Betrüger haben bei Telekom-Kunden Beträge im fünfstelligen Bereich von deren Konten abgebucht: Dafür haben sie das Verfahren mit den mobilen Tan-Nummern ausgehebelt. Wir fragen uns: Wie sicher ist Online-Banking?

Nilofar Elhami über den Hack von Telekom-Kunden
"Die Betrüger arbeiten in zwei Schritten, zuerst hacken sie sich mit einer Software in den Computer ein und spähen das Onlinebanking aus. Dann besorgen sie sich deine Handynummer und haben alles, um an dein Geld zu kommen."

Manche Bankkunden bekommen bei jeder Überweisung, die sie durchführen, eine mobile Tan aufs Handy geschickt. Eigentlich gilt das Verfahren als sicher, weil sie dabei zwei verschiedene Systeme benutzen: Einmal für die Überweisung den Rechner und das Handy für die mobile Tan. Die Betrüger haben beide Systeme geknackt:

  • Zuerst haben sie sich in den Rechner eingehackt und den Online-Zugang des Bankkontos ausgepäht.
  • Dann haben sie sich die dazugehörige Handynummer besorgt.

Dafür haben sie einen ganz leichten Trick angewendet: Sie haben bei der Telekom angerufen, sich als Mitarbeiter eines Mobilfunkshops ausgegeben, die Sim-Karte als verloren gemeldet und dann eine Ersatzkarte aktiviert. Das geht, weil man für eine Handynummer mehrere Sim-Karten im Betrieb haben kann. Die Betrogenen haben das gar nicht mitbekommen.

"Das SMS-Tan-Verfahren ist ziemlich sicher. Ein möglicher Krimineller hat zwei Hürden. Er muss zum ersten den Rechner knacken und dann noch an die Software fürs Handy drankommen."
Hermann-Josef Tenhagen von finanztip.de über mobile Tan-Verfahren

Bei dem oben beschriebenen Betrug liegt der Fehler bei der Telekom, sagt Hermann-Josef Tenhagen von finanztip.de. "Die Telekom muss verhindern, dass irgendjemand eine Ersatzsimkarte für mein Handy bekommt und dann so tun kann, als sei er der Mensch mit dem Handy."

Wie sicher sind andere Tan-Verfahren?

  • Die klassische Tanliste gilt als sehr unsicher: Jeder der die Liste in die Finger bekommt, kann die Tans missbrauchen.
  • Der Tan-Generator, bei dem zuhause die EC-Karte eingesteckt wird, gilt als sicher: Man braucht einen Rechner, den Generator und die Karte - drei Geräte, um Geld abheben zu können.
  • Die Foto-Tan - per App wird ein Bild vom Bildschirm abgescannt, dann wird eine einmalige Tan angezeigt - das Verfahren gilt auch als sicher, weil zwei Geräte daran beteiligt sind.

Grundsätzlich rät Hermann-Josef Tenhagen dazu, beim Onlinebanking stets zwei Geräte zu benutzen - also Smartphone und Rechner - anstatt eine Überweisung ausschließlich am Smartphone durchzuführen.

"Ich würde Online-Banking immer von zuhause betreiben mit einem Rechner, der mit Firewall ausgestattet ist. Dann ist ein mTan-Verfahren völlig in Ordnung."
Hermann-Josef Tenhagen, finanztip.de

Jedes Jahr gibt es rund 2000 Fälle, in denen Bankkunden via Tanverfahren betrogen werden. Das sei vergleichsweise wenig zu anderen Bankbetrugsfällen, sagt Hermann-Josef Tenhagen. Werden Bankkunden beim Online-Banking betrogen, haften dafür übrigens die Banken.