Bielefeld (mol/nw). Der Aufwand wird immer größer: Schon wieder gibt es eine neue Betrugsmasche, die Bankkunden beim Online-Banking verunsichert. "Für diese Masche müssen viele Faktoren zusammenkommen", sagt Christoph Kaleschke, Sprecher der Sparkasse Bielefeld.
"Der Computer muss infiziert worden sein, dann müssen bei dem Konto hohe Verfügungslimits eingetragen sein - was eine Ausnahme ist - und der Telefonanbieter muss unbedacht Daten herausgeben." Dem Sparkassenverband Westfalen-Lippe ist laut Sprecher Volker Willner nicht bekannt, dass es derartige Fälle in der Region gegeben hat.
Bundesweit registrierte die Polizei laut Medienberichten jedoch mindestens sieben Fälle, in denen Konten mit hohen Geldbeträgen durch groß angelegte organisierte Attacken geplündert wurden. In einem Fall hoben die Täter dabei Mitte September 58.000 Euro vom Konto einer Frau ab, in einem anderen Fall Ende August waren es 77.000. Bei drei weiteren Kunden erbeuteten die Täter insgesamt 200.000 Euro.
Nach einer Mitteilung der Gießener Polizei im August hatten die Täter ein Opfer um 75.000 Euro erleichtert, in dem sie Schadsoftware auf dessen Heimrechner installierten, die sich im Anhang einer gefälschten E-Mail seiner Bank befand. Nachdem der Mann die Anlage öffnete, nistete sich das Programm auf dem Rechner ein und ermöglichte den Tätern das Ausspähen von Zugangsdaten fürs Online-Banking.
Nachdem die Täter auf diese Weise das Konto geknackt hatten, nutzten sie die dort für den Versand von Transaktionsnummern per SMS (mTAN) hinterlegte Handynummer, um sich in einem Mobilfunk-Laden eine Ersatz-SIM-Karte zu beschaffen. Sie gaben sich als Besitzer aus und täuschten den Verlust der Originalkarte vor. Damit ging die gesamte Telekommunikation des Geschädigten - einschließlich der mTAN - direkt an die Täter, die damit dessen Konto leerräumen konnten.
Suzana Bakic von "Phone House" in Gütersloh zeigt sich verwundert darüber. "So einfach geht das eigentlich nicht, an eine neue Sim-Karte zu kommen", sagt sie. Je nach Anbieter müsse immer die Kundenkontonummer des Vertrages oder das persönliche Kundenkennwort angegeben werden. "Da reicht nicht mal der Personalausweis."
Die Methode ist anders als die bisher üblichen Hacker-Angriffe auf das mTAN-Verfahren, das unter Experten als eine relativ sichere Methode gilt. Auch dabei infiltrieren Täter normalerweise zunächst den Rechner der Geschädigten und knacken deren Online-Kontozugang. Im Namen der Bank verschicken sie dann per SMS einen Link an den Kunden. Auf dessen Handy wird beim Anklicken ein Spionageprogramm installiert, das den Tätern das Mitlesen der SMS gestattet. So kommen sie dann ebenfalls in den Besitz der mTAN für Transaktionen.
Derartige Angriffe auf das mTAN-Verfahren werden nach Einschätzung des Bundesamts für Sicherheit in der Informationstechnik (BSI) weiter zunehmen. Auch Verbraucherschützer mahnen zur Vorsicht. "Man muss sich über dieses Risiko bewusst sein", sagt Christian Urban, Bankjurist bei der Verbraucherzentrale NRW. Der Vorteil des SMS-Tan-Systems sei, dass dabei die Kommunikationswege auf den Computer und das Handy aufgeteilt würden. "Darum sollte man auch niemals das Smartphone sowohl für das Online-Banking als auch für den SMS-Empfang nutzen."
In den aktuellen Fällen sei es eben gelungen, sowohl den Computer als auch das Handy zu kapern. "Kein System ist vor Betrug gefeit", betont auch Frank Christian Pauli vom Verbraucherzentrale Bundesverband. Verbrauchern, die auf Online-Banking nicht verzichten und möglichst sicher gehen wollen, empfehle er einen sogenannten TAN-Generator. In diese kleinen Geräte stecken Kunden bei einer Überweisung ihre EC-Karte und erzeugen so eine TAN. Wichtigster Schutz für Kunden bleibe ein aktuelles Virenschutz-Programm auf dem Computer - und möglichst auch auf dem Smartphone.