen und dort, wo sich Lücken auftun, unbürokratisch zu entschädigen. Sonst verstärkt sich bei den Kunden das Gefühl der Unsicherheit, und das Vertrauen in die Banken, das nach einem Werbeslogan ja der Anfang von allem ist, schwindet weiter.