Datensicherheit im Internet: Ein hoher Preis fürs schnelle Konto
Onlinebetrüger werden immer raffinierter und stehlen gezielt immer höhere Beträge. Auch beim mTAN-Verfahren gibt es mittlerweile Betrugsfälle.
Nur Bares ist Wahres? Glänzt schön, ist aber irgendwie unhandlich. Bild: dpa
BERLIN taz | Plötzlich ist das Geld weg. Alles. Knapp 80.000 Euro von insgesamt drei Konten bei derselben Bank, sämtliche Dispo-Rahmen bis zum Anschlag ausgereizt. Geld, das Angelica Meran* gerade auf diese Konten überwiesen hatte. Es sollte in ein Bauprojekt fließen, Holz, Fensterrahmen, Bodenplatten für ein kleines Häuschen hinten im Garten.
Es ist der Anruf eines Postbankmitarbeiters, der Meran am 17. September aus der geordneten Welt herausholt. Eine geschäftige Stimme, er stellt sich vor, erklärt, ihre Konten seien offenbar einem Angriff zum Opfer gefallen, das Geld sei weg.
Meran sitzt in ihrem Arbeitszimmer, ein kleines Reihenhaus in Berlin. Vor ihr auf dem Bildschirm der Kontoauszug vom Tag des Geschehens: neun Abbuchungen, erst von ihrem Tagesgeldkonto auf das Girokonto, dann vom Girokonto weg. Reihen von Zahlen, die auf der Website der Bank in Rot erscheinen, mit einem Minus davor.
Knapp 10.000 Euro die höchsten Beträge. Phishing heißt die Betrugsform – eine Mischung aus den englischen Wörtern für fischen und Passwort. Betrüger versuchen über gefälschte Websites oder E-Mails an persönliche Daten von Nutzern heranzukommen, um damit beispielsweise Bankkonten zu plündern.
Meran ist keine Frau, der man Leichtgläubigkeit unterstellen wollte oder Naivität im Umgang mit Technik. Die Wissenschaftlerin hat sich genau überlegt, dass sie, wenn sie Onlinebanking macht, auch ein sicheres Verfahren nutzen will.
Lange hat sie einen externen TAN-Generator verwendet, und als der ihrer beruflichen Pendelei wegen zu umständlich wurde, auf das mTAN-Verfahren umgestellt. Das m steht für mobil, weil dem Nutzer eine TAN auf das Mobiltelefon, an eine vorher angegebene Nummer geschickt wird. Das soll verhindern, dass Dritte die Überweisung ausführen.
Wie hat sie sich infiziert?
Bei Angelica Meran lief es fast klassisch: Als sie sich eines Tages bei ihrer Bank einloggen wollte, erschien ein Hinweis auf eine neue Sicherheitssoftware für das Handy, man benötige dafür ihre Telefonnummer. Meran gab sie an und wusste nicht, dass es damit schon zu spät war: Die Website gehörte nicht der Bank, sondern war ein täuschend echter Nachbau.
Wie sie sich den Trojaner eingefangen hatte, der dafür verantwortlich war – das weiß Meran bis heute nicht. Einmal auf einen Anhang oder Link in einer vermeintlichen Bank-E-Mail geklickt? Einen infizierten USB-Stick in den Rechner geschoben? Auf der falschen Website gesurft? Meran zuckt die Schultern.
Auch wie die Betrüger an die TANs gekommen sind, ist unklar. Teilweise bestellen sie beim Mobilfunkanbieter eine zweite SIM-Karte – und konfigurieren sie so, dass SMS nicht mehr an den Bankkunden, sondern an die Betrüger selbst gehen. Das dürfte bei Meran nicht passiert sein – ihr Mobilfunkanbieter bietet gar keine zweite SIM-Karte an.
„Das Phishing hat heute schon eine ganz andere Qualität als früher“, sagt Sebastian Tiesler. Der 43-Jährige, seit elf Jahren beim Unternehmen Star Finanz, das unter anderem die App für Sparkassenkunden entwickelt, hat schon viele Sicherheitsmechanismen kommen und gehen sehen.
