Banken: Betrüger schlagen immer öfter beim Online-Banking zu

Deutschland hat in den vergangenen Monaten eine Betrugswelle beim Onlinebanking erlebt. Allein die R+V Versicherung registrierte seit Anfang des Jahres fast 300 Fälle, die sich auf einen Schaden von fünf Millionen Euro summieren. Im gleichen Zeitraum des Vorjahres war es lediglich eine Million Euro gewesen. Diese Zahlen bestätigte die R+V. Zunächst hatte das Handelsblatt darüber berichtet.

Die Versicherungsgesellschaft gehört zum genossenschaftlichen Finanzverbund, bei ihr können sich aber auch Sparkassen und Privatbanken gegen Betrug beim Onlinebanking versichern. In einem Schreiben an die Volks- und Raiffeisenbanken warnte die R+V jüngst vor einer "drastischen Zunahme der Schäden". Es komme derzeit zu betrügerischen Überweisungen auf Konten von Direktbanken, "insbesondere bei Finanz-Start-ups". Damit sind Institute wie N26 gemeint, bei denen Kunden ihr Konto per Smartphone verwalten können.

Die Masche läuft im Detail so ab: Die Betrüger verschaffen sich Zugang zum Online-Banking des Kunden einer Volksbank, Sparkasse oder Privatbank. "Dabei missbrauchen sie insbesondere das mobile Tan-Verfahren", heißt es bei R+V. Nutzer dieses Verfahrens geben am Computer eine Überweisung in Auftrag, anschließend erhalten sie per SMS eine Transaktionsnummer (Tan) aufs Handy. Erst wenn eine Überweisung mit dieser Nummer bestätigt wird, transferiert die Bank das Geld.

Um in das Online-Banking des Kunden zu kommen, muss der Betrüger zunächst dessen Passwort knacken. Das geschieht häufig über sogenanntes Phishing, bei dem der Kunde nach Aufforderung in einer anonymen Mail auf einen Link klickt, über den eine Schadsoftware auf dem Computer installiert. Diese späht seinen Online-Zugang aus. Zudem knackt der Betrüger das Handy des Kunden. In der Vergangenheit kam es öfter vor, dass Täter bei der Mobilfunkgesellschaft unter falschem Namen eine neue Sim-Karte bestellten. Danach bekamen sie die M-Tan dann auf ihr eigenes Handy. Teilweise operieren Betrüger inzwischen aber auch hier mit Schadsoftware, die Handynutzer per SMS oder E-Mail auf ihrem Gerät installieren.

In einem zweiten Schritt eröffnen die Täter unter falschem Namen ein Konto bei Online- und Smartphone-Banken wie N26 oder Fidor. Auf dieses überweisen sie das Geld vom geknackten Online-Konto des Kunden. Die Fintech-Unternehmen verweisen darauf, in den vergangenen Monaten viel getan zu haben, um Kontoeröffnungen unter falschem Namen und mit betrügerischen Absichten zu vermeiden. Bei N26 heißt es, dass man "mehrere Sicherheitsstufen" in den Prozess einbinde, mit dem sich Kunden online beim Eröffnen eines Kontos legitimieren müssen. "Alle unsere Verifikationsverfahren entsprechen den geltenden gesetzlichen Bestimmungen", teilt das Institut mit.

Betrüger können Sicherheitsmaßnahmen der Banken offenbar immer noch umgehen

Die Fidor Bank bestätigt, "wie alle anderen Banken" gelegentlich von solchen Betrugsfällen betroffen zu sein. Allerdings habe man die Kontroll- und Überwachungsmaßnahmen in den vergangenen zwei Jahren "laufend intensiv verbessert". Mehr als 99 Prozent der Kontoeröffnungen seien bereits frei von "missbräuchlichen Mustern" - als Ziel nennt die Bank 100 Prozent. So sehr die Anbieter auch beteuern, wie sehr sie auf Sicherheit setzen: Die aktuellen Zahlen der R+V zeigen, dass Betrüger die Maßnahmen der Online-Banken offenbar immer noch umgehen können.

Doch selbst wenn Smartphone-Banken anfälliger für betrügerische Kontoeröffnungen sind, gehört zu der aktuellen Betrugswelle noch die andere Seite: Um überhaupt Geld auf ein unter falschem Namen eröffnetes Konto transferieren zu können, müssen sich die Betrüger Zugang zu den Kontodaten ihrer Opfer verschaffen - und deren SMS abfangen. "Damit haben N26 und die anderen Online-Banken nichts zu tun", sagt der IT-Sicherheitsforscher Vincent Haupert. Er findet, dass die VR-Banken und andere Geldinstitute auch vor ihrer eigenen Tür kehren müssten. Wenn sie nun, wie bei einigen Volks- und Raiffeisenbanken geschehen, sämtliche Überweisungen auf N26-Konten doppelt überprüfen, spreche das auch für die "eigene Hilflosigkeit, das M-Tan-Verfahren nicht sicher gestalten zu können", sagt Haupert.