Bonn Hacker gefährden Online-Banking

Bonn · Straftäter infizieren mittlerweile täglich tausendfach die Computer von Bankkunden. Nun wurde ein Schaden von geschätzt rund einer Million Euro verursacht, weil Kriminelle Mobilfunkzugänge der Telekom knackten.

Eine neue Betrugsserie beim Online-Banking verunsichert die Kunden. Bei mehreren Dutzend Kunden haben Straftäter es geschafft, Internetkonten von Bürgern anzugreifen, indem sie ihren Computer ausspionierten und dann mit manipulierten SIM-Karten die versandten Sicherheitscodes (mTan) abgriffen. Der Schaden wird auf mehr als eine Million Euro geschätzt, mindestens eine Staatsanwaltschaft in Bayern ermittelt, bei einem Kunden der Postbank kamen rund 25.000 Euro weg.

Wo liegt das Hauptproblem? Kriminelle und andere Gruppen attackieren zunehmend die Computer von Bürgern und Unternehmen, um sie auszuspionieren oder um die Geräte zu manipulieren. Vor einem Jahr warnte die Deutsche Telekom 45.000 bis 65.000 Kunden im Monat davor, dass ihre Rechner wohl attackiert wurden, aktuell werden bereits 200.000 solche Mails oder Briefe pro Monat versandt. Weil nur ein Teil der Internetzugänge in Deutschland über den Bonner Konzern läuft, werden also sicher mehr als 500.000 Internetzugänge im Monat angegriffen.

Was ist passiert? Zuerst "fischten" die Straftäter vom PC aus die Kontodaten eines Bürgers ab inklusive des Einwahlcodes, den man beim Anmelden eintippt. Gleichzeitig spionierten sie seine Handynummer aus, auf die die mobilen Sicherheitscodes geschickt werden. Dann brachten sie mit einem Trick die Telekom dazu, eine zweite SIM-Karte auf die Mobilfunknummer des Kunden auszustellen. Und dann überwiesen sie in mehreren Tranchen Geld auf mehrere Konten und bestätigten die Zahlung mit mTan-Codes. Wie können sich Kunden schützen? Grundsätzlich muss jeder Mobilfunkkunde wissen: Wenn eine zweite Mobilfunkkarte auf eine Nummer ausgestellt wird, wird dies mit einer SMS auf die erste SIM-Karte bestätigt. Bürger sollten also SMS immer lesen, um zu erfahren, ob möglicherweise eine zweite, faktisch gefälschte SIM-Karte ausgestellt wurde - und wenn das passiert, ist man gewarnt. Viel wichtiger ist, den Computer vor Angriffen zu schützen: Die Telekom aber auch die anderen Internetkonzerne empfehlen Kunden darum dringend, einen aktuellen Virenschutz auf ihrem Rechner zu installieren, Software aktuell zu halten und sich über Phishing-Methoden und weitere Angriffsmöglichkeiten zu informieren. Müssen die Kunden ihre Verluste selber tragen? Davon ist nicht auszugehen. Die Banken erstatten Schäden bei Online-Banking in der Regel, weil sie ein hohes Interesse an der Nutzung von digitalen Überweisungswegen haben, um Personalkosten zu sparen. Voraussetzung ist, dass der Kunde Opfer einer Straftat war.

Ist Banking mit mobilen Codes grundsätzlich unsicher? Eher nein, die Straftäter müssen ja eine zweite SIM-Karte erhalten, um ein Konto knacken zu können. Die Telekom hat bereits erklärt, dass sie die aktuellen Sicherheitslücken geschlossen hat. Händler oder scheinbare Händler konnten nämlich eine SIM-Karte sehr einfach mit einem Anruf aktivieren - das geht nun nicht mehr. Vodafone erklärt gleichzeitig, eine solche Aktivierung von zweiten SIM-Karten wäre nur mit bestimmten Sicherheitscodes möglich. Ist es sicherer, ein Konto mit auf Papier erhaltenen TANs zu verwalten? Nein. Einbrecher könnten solche Zettel finden. Zweitens wird häufig Schadsoftware installiert, die Überweisungen manipulieren kann. Der Nutzer bestätigt also auf dem Bildschirm eine Zahlung auf ein bekanntes Konto, tatsächlich wird der Code missbraucht. Ist der TAN-Generator am sichersten? Ja. Dieses Gerät ist nicht mit dem Internet verbunden und kann nicht manipuliert werden. Für eine Überweisung braucht der Nutzer seinen Computer und seine EC-Karte. Diese wird in den Generator geschoben. Nach dem Ausfüllen der Überweisung im Browser zeigt das Online-Banking einen flimmernden Code an. Vor diesen hält der Nutzer seinen TAN-Generator. Dieser liest dann die Überweisungsdaten aus und zeigt diese dem Nutzer auf dem Generator an, bevor die eigentliche TAN generiert wird. Der Clou: Der Generator zeigt immer an, für welche Überweisung diese TAN tatsächlich eingesetzt werden soll. Eine manipulierte Überweisung würde auffallen.

(RP)
Meistgelesen
Neueste Artikel
Zum Thema
Aus dem Ressort