Auch das mTAN-Verfahren wackelt

Foto: Thomas Koehler

Dortmund..  Es ist kein Massenphänomen, aber es kann jeden treffen. Zumindest, wenn er seine Bankgeschäfte online erledigt und dafür das so genannte Mobile-TAN-System (mTAN) nutzt. Wieder haben Kriminelle das Verfahren benutzt, um fremden Konten leer zu räumen. Die Schadenshöhe ist knapp sechsstellig, eine der Spuren führt nach Hagen.

Die unangenehme Überraschung kam beim Blick auf den Kontoauszug. 28 000 Euro hatten Unbekannte im Juli dieses Jahres vom Konto einer 48-Jährigen aus Lübeck abgebucht und auf das Konto eines Empfängers mit russisch klingendem Namen überwiesen. Einem Kollegen ihres Mannes fehlten 12 000 Euro. Beide Opfer hatten zwei Dinge gemeinsam. Sie waren Kunden der Postbank und nutzten zum mobilen Telefonieren den Anbieter O2. Genau wie der Herforder Arzt, der vor wenigen Woche auf die gleiche Art und Weise um knapp 40 000 Euro erleichtert wurde.

Dabei galt die mTAN im Onlinebanking als besonders sicher, weil dafür zwei voneinander getrennte Systeme nötig sind – Computer und Handy. Wer als Bankkunde am Computer eine Überweisung in Auftrag gibt, muss dabei eine mehrstellige Transaktionsnummer, die sogenannte TAN-Nummer eingeben, die er zuvor per SMS auf sein Mobiltelefon bekommen hat. Doch Menschen mit hoher krimineller Energie und etwas technischem Wissen kann so etwas schon länger nicht mehr stoppen.

Sie infizieren den Computer via E-Mail mit einem Trojaner, der nach und nach die Bankdaten ausspioniert und heimlich an den Angreifer sendet. Dann bestellen sie einfach beim Mobilfunkanbieter eine zusätzliche SIM-Karte im Namen des betroffenen Bankkunden. So lassen sich die Kurznachrichten mit der Transaktionsnummer abfangen und für Überweisungen nutzen.

Nur mit Vorlage des Ausweises?

Das ist ohne Vorlage des Personalausweises angeblich unmöglich, geht aber offenbar dennoch. Im Fall des Mediziners in einem Kölner Telefon-Shop, bei den jüngsten Betrügereien angeblich im Saturn-Markt in Hagen. Was sich weder der Marktleiter noch ein Sprecher von O2 erklären können. „Wir gehen der Sache nach.“ Die Sicherheitsmaßnahmen seien nach ähnlichen Vorfällen im vergangenen Herbst – damals waren T-Mobile und E-Plus-Kunden betroffen – verstärkt worden. „Und wir kontrollieren ständig, ob sie eingehalten werden.“ Und er wolle den Schwarzen Peter nicht abgeben, sagt der O2-Sprecher, „aber Ausgangspunkt der Gefahr ist der PC der Opfer. Wenn der geschützt ist, kann nicht viel passieren.“

Wer sich darauf nicht verlassen will, dem raten Experten wie Frank-Christian Pauli, Bankenexperte des Verbraucherzentrale Bundesverbands (vzbv), zu einem TAN-Generator, den viele Geldinstitute mittlerweile anbieten. Dabei erhält der Kunde ein Gerät, das für jede Transaktion die entsprechende Nummer erstellt. Der Generator kostet zwar zehn bis 20 Euro in der Anschaffung, gilt bisher aber als extrem sicher.

Eine Lösung für die Ewigkeit ist das Gerät aber nicht. Dass auch dieses Verfahren angegriffen wird, hat das Bundeskriminalamt bereits vor einigen Wochen gewarnt, sei nur „eine Frage der Zeit“.

 
 

EURE FAVORITEN