Am 25. Juli überprüfte Anka Muth, 48, aus Lübeck ihr Online-Girokonto bei der Postbank, so wie sie es fast jeden Tag macht. "Ich sah, dass es im Minus ist und dachte, das kann doch nicht sein", erzählt sie. Erst dann zeigte sich das Ausmaß des Schadens: Betrüger hatten am Vortag von ihrem Konto in zwei Buchungen mehr als 28 000 Euro auf das Postbank-Konto eines Kunden mit einem russisch klingenden Namen überwiesen.
"Als ich sah, wie sie vorgingen, wurde mir unheimlich", sagt Muth. Zunächst erhöhten die Täter das Limit für eine einzelne Überweisung auf 30 000 Euro. Dann buchten sie einen größeren Betrag vom Tagesgeld-Konto auf das Girokonto, um mehr Geld abgreifen zu können. Nach dem Betrug stand das Girokonto mit 6 700 Euro im Minus - das entspricht dem Disporahmen von Muth. "Die Betrüger wussten genau, wie sie vorgehen mussten und haben alles gemacht, was ging", sagt sie.
Muth nutzt das Mobile-Tan-Verfahren (mTan). Dabei veranlasst der Onlinebanking-Kunde auf dem Computer eine Überweisung und erhält auf sein Handy die nötige Transaktionsnummer (Tan), die er in den Computer eingibt. Das Verfahren, vor etwa drei Jahren eingeführt, galt als besonders sicher, da zwei unabhängige Systeme gebraucht werden, Computer und Handy.
Die Betrüger schalten eine zweite SIM-Karte frei
Muth rief bei der Postbank an. Dort kannte man das Problem: Wahrscheinlich hätten die Betrüger bei ihrem Mobilfunkanbieter eine zweite SIM-Karte freigeschaltet. So war es auch, wie die Hotline ihres Providers O2 erklärte: Einen Tag vor der Entdeckung war die SIM-Karte in einem O2-Shop des Elektronikmarktes Saturn im westfälischen Hagen freigeschaltet worden. Normalerweise muss man dafür den Personalausweis vorlegen. In dem Shop ging es offensichtlich auch ohne Identitätsnachweis. Nach der Freischaltung erhielten die Betrüger die mTan auf das eigene Handy und konnten die Überweisungen veranlassen.
Da Anka Muth die Postbank schnell informierte, hatte sie drei Tage später ihr Geld wieder. "Wir haben keinen materiellen Schaden, aber viel bürokratischen Aufwand, weil wir eine neue Konto- und Handynummer brauchen", sagt sie. Vollends verunsichert war sie, als sie erfuhr, dass einem Kollegen ihres Mannes dasselbe widerfahren war. Betrüger hatten 12 000 Euro von seinem Postbank-Onlinekonto abgebucht. Mit O2 hatte er auch denselben Mobilfunkanbieter. Und die SIM-Karte war im selben O2-Shop im Saturn-Markt in Hagen freigeschaltet worden. Die Postbank hat ihn inzwischen entschädigt.
Die beiden Fälle in Lübeck sind nicht die einzigen. Im Juli gab es zwei weitere Vorkommnisse (SZ vom 9.8.2014), der Betrug lief nach demselben Muster ab wie in Lübeck, der Gesamtschaden beträgt inzwischen 100 000 Euro. Die Häufung der Fälle lässt darauf schließen, dass es sich um eine neue Betrugsserie handelt.
Im Herbst gab es eine Betrugsserie bei E-Plus- und T-Mobile-Kunden
Eine solche gab es bereits im Herbst vergangenen Jahres, als bei mindestens 17 Onlinebanking-Kunden ein Schaden von mehr als einer Million Euro entstand. Bis auf einen Fall waren sie Kunden der Postbank. Ihre Mobilfunk-Provider waren T-Mobile und E-Plus, die daraufhin das Identifizierungsverfahren beim Freischalten einer weiteren SIM-Karte sicherer machten. Nach Oktober wurde kein Fall mehr bekannt. Nun tut sich bei O2 eine neue Sicherheitslücke auf.
Der Münchner Mobilfunkanbieter, der zum spanischen Mutterkonzern Telefónica gehört, kennt das Problem inzwischen. "Bei uns haben sich in letzter Zeit mehrere Kunden wegen Betrugs mit dem mTan-Verfahren gemeldet", sagt ein Sprecher. Die Fälle hätten O2 veranlasst, die Sicherheitsmaßnahmen zu verstärken. Man prüfe in den Shops regelmäßig, ob die vorgeschriebenen Prozesse eingehalten würden, unter anderem die Vorlage des Personalausweises bei der Freischaltung einer zweiten SIM-Karte. Man arbeite eng mit den Banken zusammen.
Die Postbank betont, dass es sich um Einzelfälle handle. Man prüfe jeweils, wie man dem Kunden schnell helfen könne, etwa mit einer vorzeitigen Erstattung. "Wir haben unsere Sicherheitsmaßnahmen nochmals verschärft", sagt ein Sprecher. Bei verdächtigen, seriellen Überweisungen hoher Beträge spreche man zum Beispiel den Kunden an. So war es auch in dem zweiten Lübecker Fall, in dem die Postbank auf das Opfer zuging.
"Das ist mir unheimlich"
Die Banken halten das mTan-Verfahren weiter für sicher, wenn der Kunde einige Grundsätze beachte: Er solle am Computer stets aktuelle Anti-Viren-Programme installieren, Überweisungslimits setzen und vorsichtig sein mit der Eingabe von Daten. Betrugs-Opfer Muth überzeugt das nicht: "Wir haben uns mit den modernsten Virenprogrammen geschützt und waren stets vorsichtig, es hat trotzdem nicht geholfen."
Auf die Sicherheit des mTan-Verfahrens ist ein dunkler Schatten gefallen. Das zeigt auch ein anderer Fall, der nicht in das aktuelle Betrugsschema passt: Dem Postbank-Kunden Rudi Wilden aus Erftstadt (Nordrhein-Westfalen) wurde seit Juni dreimal über das mTan-Verfahren betrügerisch Geld abgebucht, insgesamt knapp 500 Euro. Die Beträge gingen auf ein Konto des Mobilfunkanbieters E-Plus. Ein Betrüger hatte dort offensichtlich einen Mobilfunkvertrag unter Wildens Namen eröffnet. Die monatlichen Rechnungen wurden dann von seinem Konto abgebucht. Inzwischen hat die Postbank den Betrug gestoppt. "Die Täter müssen meinen Onlinebanking-Zugang und gleichzeitig meine Mobilfunkdaten gehackt haben", sagt Wilden. "Das ist mir unheimlich."