Wie sicher ist Online-Banking? Bankkonto leergeräumt trotz Mtans

MÜNCHEN Die Kombination schien besonders sicher: Um mit per Handy verschickten mobilen Transaktionsnummern (Mtans) ein Online-Konto leerzuräumen, müssen Diebe den Computer und das Handy des Opfers knacken. Jüngste Betrugsfälle zeigen allerdings, wie einfach das geht. Mindestens sieben Mal waren die Cyber-Gangster erfolgreich, Beträge zwischen 50000 und 80000 Euro verschwanden von den Konten.

Der Betrug läuft in drei Schritten ab: Zunächst erhält das Opfer eine gefälschte Mail seiner Online-Bank, die ihn dazu auffordert, einen Dateianhang zu öffnen. Tut der Kunde das, lädt er sich ohne es zu merken einen „Trojaner“ auf seinen Rechner, ein Spionageprogramm. Manchmal infiziert sich der Computer auch über den Besuch einer scheinbar harmlosen Website. Die Schad-Software gibt die Zugangsdaten zum Online-Banking weiter. Sie verrät auch die Mobilfunk-Verbindung und die Nummer für den Versand von Mtans.

Jetzt kann Schritt zwei folgen, der das Handy unter Kontrolle bringt. Dazu versuchten Betrüger bisher den gleichen Trick ein zweites Mal: Sie verschickten eine SMS im Namen der Bank mit einem Link. Wurde der angeklickt, suchte eine weitere Spionagesoftware das Handy heim. Wie die jüngsten Fälle zeigen, ist die abermalige Mitarbeit des Opfers jetzt gar nicht mehr nötig. Florian Glatzner, Referent beim Bundesverband der Verbraucherzentrale: „Die Betrüger konnten sich in den aktuellen Fällen einfach beim Mobilfunkanbieter eine zusätzliche Sim-Karte im Namen des betroffenen Bankkunden bestellen“, erklärt der Verbraucherschützer. Ein Fall von Identitätsdiebstahl. Mit der Folge, dass ab dann alle für den Kunden bestimmten SMS auch an die Betrüger gehen, darunter die Mtan-Nummern.

Schritt Nummer drei: Mit den Zugangsdaten zum Konto und den Handy-Mtans räumen die Betrüger das Konto ab, die Summe wandert auf ein Auslandskonto oder ist schon abgehoben, bevor Anzeige eingeht. Oft assistieren dabei Jobsuchende, die über Mails geködert werden „schnell online Geld verdienen“. Warnung: Geldwäsche ist strafbar.

Eigentlich war das Mtan-Verfahren von deutschen Banken 2011 eingeführt worden, um Onlinebanking sicherer zu machen. Davor hatten Banken an Kunden, die ihr Konto online verwalten wollten, ausschließlich gedruckte Listen mit Tan-Nummern verschickt. Die gedruckten Tan-Listen haben allerdings Nachteile: Sie werden oft gemeinsam mit Kontodaten und Passwort aufbewahrt, oder auf dem Laptop oder Tablet gespeichert, damit ihr Besitzer auch unterwegs Geld überweisen kann.

Das neue Verfahren galt bisher als sicherer, weil davon ausgegangen wurde, dass Gauner nicht so leicht beide Systeme unter Kontrolle brächten, Handy und Computer. Wer als Bankkunde am Computer eine Überweisung in Auftrag gibt, muss für das Mtan-Verfahren einen Sicherheitscheck bestehen. Dabei wird eine mehrstellige Transaktionsnummer, die Tan-Nummer, per SMS auf das Handy des Kunden geschickt. Das Gerät muss bei der Bank registriert sein. Der Kunde gibt den Code anschließend im Onlinebanking-Menü seines Browsers ein, um die Echtheit des Auftrags zu bestätigen.

Es habe schon zuvor Angriffe auf das Mtan-Verfahren gegeben, die jüngsten Fälle zeigten allerdings eine neue Qualität, sagt Verbraucherschützer Glatzner. Dass ein solch simpler Trick funktioniere, weise auf völlig unzureichende Sicherheitsmaßnahmen seitens der Telefonanbieter hin. Bisherige Schutzvorkehrungen, wie beispielsweise das für das Mtan-Verfahren benutzte Handy nicht mit dem Computer zu vernetzen, liefen angesichts der neuesten Meldungen ins Leere.

