Geldwäscher wider Willen

Online-Banking sei zu unsicher, heißt es oft. Das Konto kann übers Netz geplündert werden – und wer nicht aufpasst, gerät in die Fänge digitaler Bankräuber und wird ungewollt zu ihrem Komplizen

VON DIETER GRÖNLING

Bankgeschäfte über das Internet seien unsicher, wird immer wieder behauptet. Man kann ja nie wissen, ob irgendwo einer die Leitung anzapft oder ob ein böser Virus die geheimen Zugangsdaten ausspäht und „daheim“ auf einem dubiosen Server abliefert. Zu hoch sei die Gefahr, irgendwelchen betrügerischen Machenschaften in die Falle zu gehen. Also verzichten mehr als die Hälfte aller Internetnutzer auf den Komfort und machen sich lieber auf den Weg zu ihrer Bankfiliale, um dort Überweisungen auszufüllen oder Daueraufträge einzurichten.

Überfall mit Skimaske

Doch was kann dabei alles passieren? Es beginnt doch schon mal damit, dass man gleich nach Verlassen der Wohnung die Treppe herunterfallen kann und sich den Knöchel bricht. Auf dem Zebrastreifen kann man selbst dann überfahren werden, wenn die Ampel Grün zeigt. Mit dem Fahrrad fahren? Das ist besonders gefährlich, also doch lieber zu Fuß. Endlich in der Bank angekommen, ist es auch dort nicht sicher. Einen Grippevirus von jemand in der Warteschlange einfangen ist das Mindeste. Oder aus Versehen eine falsche Ziffer oder einen Zahlendreher bei der Kontonummer auf die Überweisung schreiben – das sichert lange Korrespondenz, denn das Geld ist erst mal weg. Vielleicht gibt’s auch just zu diesem Zeitpunkt sogar einen anständigen Banküberfall mit Skimasken und Geiselnahme. Und wenn wider Erwarten dennoch alles glatt geht, fängt’s auf dem Heimweg garantiert an zu regnen.

Sehr sicher – laut Statistik

Das alles wird nicht passieren? Wahrscheinlich nicht. Kann aber. Statistisch gesehen sind die genannten Risiken inklusive des Banküberfalls sogar deutlich höher, als daheim beim gemütlichen Online-Banking einem Gauner auf den Leim zu gehen. Aber rein statistisch gesehen ist es auch viel sicherer, in ein Flugzeug zu steigen als mit dem Auto zu fahren. Zudem wird beim Homebanking kaum noch jemand auf die mitunter täuschend echt aussehenden Phishing-Mails hereinfallen und treuherzig Transaktionsnummern (TANs) auf gefälschten Bank-Webseiten eingeben. Nicht zuletzt durch die ständigen Warnungen und Hinweise in allen Medien inklusive Fernsehen wissen nun alle Bescheid, und auch die Geldinstitute geben Entwarnung. Kaum ein Kunde sei zu Schaden gekommen, heißt es. Doch stimmt das wirklich? Allein in Berlin wurden 2005 mehr als 120 Fälle zur Anzeige gebracht, berichtet das Computermagazin c‘t. Höchster registrierter Einzelschaden: 29.000 Euro. Die Opfer sind in allen Berufsgruppen zu finden, auf die immer besser gestalteten Texte der Lockmails und der Webseiten fallen sogar Banker herein.

Bei der Vielzahl von Online-Überweisungen ist das immer noch wenig. Zudem zeigten sich die Geldinstitute erstaunlich kulant, fast alle Betroffenen wurden entschädigt. Verpflichtet sind sie dazu nicht, die AGB sind stets so formuliert, dass Kunden für das Risiko stets selbst verantwortlich sind. Doch die Banken haben kein Interesse daran, dass ein so erfolgreiches und kostensparendes System wie Online-Banking in Verruf gerät, weil ein paar Kriminelle nach Passwörtern fischen. Die Kosten für die Kundenbetreuung in den Filialen würde drastisch ansteigen, dabei haben sich viele Banken gerade erst durch massenhafte Filialschließungen und Entlassungen gesund geschrumpft – und genau das wurde erst durch den Online-Zugriff aufs eigene Konto möglich. Wenn immer mehr Kunden die Arbeit selber machen, wird immer weniger Personal gebraucht. Billiger wird dadurch das Konto nur bei reinen Online-Banken – die einst wegen „Selbstbedienung“ drastisch reduzierte Kontogebühr ist überall längst wieder angehoben. Wer also zum Erhalt von Arbeitsplätzen beitragen möchte, sollte auf Online-Banking verzichten.

