Deutschland hat in den vergangenen Monaten eine Betrugswelle beim Onlinebanking erlebt. Allein die R+V Versicherung registrierte seit Anfang des Jahres fast 300 Fälle, die sich auf einen Schaden von fünf Millionen Euro summieren. Im gleichen Zeitraum des Vorjahres war es lediglich eine Million Euro gewesen. Diese Zahlen bestätigte die R+V. Zunächst hatte das Handelsblatt darüber berichtet.
Die Versicherungsgesellschaft gehört zum genossenschaftlichen Finanzverbund, bei ihr können sich aber auch Sparkassen und Privatbanken gegen Betrug beim Onlinebanking versichern. In einem Schreiben an die Volks- und Raiffeisenbanken warnte die R+V jüngst vor einer "drastischen Zunahme der Schäden". Es komme derzeit zu betrügerischen Überweisungen auf Konten von Direktbanken, "insbesondere bei Finanz-Start-ups". Damit sind Institute wie N26 gemeint, bei denen Kunden ihr Konto per Smartphone verwalten können.
Die Masche läuft im Detail so ab: Die Betrüger verschaffen sich Zugang zum Online-Banking des Kunden einer Volksbank, Sparkasse oder Privatbank. "Dabei missbrauchen sie insbesondere das mobile Tan-Verfahren", heißt es bei R+V. Nutzer dieses Verfahrens geben am Computer eine Überweisung in Auftrag, anschließend erhalten sie per SMS eine Transaktionsnummer (Tan) aufs Handy. Erst wenn eine Überweisung mit dieser Nummer bestätigt wird, transferiert die Bank das Geld.
Das SMS-Tan-Verfahren, auch mTan-Verfahren genannt, ist schon länger umstritten. Das liegt auch daran, dass die Transaktionsnummern, die auf diesem Weg zu den Bankkunden gelangen, nicht verschlüsselt übertragen werden. "Die SMS ist eine alte Technologie, deshalb lassen sich die Nachrichten vergleichsweise leicht von Betrügern abfangen", sagt der IT-Experte Vincent Haupert. Um Phishing-Angriffe zu vermeiden, empfiehlt die Verbraucherzentrale Sachsen, niemals auf Links zu Bankwebseiten in E-Mails zu klicken und hellhörig zu werden, "wenn sensible Daten wie Passwörter, PINs, Bankverbindung oder Kreditkartennummern abgefragt werden". Eine Patentlösung gibt es allerdings nicht. Die Zukunft des Verfahrens ist derzeit ohnehin offen, da fraglich ist, ob die SMS-Tan einer neuen verschärften EU-Regelung zur Authentifizierung genügt, die ab September gilt. Aus diesem Grund stellen derzeit bereits einige Banken und Sparkassen das Verfahren ein oder empfehlen ihren Kunden zumindest, auf andere Methoden umzusteigen. Dazu gehört die Push-Tan, bei der Bankkunden über eine App und mit ihrem Passwort und Fingerabdruck eine Tan erzeugen. Beim Photo-Tan-Verfahren wird mithilfe einer App oder eines Lesegeräts eine Tan generiert, indem der Kunde einen Barcode auf dem PC abscannt. "Am sichersten ist die Chip-Tan", sagt Experte Haupert. Bei diesem Verfahren erschaffen Verbraucher mithilfe der Bankkarte und einem taschenrechnerähnlichen Gerät für jede Transaktion eine neue Tan. Die Tan-Liste hingegen gibt es wegen der neuen EU-Regelung spätestens ab September nicht mehr. Felicitas Wilke
Um in das Online-Banking des Kunden zu kommen, muss der Betrüger zunächst dessen Passwort knacken. Das geschieht häufig über sogenanntes Phishing, bei dem der Kunde nach Aufforderung in einer anonymen Mail auf einen Link klickt, über den eine Schadsoftware auf dem Computer installiert. Diese späht seinen Online-Zugang aus. Zudem knackt der Betrüger das Handy des Kunden. In der Vergangenheit kam es öfter vor, dass Täter bei der Mobilfunkgesellschaft unter falschem Namen eine neue Sim-Karte bestellten. Danach bekamen sie die M-Tan dann auf ihr eigenes Handy. Teilweise operieren Betrüger inzwischen aber auch hier mit Schadsoftware, die Handynutzer per SMS oder E-Mail auf ihrem Gerät installieren.
In einem zweiten Schritt eröffnen die Täter unter falschem Namen ein Konto bei Online- und Smartphone-Banken wie N26 oder Fidor. Auf dieses überweisen sie das Geld vom geknackten Online-Konto des Kunden. Die Fintech-Unternehmen verweisen darauf, in den vergangenen Monaten viel getan zu haben, um Kontoeröffnungen unter falschem Namen und mit betrügerischen Absichten zu vermeiden. Bei N26 heißt es, dass man "mehrere Sicherheitsstufen" in den Prozess einbinde, mit dem sich Kunden online beim Eröffnen eines Kontos legitimieren müssen. "Alle unsere Verifikationsverfahren entsprechen den geltenden gesetzlichen Bestimmungen", teilt das Institut mit.
Betrüger können Sicherheitsmaßnahmen der Banken offenbar immer noch umgehen
Die Fidor Bank bestätigt, "wie alle anderen Banken" gelegentlich von solchen Betrugsfällen betroffen zu sein. Allerdings habe man die Kontroll- und Überwachungsmaßnahmen in den vergangenen zwei Jahren "laufend intensiv verbessert". Mehr als 99 Prozent der Kontoeröffnungen seien bereits frei von "missbräuchlichen Mustern" - als Ziel nennt die Bank 100 Prozent. So sehr die Anbieter auch beteuern, wie sehr sie auf Sicherheit setzen: Die aktuellen Zahlen der R+V zeigen, dass Betrüger die Maßnahmen der Online-Banken offenbar immer noch umgehen können.
Eine Frau arbeitet in der Öffentlichkeit an ihrem Laptop. Aber wer liest mit, wenn sie online geht?
(Foto: Christin Hume/Unsplash)Doch selbst wenn Smartphone-Banken anfälliger für betrügerische Kontoeröffnungen sind, gehört zu der aktuellen Betrugswelle noch die andere Seite: Um überhaupt Geld auf ein unter falschem Namen eröffnetes Konto transferieren zu können, müssen sich die Betrüger Zugang zu den Kontodaten ihrer Opfer verschaffen - und deren SMS abfangen. "Damit haben N26 und die anderen Online-Banken nichts zu tun", sagt der IT-Sicherheitsforscher Vincent Haupert. Er findet, dass die VR-Banken und andere Geldinstitute auch vor ihrer eigenen Tür kehren müssten. Wenn sie nun, wie bei einigen Volks- und Raiffeisenbanken geschehen, sämtliche Überweisungen auf N26-Konten doppelt überprüfen, spreche das auch für die "eigene Hilflosigkeit, das M-Tan-Verfahren nicht sicher gestalten zu können", sagt Haupert.