Er sagt: „Solange nur ein Kunde darauf reinfällt, hat sich der ganze Aufwand für die Kriminellen gelohnt.“ Mit Aufwand meint er: einen Trojaner programmieren, Mails verschicken, eine falsche Seite bauen und sich gegebenenfalls um eine zweite SIM-Karte kümmern.
Es werden gezielt Konten mit hohen Summen gewählt
Helga Koch, Leiterin der Onlinefiliale der GLS-Bank, analysiert die Phishingwelle beim mTAN-Verfahren so: „Die Betrüger suchen sich mittlerweile gezielt Kunden mit hohen Beträgen auf dem Konto.“ Genau wie bei Meran.
Das Geld der Postbank-Kundin ist nun bei Krista Zaltite und Dino Murri. Vielmehr: Es ist bei den Menschen, die auf diese Namen irgendwo auf der Welt ein Konto eröffnet und das Geld von Merans Konto dorthin überwiesen haben.
Die Namen müssen nichts heißen, denn nicht überall braucht man Ausweis, Pass oder Postident, um sich ein neues Konto zu organisieren. Auf dem lokalen Polizeirevier nehmen die Beamten Merans Anzeige auf. Viel Hoffnung, die Täter zu finden, machen sie ihr nicht.
Für Meran beginnt der Albtraum Leben ohne Geld. Miete, Telefon, Supermarkt? Immer wieder steht sie vor dem Automaten, der ihr zwar die Karte, aber kein Bares ausspuckt. Meran muss sich Geld leihen, von Freunden, von der Familie.
„Die Beweislast trägt die Bank“
Und sie kann nicht einmal sagen: Nächsten Monat bekommt ihr es zurück. Denn sie weiß nicht, wann und ob sie das verschwundene Geld je wiedersehen wird. Ihre Bank lässt sich Zeit mit den Nachforschungen.
„Die Beweislast trägt die Bank“, sagt Markus Feck, Finanzjurist bei der Verbraucherzentrale Nordrhein-Westfalen. Sie muss beweisen, dass der Kunde etwa keinen Virenscanner genutzt oder leichtfertig einen infizierten Anhang einer E-Mail geöffnet hat.
Die Verbraucherzentrale betreibt das sogenannte Phishing-Radar – eine Seite, auf der sie von Verbrauchern gemeldete Phishing-Mails dokumentiert. Die zeigt: Die Zeiten, in denen die Mails in miserablem Deutsch mit haufenweise Rechtschreibfehlern verfasst wurden, sind vorbei. Die Schreiben lesen sich flüssig, vielleicht etwas gestelzt.
„Ihr Konto entspricht nicht den aktuellen Anforderungen und muss deshalb durch eine Datenabgleichung aktualisiert werden“, heißt es etwa in einer Mail vom Oktober 2013. Angeblich soll sie von der Postbank stammen, angegeben ist aber eine frei erfundene Straße in Kiel.
Der Schaden der Banken bleibt geheim
Wie hoch der Schaden ist – keine Zahlen. Natürlich haben die Banken kein Interesse daran, dass die Kunden das Vertrauen ins Onlinebanking verlieren. Denn sie nehmen der Bank damit einen guten Teil der Arbeit – und damit Kosten – ab.
Nicht umsonst müssen Kunden für reine Onlinekonten häufig weniger oder keine Kontoführungsgebühren zahlen. Doch der Schaden, den die Banken haben, weil sie ihren Kunden unbefugt abgebuchtes Geld erstatten, scheint deutlich geringer zu sein als die Einsparungen durch das Onlinebanking.
Auch das Geld von Meran hat die Bank schließlich erstattet. Am 31. Oktober werden die Beträge wieder gutgeschrieben, rückwirkend. „Eine Kulanzerstattung“, betont eine Sprecherin der Postbank. Welche Kriterien dazu führten, dass Meran das Geld wiederbekommen hat – das hält die Bank geheim. Bloß keine Aussagen, auf die sich andere Betroffene berufen könnten.
Meran macht immer noch Onlinebanking. Sie hat die Festplatte ihres Computers neu formatiert und alle Programme neu installiert. Der Trojaner ist weg. Die Bauchschmerzen bleiben.
*Name geändert
