Veröffentlicht inWirtschaft

Auch Online-Banking mit TAN-Listen ist zu knacken

Auch Online-Banking mit TAN-Listen ist zu knacken

___ Imported per Email (2011-02-04--543x199.jpg
Leichtes Spiel für Homebanking-Betrüger: Internet-Überweisungen mit TAN-Listen gelten als geknackt. Es häufen sich die Fälle von umgeleiteten Überweisungen und Kontodatenklau. Dabei ist es einfach, sich beim Homebanking zu schützen.

Essen. 

Die Zahl der Betrügereien beim Online-Banking nimmt wieder zu. Bei der Verbraucherzentrale NRW häufen sich Fälle von umgeleiteten Überweisungen und Kontodatenklau. Doch die Betrüger haben keine neue Masche. Die Betrogenen fallen auf die alten Tricks rein. Die Banken sind daran nicht unschuldig. Noch immer gibt es Sicherheitslücken im Online-Angebot vieler Kreditinstitute, be­richtet das Computermagazin c’t. Dabei ist es einfach, sich vor Missbrauch zu schützen.

„Phishing“ gibt es, seitdem es Online-Banking gibt. Per E-Mail schleusen Betrüger vom Nutzer unbeachtet kleine Schadprogramme auf seinen Computer. Die Programme lesen heimlich mit. Etwa, wenn der Bankkunde seine Kontodaten über das Internet eingibt. Mit den dazu passenden Transaktionsnummern (TAN) ist es ein Leichtes, Überweisungen auf andere Konten, meist ins Ausland, umzuleiten. „Die Attacken nehmen wieder zu“, sagt Annabel Oelmann, Expertin für Fi­nanz­dienst­leistungen bei der Verbraucherzentrale. Laut Oelmann fallen die Betrügereien erst auf, wenn es längst zu spät ist. „Nicht wenige geben zehn oder mehr Transaktionsnummern ein, bis ih­nen dämmert, dass etwas nicht stimmt.“

Homebanking-Nutzer in der Beweispflicht

Dann hilft nur noch eine sofortige Kontosperrung. Und ein Anruf bei der Polizei. Denn nur, wer Anzeige erstattet, kann darauf hoffen, dass die Bank den Schaden begleicht, sagt die Verbraucherschützerin. Bankkunden sollten ihr Konto danach genau im Blick halten. Denn: „Juristisch hat der Homebanking-Nutzer den schwarzen Peter.“ Deshalb sei es ratsam, Überweisungsprotokolle zu speichern, die als Beweismittel dienen könnten.

Manchmal, erklärt Jürgen Schmidt vom Computermagazin c’t, sei es aber für Nutzer gar nicht so leicht, den Betrug zu erkennen: „Der Internet-Browser zeigt die zu erwartende Überweisung an, das Geld landet aber trotzdem beim Betrüger.“ Möglich machen das besonders trickreiche digitale Schädlinge, die sich in die Homebanking-Anwendung hereinmogeln und dem Nutzer vorgaukeln, er kommuniziere mit seiner Bank. Solche sogenannten Trojaner können Betrüger für kleines Geld als Software-Baukasten im Internet erwerben – und die Programme leicht auf jedes nur denkbare Homebanking-Portal anpassen, sagt c’t-Redakteur Schmidt.

Sicherheitslücken bei zahlreichen Banken

Vor drei Monaten berichtete das Magazin, dass es einem Schüler ge­lungen war, bei zahlreichen namhaften Banken, darunter Commerzbank, Deutsche Bank und Postbank, Sicherheitslücken aufzudecken. Eine erneute Stichprobe von c’t ergab: Viele Banken haben diese Lücken bislang noch immer nicht ge­schlossen. Und genau dort setzen die Schadprogramme an.

Dabei ist es sehr einfach, sich gegen den Missbrauch zu schützen. „Banken fragen niemals in E-Mails nach Kontodaten und Transaktionsnummern“, sagt Kerstin Lerch-Palm von der Postbank. Manche E-Mails ließen sich schon wegen vieler Rechtschreibfehler als Fälschungen erkennen. Manche seien aber sehr professionell gemacht. „Wer sich unsicher ist, sollte vorher die Bank anrufen“, rät Verbraucherschützerin Oelmann. Au­ßerdem: Nutzer sollten da­rauf achten, dass sie beim Homebanking nur sichere Verfahren nutzen.

Die Nummern verfallen nach ein paar Minuten

„Homebanking-Anwendungen mit TAN-Listen gelten als geknackt“, sagt Jürgen Schmidt von c’t. Mehr Sicherheit verspräche die „Mobile TAN“, bei der der Nutzer auf ein vorher registriertes Mobiltelefon eine Transaktionsnummer geschickt bekomme, die er dann am PC eingeben müsse. „Diese Nummern verfallen nach ein paar Minuten.“

Nur wenige Banken bieten bislang die sogenannte Chip-TAN-Verfahren an, für das ein Lesegerät notwendig ist. Ein Code flackert über den PC-Bildschirm, das Gerät liest ihn aus. Im Flackern versteckt sich der Sicherheits-Code. Jürgen Schmidt: „Mir ist kein Fall bekannt, bei dem das Verfahren bislang ge­knackt wurde.“