Der letzte Coup der Bankräuber: Sie nutzten eine organisatorische Lücke im als sicher geltenden sogenannten mTAN-Verfahren und bestellten beim Mobilfunkanbieter ihres Opfers eine zweite SIM-Karte auf dessen Handynummer. Damit konnten sie die Transaktionsnummer (TAN), die bei diesem Verfahren als SMS aufs Handy gesendet wird, abfangen. Und weil sie parallel den Computer ihres Opfers ausspioniert und die Zugangsdaten fürs Onlinekonto gestohlen hatten, konnten sie auf Raubzug gehen. Mittlerweile ist die Sicherheitslücke geschlossen. Die Mobilfunkunternehmen prüfen genauer, wer eine neue SIM-Karte bestellt und an welche Adresse sie geht.

Durchschnittlich liegt der Schaden beim Diebstahl per Onlinebanking bei 4000 Euro. Der Kunde muss diesen Schaden meist nicht in dieser Höhe tragen. Im Bürgerlichen Gesetzbuch ist in Paragraf 675v seine Haftung in der Regel auf 150 Euro begrenzt, vorausgesetzt, er hat den Betrug nicht vorsätzlich oder grob fahrlässig ermöglicht. Damit sind Kunden des Onlinebanking aber nicht aus der Verantwortung entlassen. Sie müssen dafür Sorge tragen, dass beispielsweise ihre Zugangsdaten und die Sicherungssysteme nicht leichtfertig von anderen missbraucht werden können. Die Banken ihrerseits haben in den vergangenen Jahren immer wieder neue Verfahren eingeführt, um das Onlinebanking gegen Missbrauch abzusichern. Die wichtigsten sind:

TAN-Verfahren Für jede Aktion beim Onlinebanking braucht der Kunde eine nur einmal verwendbare Transaktionsnummer (TAN). Eine Liste gültiger TANs bekommt er von seiner Bank per Brief geschickt. Verwendete TANs müssen markiert oder durchgestrichen werden, damit man sie nicht ein zweites Mal nutzt. Die Sicherheit ist gering, weil eine beliebige TAN aus der Liste reicht, ein Konto zu plündern.

iTAN-Verfahren Das kleine "i" steht für "indiziert". Der Kunde bekommt wie beim TAN-Verfahren eine Liste. In dieser sind die TANs nummeriert. Bei einer Überweisung gibt die Bank vor, welche Nummer aus der Liste verwendet werden muss. Die Sicherheit ist somit etwas größer als beim TAN-Verfahren.

mTAN-Verfahren "m" steht für "mobil". Die geforderte TAN wird aufs Mobiltelefon gesendet. Der Onlinebanker muss also, bevor er per mTAN sein Onlinekonto nutzen kann, der Bank seine Handynummer mitteilen. Die Sicherheit ist hoch — weil die Kommunikation zwischen Kunde und Bank über zwei voneinander unabhängige Wege läuft. Aber auch bei diesem Verfahren gab es schon Betrugsfälle.

Chip-TAN-Verfahren Dieses Verfahren nutzt eine Chipkarte, die in ein kleines Lesegerät gesteckt werden muss. Das Lesegerät kann dann einen blinkenden Code vom Computerbildschirm ablesen, übersetzt diesen in die Überweisungsdaten und zeigt die erforderliche TAN an. Sicherheit hoch — weil der Onlinebanker nicht nur seine Zugangsdaten kennen, sondern auch im Besitz der richtigen Chipkarte sein muss.

Photo-TAN-Verfahren Nach der Eingabe der Überweisungsdaten erscheint eine Grafik auf dem Bildschirm, die ein Smartphone mit der entsprechenden App der Bank über seine Kamera lesen kann. Auf dem Handy erscheinen Überweisungsdaten und TAN. Sicherheit hoch — weil die Kommunikation über zwei gesicherte Wege läuft: die verschlüsselte Onlineverbindung am PC zur Bank und die App der Bank.

Push-TAN-Verfahren Das funktioniert ebenfalls mit einer speziellen App auf dem Smartphone. Überweisungsdaten werden wie gewohnt eingegeben. Parallel meldet sich der Nutzer in einer App seiner Bank an, die ihm die Transaktionsdaten und die erforderliche TAN anzeigt. Sicherheit hoch — weil ebenfalls über zwei Wege mit der Bank kommuniziert wird und auf beiden Wegen die Daten unabhängig voneinander überprüft werden können.

HBCI-Verfahren Das "Homebanking Computer Interface" setzt auf eine Chipkarte mit einem sogenannten Signierschlüssel, mit dem eine Aktion verschlüsselt "unterschrieben" und damit autorisiert wird. Sicherheit sehr hoch — aber dieses Verfahren ist im privaten Bereich nicht weit verbreitet.