Unsicheres Onlinebanking: System mit Tücken

Ein Ehepaar und ein Schülerhort ziehen vor Gericht, nachdem sie bei Überweisungen über die Hannoversche Volksbank Opfer von Internetbetrügern wurden.

Laut Volksbank noch sicherer: Sm@rtTAN-Gerät zum Online-Banking mit eingeschobener EC-Karte. Bild: Wikimedia Commons / DerAndre

HAMBURG taz | Die Kassenwartin des Schülerladens Rambo Zambo in Hannover war schockiert, als sie die Kontoauszüge durchging. 6.300 Euro waren dort als Überweisung verbucht, der Empfänger war ein gewisser Jochen S.

Kassenwartin Steffie Krapf sagt, sie habe keine 6.300 Euro überwiesen und schon gar nicht an einen Jochen S.. "Ich habe eine andere Überweisung eingegeben und online die Buchung auch noch kontrolliert."

Krapf schlug Alarm. Daraufhin wurde gegen Jochen S. wegen Geldwäscherei ermittelt: S. soll als so genannter Finanzagent fungiert haben. Diese behalten einen Teil der Überweisung und transferieren den Rest ins Ausland. Empfänger unbekannt. Da bei Jochen S. nichts zu holen war, konnte die Volksbank das Geld nicht zurück buchen.

Nach dem gleichen Schema zum Opfer wurde ein Ärzteehepaar, bei dem über Nacht wohl sogar noch der Dispo-Kredit hoch gesetzt wurde, um die Überweisung von rund 10.000 Euro an einen Finanzagenten auszuführen.

Onlinebanking wird als erleichternd und zeitsparend für den Kunden gepriesen. Banken, die mit Transaktionsnummern (TAN) arbeiten, wissen um die Sicherheitslücken und begleichen Schäden oft stillschweigend. Doch wie ist der Umgang mit Pannen bei den technisch ausgefeilteren Verfahren? Alles Bedienungsfehler?

Beim "Sm@rtTAN plus"-Verfahren, auf das die Hannoversche Volksbank schwört, arbeiten die Kunden mit Zusatzgeräten. Nach dem Ausfüllen der Überweisung am Rechner bekommt der Kunde online einen Code und eine so genannte Data von der Volksbank zugeschickt.

Bei der Data sollte es sich um die ersten 6 Stellen der Empfängerkontonummer bei Einzelüberweisungen handeln. Bei einem Angriff ändert sich die Kontonummer auf dem Bildschirm und es kommt eine Data zurück, die zu der geänderten Kontonummer passt.

Wenn das dem Kunden nicht auffällt und er den Vorgang zu Ende bringt, hat er an einen Internet-Betrüger überwiesen. Dann bleibt die Frage: Hat die Bank genügend darüber informiert, dass die Data unbedingt mit der gewünschten Empfängerkontonummer abgeglichen werden muss?

Um 25 Prozent ist die Internetkriminalität in Niedersachsen laut Landeskriminalamt im letzten Jahr gestiegen. Angriffsszenarien durch Internet-Betrüger kenne Volksbank-Sprecher Marko Volck auch, hält aber die Anleitungen zum Verfahren im Onlinebanking für eindeutig und ausreichend.

Die Gütersloher Volksbank ist da längst vorsichtiger. Sie warnen ihre Kunden gezielt: Von Betrügern auf PCs eingeschleuste Programme können Überweisungen "manipulieren, so dass die von Ihnen eingegebenen Werte weiterhin angezeigt werden, die von uns empfangenen Daten aber durchaus verändert sein können".

In der Umsatzanzeige erscheine im Internetbanking noch die richtige Überweisung, erst auf dem gedruckten Kontoauszug würde der Betrug auffallen.

Die Hannoversche Volksbank antwortete der Kassenwartin Krapf lediglich, sie habe eine falsche Data eingegeben. "Klar kontrolliere ich jedes mal, ob beide Nummern passen, auch wenn ich viele Überweisungen mache", sagt Krapf. Sie handele automatisch. "Das ist wie: Haben sie nach dem Hände waschen das Wasser abgedreht?" Krapf ist empört.

Die Behandlung in der Volksbank-Filiale sei "unterirdisch" gewesen. "Ich wurde regelrecht abgeblockt. Von einer Zusammenarbeit oder Solidarität gegen die Betrüger im Hintergrund war nichts zu spüren."

Von "unglücklichen Geschichten" spricht Marko Volck von der Volksbank Hannover: "Viele Fälle sind es nicht." Er schätze unter 20 im Jahr bei 240.000 Kunden. Aus Kulanz habe die Volksbank die Erstattung der halben Schadenssumme angeboten, was weder der Schülerladen noch das Ärzteehepaar akzeptierten.

Beide gingen zur Polizei. Die Kassenwartin ließ ihren Rechner von Spezialisten der Volksbank nach Schadprogrammen durchsuchen. Die Spezialisten fanden nichts. Allerdings könnte es sein, dass sich der Trojaner nach der Arbeit selbst zerstört hat.

"Außerdem ist die Frage, wo der Trojaner sich denn tatsächlich eingenistet hat - bei uns oder auf dem Zentralrechner der Bank? Die Programmierer müssen auf jeden Fall über ein enormes Insiderwissen verfügen", sagt Hortsprecher Mark Rozin.

Organisiert wird der Internetauftritt der Volksbanken von der Firma GAD aus Münster. Auf so genannte Echtzeitmanipulationen einer Überweisung durch Banking-Trojaner wiesen sie bereits auf der letzten Cebit hin. Für Hort-Sprecher Rozin ist es "ein Unding, dass wir unser Geld erstreiten müssen!

Die Bank wirbt für Onlinebanking, drängt es einem regelrecht auf, alles andere kostet mittlerweile zusätzlich, Mitarbeiter werden eingespart und was kommt dabei heraus? Die Bank fühlt sich nicht mehr zuständig, der Schaden durch Missbrauch wird privatisiert."

Anwalt Jan-Markus Dehne vertritt das Ärzteehepaar und nun auch den Schülerladen. Die Gerichte verweisen eines ans andere, schon die Zuständigkeit zu klären, sei mühevoll, sagt Dehne.

Anspruchsgegner sind die Volksbank, die Finanzagenten und natürlich die Drahtzieher dahinter. Gerade bezüglich letzterer beklagt sich der Anwalt über die "maue Hilfe der Staatsanwaltschaften". Sehr hoch, vermutet der Jurist, sei die bundesweite Anzahl an Geschädigten.

Alleine im Bereich der Staatsanwaltschaft Hannover belaufe sich die Schadenssumme beim Onlinebanking auf geschätzte drei Millionen Euro im Jahr, sagt Dehne.

"Empörend ist da das Verhalten der Volksbank ihren Kunden gegenüber, zumal nach geänderter EU-Richtlinie der Kunde nicht zu haften braucht, wenn er nachweisen kann, dass er nicht betrügerisch gehandelt hat."

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.