Sicher ist nur, dass alles unsicher ist. Der Fall einer Bankkundin im Allgäu, deren Girokonto von Betrügern abgeräumt wurde, hat viele SZ-Leser aufgeschreckt. Die Frau hatte im Online-Banking das mTan-Verfahren genutzt. Dabei loggt sich der Kunde erst am Computer per Passwort bei seiner Bank ein und gibt die Daten für eine Überweisung in Auftrag. Anschließend erhält er auf sein Handy eine Transaktionsnummer (Tan-Nummer), die er in den Computer eingibt. Erst dann wird die Überweisung ausgeführt. Eigentlich galt das System, das erst vor etwa zwei Jahren flächendeckend eingeführt wurde, als eines der sichersten, da dafür zwei voneinander unabhängige Geräte nötig sind. Trotzdem konnten Betrüger in dem Fall Ende August online die hohe Summe von 77.826,33 vom Girokonto der Frau abheben. Sie bekam das Geld zwar nach drei Wochen Bangen von ihrer Bank ersetzt, trotzdem machen sich viele Leser Sorgen um die Sicherheit ihres Online-Bankings.
Wie lief der Betrug genau ab?
Die Polizei hat die Ermittlungen übernommen, der Fall ist noch nicht bis ins Letzte geklärt, aber nach jetzigem Stand spionierten die Täter auf dem PC zunächst den Zugang zum Online-Banking aus. Das läuft in der Regel über einen "Trojaner", ein Programm, das der Nutzer unfreiwillig selbst auf seinem Computer installiert, indem er zum Beispiel auf die Aufforderung klickt, ein bestimmtes "Update" auszuführen. Der Trojaner registriert die Tasteneingaben, so können sich Betrüger über das Passwort Zugang zum Online-Banking des Nutzers verschaffen. Auf diese Weise beschaffen sie Daten wie die Konto- und die Mobilfunknummer.
Wie kam der Betrüger an die iTan-Nummern heran?
Die Polizei registrierte einen Anruf des Betrügers beim Mobilfunk-Provider der Kundin. Er teilte der Gesellschaft mit, dass er sich eine neue Sim-Karte besorgt habe. Dies ist mittlerweile in jedem Telefon-Shop möglich. Die Sim-Karte lässt sich dann telefonisch aktivieren. Dafür war nur die Nennung von Namen, Adresse und Geburtsdatum der Kundin nötig, die der Betrüger offenbar auch ausgekundschaftet hatte. Nachdem der Vertrag auf die neue Sim-Karte umgeschaltet war, funktionierte das Handy der Kundin nicht mehr. Der Betrüger brachte innerhalb kurzer Zeit mehrere Überweisungen mit Summen zwischen 8000 und 15.000 Euro von ihrem Konto auf den Weg, die nötigen Tan-Nummern bekam er über die neu eingerichtete Sim-Karte auf sein eigenes Handy.
Wie kann man sich in dem speziellen Fall schützen?
Um Trojaner am eigenen Computer zu verhindern, ist ein aktuelles Virenschutzprogramm nötig. Doch selbst dann ist man nicht völlig sicher. Experten empfehlen, bei jedem Klick, zu dem man aufgefordert wird, vorsichtig zu sein. Im Zweifel hilft ein Anruf bei der eigenen Bank oder beim Software-Provider, ob die Aufforderung von ihm kam. Für viele überraschend ist, wie leicht es offenbar möglich ist, eine Handynummer auf eine andere Sim-Karte umzuleiten.
Ein SZ-Leser berichtet, dass ihm Ähnliches widerfahren sei: Eine verschmähte Ex-Freundin habe eine Sim-Karte unter seinem Namen bestellt, auf die sie dann "aus Rache in die halbe Welt telefoniert hat". Mobilfunk-Unternehmen empfehlen Kunden, ihren Handy-Vertrag mit einem Passwort schützen zu lassen. Dieses müssen sie immer angeben, wenn sie ihren Vertrag per Telefon ändern lassen wollen. "Viele Kunden lehnten das bisher ab, weil sie fürchteten, dass sie das Passwort vergessen", sagt ein Mobilfunk-Betreiber. Wie wichtig das sei, zeige aber der aktuelle Fall. Das Passwort lasse sich auch nachträglich für bestehende Verträge registrieren.
Gibt es sicherere Verfahren?
Selbst Frank-Christian Pauli vom Bundesverband der Verbraucherzentralen ist überrascht von dem Fall. "Ich wusste nicht, dass es so leicht ist, einen Mobilfunk-Vertrag zu manipulieren", sagt er. Bisher galt das mTan-Verfahren besonders dann als relativ sicher, wenn es über das Handy läuft und nicht über ein Smartphone, das seinerseits ein kleiner Computer und häufig mit dem PC zu Hause zusammengekoppelt ist. Doch auch die voneinander unabhängigen Systeme lassen sich offensichtlich austricksen, wenn sie getrennt ausspioniert werden. Pauli empfiehlt das derzeit ausgereifteste Verfahren: einen Tan-Generator. Das ist ein kleines Gerät, in das der Kunde bei einer Überweisung die EC-Karte steckt und das dann die Transaktionsnummer erzeugt. Es kostet je nach Bank zehn bis 20 Euro, manche bieten es auch kostenlos an.
Wie ist die Rechtslage?
"Das Prinzip ist, dass Kunden grundsätzlich nicht für Buchungen haften, die sie nicht in Auftrag gegeben haben", sagt Pauli. Die Bank müsse dann den Schaden begleichen. Einschränkungen gibt es, wenn der Kunde fahrlässig gehandelt und zum Beispiel die Pin-Nummer nicht sicher genug aufbewahrt hat oder das Handy verloren gegangen ist. Dann muss er bis 150 Euro mithaften. Manchmal kommt es dabei zu Streit mit der Bank über den Grad der Fahrlässigkeit. Bei grober Fahrlässigkeit muss der Kunde voll haften. Das nahmen Gerichte schon an, wenn Kunden mehrere Tan-Nummern bei einer betrügerischen Webseite eingaben. "Wenn aber Rufnummern wie hier unbemerkt umgeleitet wurden, kann man dem Verbraucher keinen Vorwurf machen", sagt Pauli.