Dass die Gefahr ernst ist, hat die Versicherungsgruppe R+V vor ­Kurzem erneut verdeutlicht. Danach haben „betrügerische Überweisungen im Onlinebanking während der ersten sechs Monate von 2019 im Vergleich zu den Vorjahren rasant zugenommen“, wie es in einer Mitteilung heißt (wir berichteten kurz). 300 Betrugsfälle hätten allein einen Gesamtschaden von fünf Millionen Euro verursacht. Im Jahr 2018 seien es im gleichen Zeitraum 100 Fälle gewesen. Der durchschnittliche Schaden summiere sich inzwischen auf 15 000 Euro, ebenfalls dreimal so viel wie im vergangenen Jahr.

Am Anfang einer jeden Betrugsmasche steht der Versuch der Internet-Gangster, an die Bankdaten der Kunden zu kommen. Einfallstor Nummer eins sind sogenannte Phishing-Mails. In diesen werden die Nutzer angeblich von der eigenen Bank aufgefordert, die persönliche Identifikationsnummer (PIN) und/oder eine – falls noch per Zettel vorhandene – Transaktionsnummer (TAN) anzugeben, um beispielsweise eine vermeintlich bevorstehende Kontensperrung zu verhindern. Hier rät die Verbraucherzentrale Nordrhein-Westfalen (NRW) zu höchster Vorsicht. „Banken und Online-Zahlungsdienste werden Sie um so etwas nicht per E-Mail bitten“, heißt es dort. „Eine PIN oder eine TAN wird niemals telefonisch oder per E-Mail von Banken abgefragt; dies zählt zu den wesentlichen Sicherheitsregeln.“

Auch die Aufforderung, eine angehängte Datei zu öffnen oder einem Link zu folgen, darf keineswegs befolgt werden, so die NRW-Verbraucherschützer in ihrem Phishing-Radar, in dem sie regelmäßig auf aktuelle Betrugsfälle und -maschen aufmerksam machen.

Erkennungsmerkmale solcher Betrugsmails waren bislang auch, dass sie in schlechtem Deutsch oder in einer anderen Sprache verfasst waren. Doch dies geschieht inzwischen immer seltener. In Nachrichten neuester Provenienz „scheint die Absender-E-Mailadresse vertrauenswürdig, der Link im Text auch, das Deutsch ist flüssig. Trotzdem muss diese E-Mail nicht echt sein“, heißt es bei der Verbraucherzentrale.

Versierte Computernutzer können über den so genannten Mail-Header die tatsächliche Webadresse des Absenders herausfinden und prüfen, ob sie koscher ist oder nicht. Doch einfacher ist es, direkt bei der Bank anzurufen und nachzufragen, was hinter der Mail-Aufforderung steckt oder beim geringsten Zweifel die elektronische Post augenblicklich zu löschen.

Phishing-Attacken werden jedoch nicht allein über E-Mails ausgeführt sondern auch per SMS, oder Messenger-Dienste wie Whatsapp, Hoccer oder Threema, warnt Secuso, die Forschungsgruppe Internet-Sicherheit des Karlsruher Instituts für Technologie (KIT). Auch soziale Netzwerke seien betroffen. Secuso mahnt zudem eindringlich, keineswegs der Aufforderung zu folgen, einen vermeintlichen Kooperationspartner seiner Bank anzurufen. Mit diesen Informationen könnten Kriminelle zwar das Bankkonto nicht anzapfen, aber die Telefonrechnung mit größeren Beträgen zu belasten.

Wenn die Kontodaten ausgespäht seien, nutzten die Betrüger häufig das Verfahren der mobile-TAN (mTAN), um das Geld auf kurzfristig eröffnete Konten – meist bei Direktbanken – zu überweisen, heißt es bei der R+V-Versicherung. Anschließend würden „die überwiesenen Gelder umgehend und selten rückrufbar ins Ausland transferiert“.

Das mTan-Verfahren hat für Bankkunden den Charme, dass es einfach ist. Der Inhaber eines Kontos mit Onlinebanking muss nur bei dem Geldhaus seine aktuelle Handynummer anmelden und diese bestätigen lassen. Wenn er anschließend eine Überweisung tätigen will, schickt die Bank ihm eine sechsstellige Zahl als SMS auf sein Handy. In der Nachricht sind auch Uhrzeit und Datum sowie der Überweisungsbetrag und die IBAN-Daten des Empfängers vermerkt. Diese TAN ist nur für die eine Transaktion gültig; für jeden weiteren Vorgang muss eine neue angefordert werden.

Die meisten Banken sehen das mTan-Verfahren nach wie vor als sicher an. Doch es gibt Absetzbewegungen, da die Methode einen Nachteil hat: Die Daten werden unverschlüsselt übertragen. Die SMS-Nachrichten können daher verhältnismäßig leicht von Betrügern für illegale Transaktionen genutzt werden. Die ersten Sparkassen sind bereits dabei, sich von diesem Verfahren zu verabschieden, wie das Online-Portal Futurezone kürzlich berichtete. Wann der Ausstieg bei den einzelnen Instituten geplant ist, liege in deren Ermessen, doch die Kunden würden jeweils rechtzeitig informiert.

Es gibt zwei alternative Verfahren, das erste nennt sich Push-TAN. Hierbei muss man die entsprechende Handy-App seines Kreditinstituts auf das Smartphone laden. Dann gibt man die Überweisungsdaten entweder über seinen Computer oder in der eigentlichen Bank-App auf seinem Smartphones ein. Daraufhin wird eine Nachricht mit dem Zahlencode erzeugt, die mit Hilfe eines Passworts in der Push-TAN-App abgerufen werden kann. Mit der Eingabe dieser einmalig verwendbaren Transaktionsnummer wird der Vorgang abgeschlossen.

Ohne Smartphone klappt eine sichere Überweisung außerdem mit dem Chip-TAN-Verfahren. Die sechsziffrige Zahl wird hier mit dem so genannten TAN-Generator erzeugt, ein kleines Gerät, das aussieht wie ein Taschenrechner früherer Jahrzehnte und das über einen Schlitz verfügt, in dem man seine Bankkarte schiebt. Diesen Generator hält man nach Eingabe der Überweisungsdaten an ein flimmerndes Feld im Onlinebanking Bereich der Webseite der eigenen Bank. Durch das Flackern werden die Auftragsdaten übermittelt und auf dem Bildschirm des Generators erscheint die TAN, mit der die Überweisung abgeschlossen werden kann.

Aus ganz grauer Onlinebanking-Vorzeit gibt es auch noch die TAN-Listen auf Papier, die die Kreditinstitute per Post verschicken. Kunden werden aufgefordert, die TAN zu verwenden, die hinter einer bestimmten Listennummer steht und die nur der Besitzer des Zettels kennen konnte. Doch damit ist es bald vorbei. Ab 14. September sind diese ausgedruckten Listen endgültig Geschichte.