Strohmann aus Versehen

Dennoch wollen viele ihre Bankgeschäfte bequem von daheim erledigen – und werden dabei vielleicht irgendwann einer Phishing-Mail auf den Leim gehen und die Kontodaten preisgeben. Damit wird dann möglicherweise ein ganz anderer Arbeitsplatz gesichert. Und der ist ungesetzlich, illegal, kriminell: Um Spuren zu verwischen, aber dennoch problemlos an das Geld heranzukommen, das beim Plündern der Opfer-Konten erbeutet werden soll, heuern die zumeist in Russland, aber auch in EU-Staaten sitzenden Täter Strohmänner in den Ländern ihrer Opfer an. Einfach per E-Mail, ganz so, wie sie ihre Opfer finden. Auch hier sind die Mails inzwischen professionell gestaltetet und wirken seriös. Zum Beispiel suchte eine Firma „StepManagement N.V.“ in einer Mail, die an deutsche web.de-Kunden verschickt wurde, nach „verantwortungsvollen Personen im Bereich der Bankoperationen“. Gefordert wird nichts weiter als ein Bankkonto und ein Internetzugang. Wer arbeitslos und gerade knapp bei Kasse ist, wird womöglich darauf hereinfallen – und damit zum Strohmann und Geldwäscher, ohne zu ahnen, um was es überhaupt geht.

Der im Ausland sitzende Täter überweist mit Hilfe der erbeuteten Transaktionsnummern Geld vom Konto des Opfers auf das des deutschen Mittelsmanns. Da es sich nicht um Auslandsüberweisungen handelt, geht das problemlos. Bei Beträgen über 12.500 Euro greifen die automatischen Kontrollsysteme der Banken zur Geldwäscheprävention, deshalb werden statt großer Summe mehrere kleine Beträge überwiesen. Von dem auf seinem Konto eingegangenen Geld behält der deutsche Strohmann seine Provision von vielleicht zehn Prozent. Den Rest zahlt er bei der nächsten Western-Union-Agentur ein, den 10-stelligen Auszahlungscode schickt er an seinen Auftraggeber. Western Union ist in 190 Ländern vertreten und funktioniert ohne Konten, der Empfänger bleibt anonym.

Der Einzige, der bei solchen Transaktionen auffliegt, ist der deutsche Mittelsmann. Denn der Täter hat vom Ausland aus Geld vom Konto des Opfers auf sein Konto überwiesen – und das ist für die Bank und damit für die Ermittlungsbehörden in allen Details nachvollziehbar. Der Mittelsmann hat dann nicht nur eine Anzeige wegen Geldwäsche an der Backe, er ist auch dann gegenüber dem Phishing-Opfer schadensersatzpflichtig, wenn er das Geld längst weitergeschickt hat. Somit ist er am Ende der eigentlich Betrogene.

Ein neues System

Die Banken sind gerade dabei, auf ein neues TAN-System umzustellen, bei dem der Kunde die für einen Online-Auftrag nötige Transaktionsnummer nicht mehr selbst auswählen kann, sondern eine vorgegebene Reihenfolge beachten muss. Für Phisher wird’s dadurch schwierig, doch auch die sind inzwischen schon einen Schritt weiter und beschreiten ganz neue Wege. Das Online-Magazin teltarif.de berichtet von einem Fall aus dem Baltikum, bei dem ein Hacker die Online-Banking-Sitzung eines Bankkunden übernehmen und selbst Überweisungen tätigen konnte. So etwas wird im Fachjargon „man in the middle attack“ genannt, und gegen solche Attacken gibt es derzeit keinen wirkungsvollen Schutz.

Mauszeiger gekidnappt

Neben bösartiger Spionage-Software, die Tastatureingaben aufzeichnet und so Geheimnummern ausspioniert (Keystroke Logging), gibt es jetzt auch Programme, mit denen sich die Bewegungen des Mauszeigers auf dem Bildschirm verfolgen lassen (Screen Scraping). Solche Programme gelangen meist gut getarnt als unsichtbarer Bestandteil von offenbar nützlichen Gratis-Hilfsprogrammen aus dem Internet auf den heimischen Rechner. Anfangs war so genannte Spyware nur ein Hilfsmittel zum Ausspähen der Rechner zu dubiosen Marketingzwecken, heute werden damit auch Spione ganz anderer Art transportiert. Auch wer sich illegal einen „Crack“ zum Umgehen der 30-Tage-Sperre von kommerzieller Software oder eine passende Seriennummer von einem vielleicht russischen „Warez“-Server holt, kann sich schon mit dem Download und Öffnen der Datei einen Spion einfangen. Der liefert beim nächsten Online-Banking die soeben eingegebene geheime TAN daheim ab – und unterbricht dann blitzschnell die Verbindung, damit die nur einmal gültige Transaktionsnummer vom Täter genutzt werden kann.

Wenn sich solche Methoden in Zukunft verbreiten können, wäre damit das Vorurteil der Hypervorsichtigen und scheinbar Paranoiden bestätigt. Also doch das hohe Risiko eingehen und künftig die Überweisung zu Fuß zur Bank bringen? Nein, niemals – Online-Banking ist doch so herrlich bequem.