Positionen-Magazin
Onli­ne­ban­king

Giro­kon­ten­be­trug: Diebe in der Daten­lei­tung

Betrug beim Onlinebanking ist zum Massenphänomen geworden, Schadensummen steigen. Die Banken rüsten gegen die digitalen Bankräuber auf, doch die entwickeln laufend neue Tricks – auf Kosten von Verbrauchern, Banken und Versicherern.

Michael J. ist ein Bankräuber der alten Schule. Am 10. Januar streifte er sich kurz vor 18 Uhr eine Sturmhaube über, zog seine Pistole aus der Tasche und stürmte in eine Sparkassenfiliale in Hamburg -St. Georg: „Geld her, oder ich schieße!“ Doch noch bevor er fliehen konnte, wurde er vor der Bank verhaftet und steht nun in Hamburg vor Gericht. 

Seit den 1980er-Jahren hat der 70-Jährige, der viele Jahre seines Lebens im Gefängnis verbrachte, immer wieder auf die brutale Tour Banken überfallen. Damit allerdings wirkt der Senior heute wie aus der Zeit gefallen. Der gewaltsame Überfall gilt unter Kriminellen als zu riskant und zu wenig lukrativ. Moderne Bankräuber kommen nicht mehr mit Maske und Pistole zum Bankschalter. Sie plündern Konten über das Internet. 

Die Schäden durch Betrug im Onlinebanking nehmen rasant zu. So registrierte die R+V-Versicherung im ersten Halbjahr 2019 rund 300 Betrugsfälle mit einem Gesamtschaden von 5 Millionen Euro – so viel wie nie zuvor. Im gleichen Zeitraum des Vorjahres hatte die Summe bei etwa einer Million Euro gelegen. 

Auch die Höhe der Beute steigt. „In früheren Jahren lag der durchschnittliche Schaden durch Onlinebanking-Betrug bei den bei uns versicherten Banken noch bei einigen Tausend Euro“, sagt Theo Schneider, Produkt- und Strategieberater Bankenversicherung bei der R+V. „Inzwischen hat er sich auf mehr als 15.000 Euro verdreifacht. Der höchste Einzelschaden belief sich auf 350.000 Euro.“

Betrüger suchen gezielt nach Sicherheitslücken

Es ist ein Wettlauf gegen Technik und Zeit – auf beiden Seiten. Die Betrüger suchen gezielt nach Lücken im digitalen Bankgeschäft, entwickeln laufend neue Betrugsmaschen und versuchen, diese schnell und großflächig zum Einsatz zu bringen, ehe die Kreditinstitute reagieren können. Diese wiederum versuchen, sich auftuende Schwachstellen so schnell es geht zu schließen, und setzen auch verstärkt auf die Sensibilisierung ihrer Kunden. 

Ende April hob die Polizei in Verden eine solche Bande von Onlinebetrügern aus. Seit November 2018 sollen die Täter, vier Männer und eine Frau, 1,5 Millionen Euro erbeutet haben. Nach Angaben der Ermittler beschafften sie sich illegal die Online-Zugangsdaten von Kunden verschiedener Banken und hoben fleißig Geld ab. Seit Februar war die Polizei den Betrügern auf der Spur, im April durchsuchte sie 16 Wohn- und Geschäftsräume in Niedersachsen und Österreich. Die mutmaßlichen Täter sitzen in Untersuchungshaft. Das Geld aber ist verschwunden. 

Die Masche ist oft dieselbe. Die Kriminellen hacken zunächst das Konto eines Bankkunden – meist über das sogenannte Phishing: Der Bankkunde erhält eine Mail, die den Anschein erweckt, von einem seriösen Absender zu stammen, etwa vom Telefonanbieter, Paketlieferdienst oder der Bank. Folgt er der Aufforderung, auf einen Link in der Mail zu klicken, wird eine Schadsoftware auf seinem Computer installiert, die Kontozugangsdaten absaugt. Mit dem aktuell stark genutzten SMS-TAN-Verfahren für Onlineüberweisungen plündern die Täter dann das Konto. Entweder beantragen sie beim Mobilfunkbetreiber des Opfers eine neue SIM-Karte auf den Namen des Bankkunden und fangen darüber die iTAN für eine Überweisung ab. Oder sie nutzen auch hier eine Schadsoftware, die sie über eine manipulierte SMS auf dem Handy des Kunden installieren. Das ergaunerte Geld überweisen sie schnell auf ein Konto im Ausland.

Banken erschweren Überweisungen ins Ausland

Vor allem dieser zweite Schritt sei in der Vergangenheit zum Problem geworden, sagt Mark Loewen, Abteilungsleiter Banken/Kredit bei der R+V-Versicherung. Früher hätten die Täter die entwendeten Summen sofort ins Ausland transferiert und dadurch dem Zugriff der Banken und Behörden unmittelbar entzogen. Das geht inzwischen nicht mehr so einfach, weil die Banken Auslandsüberweisungen erschwert haben. So werden in Absprache mit den Kunden oftmals die Geldmengen pro Überweisung begrenzt oder Auslandsüberweisungen generell gesperrt. 

Die Betrüger reagierten, indem sie neue Methoden entwickelten. Ein beliebter Trick ist der Missbrauch des Video-Ident-Verfahrens zur Eröffnung eines Onlinekontos: Die Täter inszenieren ein offizielles Bewerbungsverfahren, etwa indem sie vorgeben, Mitarbeiter für ein Callcenter zu suchen. Das Vorstellungsgespräch findet zum Beispiel per Skype statt. Im Verlauf des Gesprächs wird der Bewerber aufgefordert, vor laufender Kamera ein Konto bei einer Direktbank zu eröffnen, angeblich um zu testen, wie er sich in einer Geschäftssituation verhält. Dabei filmen die Betrüger seinen Personalausweis ab, erhalten die Zugangsdaten gleich mit – und sichern sich damit den Zugang zum frisch eröffneten Konto.

Banken und Versicherer bleiben am Ende auf den Kosten sitzen

Ehe der arglose Bewerber mitbekommt, dass er tatsächlich ein reales Onlinekonto eingerichtet hat und darüber krumme Geschäfte laufen, haben die Betrüger bereits Geld von gehackten Konten über das gerade eröffnete Zielkonto ins Ausland geschleust. „Dieses Verfahren ist für die Täter zwar sehr aufwendig“, sagt R+V-Experte Loewen. „Aber wenn die Täter viele Konten parallel hacken, kommen hohe Summen zusammen, die in kurzer Zeit über das Konto überwiesen werden können, sodass sich der Aufwand lohnt.“ 

Die Banken stecken in der Zwickmühle: Einerseits muss Onlinebanking unkomplizierter werden – das verlangt der Kunde. Andererseits schaffen es Betrüger immer wieder, an die sensiblen Kundendaten zu gelangen. Auf den Kosten bleiben letztlich auch die Versicherer sitzen. Denn wenn der Bankkunde sich nicht fahrlässig verhalten hat, erstatten die Kreditinstitute den gestohlenen Betrag und holen ihn sich – sofern versichert – bei ihrer Vertrauensschadenversicherung zurück. 

Um Kunden und Konten besser zu schützen, gelten seit September EU-weit verschärfte Regeln zur Authentifizierung beim Onlinebanking. Viele Banken haben das anfällige SMS-TAN-Verfahren daher bereits im Vorfeld durch andere Methoden ersetzt, etwa durch den Abgleich biometrischer Daten wie Fingerabdruck- oder Augen-Scan. Zudem werden die Kunden intensiv im sorgsamen Umgang mit den Zugangsdaten geschult.

Text: Elke Spanner

Auch inter­essant