Mehrere Geschädigte sind Kunden der Telekom. Die weist zwar darauf hin, dass der Diebstahl nur möglich gewesen sei, weil die Betrüger am gehackten Computer sensible Informationen wie Bankverbindungen oder Kundenadressen auslesen konnten. Sie musste allerdings einräumen, dass Kunden bisher von der Bestellung einer weiteren Sim-Karte nicht informiert wurden. Das habe die Telekom nun geändert: Wer eine neue Karte bestellt, kann sie nur noch an die bei Vertragsabschluss festgelegte Kundenadresse liefern lassen. Zusätzlich schickt der Betreiber eine Info-SMS an die Haupt-Sim der Kunden, sobald der Bestellauftrag für eine zweite Sim-Karte eingeht.

Für den Verbraucherschützer Glatzner eine Mindestlösung: „Das hätte schon viel früher passieren müssen.“ Das Mtan-Verfahren könne er grundsätzlich nicht empfehlen. Denjenigen, die nicht aufs Onlinebanking verzichten wollen, rät er auf das sogenannte Chip-Tan-Verfahren auszuweichen. Dazu ist ein kleines externes Gerät nötig, das sich Kunden meist selbst kaufen müssen. Darin wird daheim vor dem Computer die Bankkarte geschoben. Dann wird eine Tan erzeugt, über ein mehrstufiges Verfahren wird die Transaktion mit der Bank abgewickelt. „Der Chip-Generator kostet Geld, aber das ist gut investiert“, sagt Glatzner. Auch bei der Computerzeitschrift c’t gilt das Verfahren gilt als das sicherste – derzeit. Es gibt allerdings noch eine Reihe anderer Vorsichtsmaßnahmen, mit denen sich Kunden schützen können. Darauf weist der Präventionsexperte der Kripo Andreas Mayer hin. Die gute Nachricht: Sie sind in vielen fällen kostenlos (siehe unten). J.Riehl

 Sieben Regeln für mehr Sicherheit im Netz

Angst vor Viren, Trojanern, anderer Schadsoftware? So schützen Sie sich.

Finger weg von Anhängen. Niemals an Mails angehängte Dateien öffnen, deren Inhalt Sie nicht kennen. Über die Dateien gelangen Schädlinge besonders leicht auf ihren Computer oder Ihr Handy.

Software aktualisieren. Das gilt für kostenlosen Anitiviren-Schutz wie Avast oder AntiVir 2014. „Ganz brauchbarer Grundschutz“, urteilt Jürgen Schmidt von c’t über die Programme. Er mahnt außerdem: . „Sicherheits-Updates für das Betriebssystem einspielen!“

Handy-Einstellungen: „Installieren von Software aus unbekannten Quellen“ abgeschaltet lassen.

Sichere Leitung. Beim Online-Banking auf das Vorhängeschloss-Symbol vor der Webadresse und https// zu erkennen.

Diskretion wahren. Niemals PINs oder Passwörter am Telefon oder per Mail preisgeben, auch nicht gegenüber Bankmitarbeitern oder der Polizei. Ordnung wahren. Kontounterlagen, Passwort und TANs getrennt voneinander aufbewahren, am besten Passwort verschlüsseln.

Aufmerksam sein. Regelmäßig die Kontobewegungen prüfen, alles Verdächtige sofort der Bank melden. So machen Sie Langfingern das Leben schwer. Die Vorsicht hat einen zweiten Vorteil: Wird man trotz aller Vorsicht Opfer, ersetzt die Bank in der Regel kulant den Schaden. Aber eben nur, wenn er umgehend gemeldet wird und keine grobe Fahrlässigkeit vorliegt - also die TAN-Liste nicht am Pinbrett über dem PC hängt - mit dem Passwort darauf. J. Riehl

 

2 Kommentare

Kommentieren

  1. null