# taz.de -- Datensicherheit im Internet: Ein hoher Preis fürs schnelle Konto
> Onlinebetrüger werden immer raffinierter und stehlen gezielt immer höhere
> Beträge. Auch beim mTAN-Verfahren gibt es mittlerweile Betrugsfälle.
IMG Bild: Nur Bares ist Wahres? Glänzt schön, ist aber irgendwie unhandlich.
BERLIN taz | Plötzlich ist das Geld weg. Alles. Knapp 80.000 Euro von
insgesamt drei Konten bei derselben Bank, sämtliche Dispo-Rahmen bis zum
Anschlag ausgereizt. Geld, das Angelica Meran* gerade auf diese Konten
überwiesen hatte. Es sollte in ein Bauprojekt fließen, Holz, Fensterrahmen,
Bodenplatten für ein kleines Häuschen hinten im Garten.
Es ist der Anruf eines Postbankmitarbeiters, der Meran am 17. September aus
der geordneten Welt herausholt. Eine geschäftige Stimme, er stellt sich
vor, erklärt, ihre Konten seien offenbar einem Angriff zum Opfer gefallen,
das Geld sei weg.
Meran sitzt in ihrem Arbeitszimmer, ein kleines Reihenhaus in Berlin. Vor
ihr auf dem Bildschirm der Kontoauszug vom Tag des Geschehens: neun
Abbuchungen, erst von ihrem Tagesgeldkonto auf das Girokonto, dann vom
Girokonto weg. Reihen von Zahlen, die auf der Website der Bank in Rot
erscheinen, mit einem Minus davor.
Knapp 10.000 Euro die höchsten Beträge. Phishing heißt die Betrugsform –
eine Mischung aus den englischen Wörtern für fischen und Passwort. Betrüger
versuchen über gefälschte Websites oder E-Mails an persönliche Daten von
Nutzern heranzukommen, um damit beispielsweise Bankkonten zu plündern.
Meran ist keine Frau, der man Leichtgläubigkeit unterstellen wollte oder
Naivität im Umgang mit Technik. Die Wissenschaftlerin hat sich genau
überlegt, dass sie, wenn sie Onlinebanking macht, auch ein sicheres
Verfahren nutzen will.
Lange hat sie einen externen TAN-Generator verwendet, und als der ihrer
beruflichen Pendelei wegen zu umständlich wurde, auf das mTAN-Verfahren
umgestellt. Das m steht für mobil, weil dem Nutzer eine TAN auf das
Mobiltelefon, an eine vorher angegebene Nummer geschickt wird. Das soll
verhindern, dass Dritte die Überweisung ausführen.
## Wie hat sie sich infiziert?
Bei Angelica Meran lief es fast klassisch: Als sie sich eines Tages bei
ihrer Bank einloggen wollte, erschien ein Hinweis auf eine neue
Sicherheitssoftware für das Handy, man benötige dafür ihre Telefonnummer.
Meran gab sie an und wusste nicht, dass es damit schon zu spät war: Die
Website gehörte nicht der Bank, sondern war ein täuschend echter Nachbau.
Wie sie sich den Trojaner eingefangen hatte, der dafür verantwortlich war –
das weiß Meran bis heute nicht. Einmal auf einen Anhang oder Link in einer
vermeintlichen Bank-E-Mail geklickt? Einen infizierten USB-Stick in den
Rechner geschoben? Auf der falschen Website gesurft? Meran zuckt die
Schultern.
Auch wie die Betrüger an die TANs gekommen sind, ist unklar. Teilweise
bestellen sie beim Mobilfunkanbieter eine zweite SIM-Karte – und
konfigurieren sie so, dass SMS nicht mehr an den Bankkunden, sondern an die
Betrüger selbst gehen. Das dürfte bei Meran nicht passiert sein – ihr
Mobilfunkanbieter bietet gar keine zweite SIM-Karte an.
„Das Phishing hat heute schon eine ganz andere Qualität als früher“, sagt
Sebastian Tiesler. Der 43-Jährige, seit elf Jahren beim Unternehmen Star
Finanz, das unter anderem die App für Sparkassenkunden entwickelt, hat
schon viele Sicherheitsmechanismen kommen und gehen sehen.
Er sagt: „Solange nur ein Kunde darauf reinfällt, hat sich der ganze
Aufwand für die Kriminellen gelohnt.“ Mit Aufwand meint er: einen Trojaner
programmieren, Mails verschicken, eine falsche Seite bauen und sich
gegebenenfalls um eine zweite SIM-Karte kümmern.
## Es werden gezielt Konten mit hohen Summen gewählt
Helga Koch, Leiterin der Onlinefiliale der GLS-Bank, analysiert die
Phishingwelle beim mTAN-Verfahren so: „Die Betrüger suchen sich
mittlerweile gezielt Kunden mit hohen Beträgen auf dem Konto.“ Genau wie
bei Meran.
Das Geld der Postbank-Kundin ist nun bei Krista Zaltite und Dino Murri.
Vielmehr: Es ist bei den Menschen, die auf diese Namen irgendwo auf der
Welt ein Konto eröffnet und das Geld von Merans Konto dorthin überwiesen
haben.
Die Namen müssen nichts heißen, denn nicht überall braucht man Ausweis,
Pass oder Postident, um sich ein neues Konto zu organisieren. Auf dem
lokalen Polizeirevier nehmen die Beamten Merans Anzeige auf. Viel Hoffnung,
die Täter zu finden, machen sie ihr nicht.
Für Meran beginnt der Albtraum Leben ohne Geld. Miete, Telefon, Supermarkt?
