Onlinebanking Erneuter Betrugsfall mit Mobile-Tan-Verfahren

Illustration: Stefan Dimitrov

Das Risiko bleibt: Im vergangenen Herbst gab es eine Betrugswelle mit der mTan beim Onlinebanking. Zunächst schien die Sicherheitslücke behoben. Jetzt gibt es einen neuen Fall.

Von Harald Freiberger, Frankfurt

Nuhad Al Hussin glaubte seinen Augen nicht zu trauen, als er am 8. Juli auf sein Online-Girokonto bei der Postbank schaute: Am Vortag waren innerhalb weniger Minuten fünfmal Beträge zwischen 4500 und 9900 Euro abgebucht worden. Insgesamt fehlten 39 732 Euro. Vier Überweisungen gingen auf das Konto eines "Stig Holm", eine weitere an "Michael Czaja". "Mir war sofort klar, dass ich das Opfer von Betrügern geworden bin", sagt der gebürtige Syrer, der in Herford (Nordrhein-Westfalen) als Orthopäde arbeitet.

Al Hussin nutzt das sogenannte Mobile-Tan-Verfahren (mTan). Dabei veranlassen Onlinebanking-Kunden zunächst auf ihrem Computer eine Überweisung. Anschließend bekommen sie die Transaktionsnummer (Tan), die sie dafür eingeben müssen, per SMS auf das Handy geschickt. Die Banken führten die mTan vor etwa drei Jahren ein, weil sich das herkömmliche Verfahren, bei dem Kunden die Tan per Brief auf einer Liste erhielten, als betrugsanfällig herausgestellt hatte. Das mTan-Verfahren galt als sicher, weil dafür zwei voneinander getrennte Systeme nötig sind - der Computer und das Handy.

Erst knacken die Täter den Computer, dann auch das Handy

Im vergangenen Herbst war es mit dieser Sicherheit allerdings vorbei. Damals registrierte die Polizei eine Betrugsserie mit mTan. Zwischen August und Oktober wurden mindestens 17 Onlinebanking-Kunden in Deutschland Opfer von Attacken. Auffällig waren die hohen Beträge, die die Täter von den Konten abräumten. Die Summen bewegten sich meist im hohen fünfstelligen, zum Teil sogar im sechsstelligen Bereich. Der Gesamtschaden belief sich auf mehr als eine Million Euro.

In den meisten Fällen waren die Opfer Kunden der Postbank. Die erstattete den Geschädigten das Geld, wenn auch zum Teil erst nach langen, zermürbenden Wochen des Wartens.

Seit Oktober letzten Jahres wurde kein neuer Fall mehr bekannt. Die Banken und die Mobilfunkanbieter schienen die Sicherheitslücke geschlossen zu haben - bis zum 8. Juli. Denn der Betrug im Fall von Nuhad Al Hussin lief nach derselben Masche ab.

Spähsoftware und SIM-Kartendiebstahl

Die Täter verschafften sich offenbar mit einer Spähsoftware auf dem Computer Zugang zum Onlinebanking des Opfers. Gleichzeitig kundschafteten sie seine Handynummer aus, vermutlich ebenfalls über den Computer, da er seine Mobilfunkrechnung vom Anbieter O2 online erhält. Anschließend besorgten sich die Täter bei einem Telefonshop in Köln eine SIM-Karte, die sie unter Angabe des Namens von Al Hussin freischalten ließen. Es ist möglich, dass ein Kunde mehrere SIM-Karten unter einer Nummer nutzt, wenn er zum Beispiel zwei Handys braucht. Die SIM-Karte legten die Täter in ihr eigenes Handy ein. Dann veranlassten sie auf dem gehackten Online-Zugang von Al Hussin die fünf Überweisungen. Die mTan bekamen sie jeweils auf das eigene Handy.

Die Auskunft, dass die SIM-Karte in einem Kölner Telefonshop freigeschaltet wurde, erhielt Al Hussin von der O2-Hotline. "Dort sagte man mir auch, dass der Shop eigentlich nach dem Personalausweis hätte fragen müssen", sagt er. Man könne es sich nicht erklären, wie die SIM-Karte ohne Prüfung der Identität freigeschaltet habe werden können. Auch bei der Pressestelle der O2-Mutter Telefónica heißt es: "Trotz sehr detaillierter Recherchen können wir nicht nachvollziehen, wie es für den unbekannten Betrüger möglich war, an die benötigten Informationen und an die SIM-Karte zu gelangen."

Verschärfte Sicherheitsvorkehrungen

Die Postbank weist darauf hin, dass das "Betrugsszenario SIM-Kartendiebstahl" nicht bei ihr entstehe, sondern in der Geschäftsbeziehung zwischen Kunde und Mobilfunkanbieter. Deren eingeleitete Gegenmaßnahmen zeigten "grundsätzlich gute Wirkung". Es habe "nur noch einzelne Fälle von SIM-Kartendiebstahl" gegeben.

Nach der Betrugswelle vom Herbst verschärften Anbieter wie Telekom und E-Plus ihre Sicherheitsvorkehrungen. So verschicken sie SIM-Karten per Post nur noch nach einer Identitätsprüfung per Passwort; vorher war das teilweise einfach mit dem Namen möglich. Wenn sich Kunden in einem Shop eine weitere SIM-Karte freischalten lassen wollen, müssen sie dafür den Personalausweis vorlegen. Bis in das Kölner Geschäft hat sich das aber offensichtlich nicht herumgesprochen.

Banken halten das mTan-Verfahren weiter für sicher, wenn der Kunde einige Grundsätze beachte: Den PC regelmäßig mit Virenscanner updaten, achtsam sein, Überweisungslimits setzen. Bei Telefónica dagegen heißt es: "Wir raten aus Sicherheitsgründen grundsätzlich von einer Nutzung des mTan-Verfahrens ab." Entscheide sich der Kunde trotzdem dafür, versuche man aber " durch umfangreiche Sicherheitsvorkehrungen einem solchen Betrugsfall vorzubeugen".