In der Sepa-Falle Münchner wird Opfer neuer Betrüger-Masche

Eine Bande benutzt das neue Sepa-Verfahren in München für Betrügereien: Unter dem Vorwand einer Konto-Umstellung erleichtern sie einen Geschäftsmann um 25.000 Euro. Dabei wählten sie eine Masche, die die Polizei bisher nicht kannte.

Von Susi Wimmer

Die Täter werden immer kreativer, sagt Christoph Büchele. Er muss es wissen, denn Büchele ist Kriminaloberkommissar und der Beweis dafür, dass auch die Polizei gelehriger wird. Als Sachbearbeiter "im Cyber-Fachdezernat im Aufbau", einer neuen Fachstelle im Polizeipräsidium München, beschäftigt er sich mit Kriminalität im Internet. Gerade ist Büchele bei seiner Arbeit auf eine neue Masche der Betrüger gestoßen. "Mir kommt das immer vor, wie in einem Spiegelkabinett: Die Opfer werden so verwirrt, bis sie das machen, was sie eigentlich nie tun sollten." In jenem speziellen Fall war es die Herausgabe der TAN-Nummer, die für das Online-Banking benötigt wird. Lehrgeld des Opfers: fast 25 000 Euro.

Eines muss man den Kriminellen im Netz lassen: Sie gehen mit der Zeit. Die laufende Sepa-Umstellung bot einer Bande Raum für neue Betrügereien. Letztendlich fanden sie in einem Münchner ein gutgläubiges Opfer. Der Mann ist 64 und Firmeninhaber und er erledigt seine Online-Bankgeschäfte mit Hilfe eines TAN-Generators. In dieses kleine Gerät steckt der Anwender seine EC-Karte, dann hält er es vor den Computerschirm und dort wird dann eine Transaktionsnummer für die Onlineüberweisung generiert. Quasi als zusätzliche Sicherheit. So weit so gut.

Anfang Februar erhielt der Münchner eine E-Mail, die offenbar von seinem Bankhaus in Berlin stammte. Darin bat die Bank, er möge doch für die Sepa-Umstellung auf einen Link klicken und dort seine Kontodaten angeben. Der 64-Jährige gab artig Name, Kontonummer, Bankleitzahl und auch seine PIN an und drückte die Sendetaste. Am anderen Ende der Leitung freuten sich die Betrüger, dass der Münchner auf die gefälschte Mail hereingefallen war. Sie hatten nun alle seine Zugangsdaten zum Online-Banking.

24 900 Euro nach Spanien überwiesen

Was dann folgte, war ein geschäftsmäßiger Anruf einer Dame, die sich als Angestellte des Berliner Bankhauses ausgab. Sie behauptete, dass auch der TAN-Generator des Kunden auf Sepa umgestellt werden müsse. Dazu solle er bitte seine EC-Karte in das Kästchen stecken und einen Startcode eingeben. Tatsächlich allerdings tippte der Münchner die Nummer eines spanischen Bankkontos ein. Die Täter hatten sich während des Anrufs in das Online-Banksystem des Münchners eingewählt und er generierte mit seinem TAN-Generator gerade eine Transaktionsnummer für die Täter. "Denn man kann mit diesem Generator auch Überweisungen tätigen, wenn der eigene Computer nicht eingeschaltet ist", erklärt Büchele. Erst Tage später stellte der 64-Jährige fest, dass er den Betrügern 24 900 Euro nach Spanien überwiesen hatte.

"Natürlich versuchen wir, über das Konto an die Täter zu gelangen", sagt Christoph Büchele. Aber die sind gewitzt genug, um oft ahnungslose Agenten zwischenzuschalten, die ihr Konto für die Aktion zur Verfügung stellen. So eine Masche, sagt Büchele, ist ihm in seiner bisherigen Cybercrime-Tätigkeit noch nicht untergekommen. Zur Warnung sagt er, dass Banken nie persönliche Daten per Telefon oder E-Mail abfragen. Und dass ein TAN-Generator nie auf Sepa umgestellt werden muss.

Ob der Münchner auf dem Schaden sitzen bleibt, ist abzuwarten. "Es gibt einige Urteile zu diesen Themen", erklärt der Cyber-Cop. "Kunden haften nur bei grober Fahrlässigkeit." Wie weit allerdings der Rahmen der Fahrlässigkeit gesteckt wird, bleibt der Kreativität eines Richters überlassen.