Immer wieder steht sie vor dem Automaten, der ihr zwar die Karte, aber kein
Bares ausspuckt. Meran muss sich Geld leihen, von Freunden, von der
Familie.
## „Die Beweislast trägt die Bank“
Und sie kann nicht einmal sagen: Nächsten Monat bekommt ihr es zurück. Denn
sie weiß nicht, wann und ob sie das verschwundene Geld je wiedersehen wird.
Ihre Bank lässt sich Zeit mit den Nachforschungen.
„Die Beweislast trägt die Bank“, sagt Markus Feck, Finanzjurist bei der
Verbraucherzentrale Nordrhein-Westfalen. Sie muss beweisen, dass der Kunde
etwa keinen Virenscanner genutzt oder leichtfertig einen infizierten Anhang
einer E-Mail geöffnet hat.
Die Verbraucherzentrale betreibt das sogenannte Phishing-Radar – eine
Seite, auf der sie von Verbrauchern gemeldete Phishing-Mails dokumentiert.
Die zeigt: Die Zeiten, in denen die Mails in miserablem Deutsch mit
haufenweise Rechtschreibfehlern verfasst wurden, sind vorbei. Die Schreiben
lesen sich flüssig, vielleicht etwas gestelzt.
„Ihr Konto entspricht nicht den aktuellen Anforderungen und muss deshalb
durch eine Datenabgleichung aktualisiert werden“, heißt es etwa in einer
Mail vom Oktober 2013. Angeblich soll sie von der Postbank stammen,
angegeben ist aber eine frei erfundene Straße in Kiel.
## Der Schaden der Banken bleibt geheim
Wie hoch der Schaden ist – keine Zahlen. Natürlich haben die Banken kein
Interesse daran, dass die Kunden das Vertrauen ins Onlinebanking verlieren.
Denn sie nehmen der Bank damit einen guten Teil der Arbeit – und damit
Kosten – ab.
Nicht umsonst müssen Kunden für reine Onlinekonten häufig weniger oder
keine Kontoführungsgebühren zahlen. Doch der Schaden, den die Banken haben,
weil sie ihren Kunden unbefugt abgebuchtes Geld erstatten, scheint deutlich
geringer zu sein als die Einsparungen durch das Onlinebanking.
Auch das Geld von Meran hat die Bank schließlich erstattet. Am 31. Oktober
werden die Beträge wieder gutgeschrieben, rückwirkend. „Eine
Kulanzerstattung“, betont eine Sprecherin der Postbank. Welche Kriterien
dazu führten, dass Meran das Geld wiederbekommen hat – das hält die Bank
geheim. Bloß keine Aussagen, auf die sich andere Betroffene berufen
könnten.
Meran macht immer noch Onlinebanking. Sie hat die Festplatte ihres
Computers neu formatiert und alle Programme neu installiert. Der Trojaner
ist weg. Die Bauchschmerzen bleiben.
*Name geändert
24 Mar 2014
## AUTOREN
DIR Svenja Bergt
## TAGS
DIR Datenschutz
DIR Internet
DIR Smartphone
DIR Schwerpunkt Überwachung
DIR USA
DIR Schwerpunkt Überwachung
DIR Datenschutz
DIR Internet
DIR Handy
DIR Datenschutz
DIR Schwerpunkt Syrien
## ARTIKEL ZUM THEMA
DIR Buch „Data Love“: Die Liebe zur Überwachung
Der Medienwissenschaftler Roberto Simanowski analysiert das Individuum als
Verbündeten seiner Überwachung. Die Warnung ist inbegriffen.
DIR Debatte Datensicherheit: Grenzenloser Zugriff
Ein US-Gericht erweitert den Datenzugriff für die Strafverfolgung über die
USA hinaus. Der Vertrauensverlust wird anwachsen.
DIR Abhören von Skype-Telefonaten: Trojaner in rechtlicher Grauzone
Das Innenministerium will eine Änderung der Strafprozessordnung, um
Online-Telefonie überwachen zu können. Aber das Justizministerium zögert.
DIR Privater Datenhandel per App: Persönliche Infos zum Sonderpreis
Mithilfe einer App sollen Nutzer selbst entscheiden können, wem sie ihre
private Daten anbieten. Doch wer nichts verkauft, wird zur Kasse gebeten.
DIR Geschichten über das Internet: „Berühr' mich, Gott“
In seinen „Surf- und Klickgeschichten“ sinniert Frank Sorge über einen
virtuellen Gebetsraum und Justin Biebers Twitter-Account.
DIR Neue Berlin-Domain beliebt: Berlin am Ende
Ab heute können sich auch Privatleute Internetdomains mit der Endung
".berlin" registrieren lassen. Eine Internetadresse erklärt, welche
Vorteile das hat
DIR Datensicherheit auf dem Handy: Ein Schloss fürs Smartphone
Es tut sich was auf dem Markt der verschlüsselten mobilen Telefonie. Doch
nicht nur die Preis-, auch die Qualitätsunterschiede sind groß.
DIR Schlüsselfragen des Datenschutzes: Behörden müssen getrimmt werden
Höchste Zeit, dass das Recht auf Datensicherheit ernster genommen wird.
Noch arbeiten viele staatliche Stellen und Firmen mit unverschlüsselten
E-Mails.
DIR Nachfolger von Stuxnet: Hochkomplexer Virus entdeckt
Er heißt „Flame“ und ist schon seit mehreren Jahren aktiv: Experten haben
auf Rechnern im Nahen Osten einen Virus entdeckt. Er sammelt sensible Daten
und wurde im großen Stil verbreitet.