Onlinebanking Meldung

Finanztest-Leser berichten, wie Betrüger ihre Daten für das Onlinebanking ausgespäht und die Konten geplündert haben. Wir sagen, was Bankkunden für ihre Sicherheit tun können.

Als Rolf Ohl im Juli vergangenen Jahres per E-Mail von der Postbank aufgefordert wird, „zwei aufeinander folgende Tan-Codes einzutasten, um die Missetaeter zu ermitteln, die Mitteldiebstaehle“ von Onlinekonten ausführen, denkt er an nichts Böses. Erst etwas später ist ihm klar, dass er auf Betrüger hereingefallen ist.

„Ich habe dem Gangster aus Dummheit meine Pin und zwei Tan-Nummern genannt. Zehn Tage später wurden dann zweimal 3 000 Euro abgebucht. Den Schaden habe ich zufällig sofort bemerkt und die Postbank gleich informiert. Innerhalb von zehn Tagen war mein Schaden aus ­Kulanzgründen reguliert.“

Rolf Ohl ist auf eine Phishing-E-Mail hereingefallen. Phishing ist ein Kunstwort für das Fischen nach den vertraulichen ­Zugangsdaten für ein Onlinekonto. Es entwickelt sich für die Banken zu einem ernsten Problem.

Weltweit gab es im Oktober 2005 über 15 800 Phishingangriffe, so die Daten der Anti-Phishing Working Group (APWG). Nach einem kurzen Abebben steigt die Zahl der Fälle seit Juli 2005 wieder stark.

„Die Unsicherheit der Bankkunden gegenüber Onlinebanking hat etwas zugenommen“, sagt Kerstin Altendorf vom Bundesverband deutscher Banken. „Aber drei Viertel aller Onlinebanker sind nach wie vor überzeugt, dass es sicher ist.“ Zudem habe sie den Eindruck, dass die neuen Sicherheitsmaßnahmen (siehe Finanztest 9/05: Sicherheit beim Onlinebanking) schon etwas bringen. Doch vom Tisch ist das Problem nicht.

Das bestätigt eine Leserbefragung von Finanztest. Wir haben gefragt, welche Erfahrungen unsere Leser mit Phishing gemacht haben, wer bereits Opfer von On­linebetrügern geworden ist und wie die Banken sich in solchen Fällen verhalten.

Ständig neue Phishing-Mails

Onlinebanking Meldung

Reingefallen. Der Berliner Rolf Ohl war Opfer einer Phishing-Mail. Mit den erbeuteten Transaktionsnummern buchten die ­Gauner zweimal 3 000 Euro ab. Die Bank hat den Schaden ersetzt.

Die meisten Leser schilderten, dass sie ­regelmäßig mit Phishings-Mails belästigt werden. Die Betrüger versuchen den Bankkunden mit einem Link in der Mail auf eine gefälschte Webseite zu dirigieren, um ihm dort die persönlichen Onlinezugangsdaten abzujagen.

Die Phisher wollen mit ihren E-Mails möglichst viele erreichen. Deshalb bekommen auch Menschen solche E-Mails, die gar kein Onlinebanking machen oder gar kein Kunde bei der angeblichen Absenderbank sind.

Betrüger nutzen für ihre Mails vor allem die Namen großer Banken, zum Beispiel den der Postbank, der Deutschen Bank, von Sparkassen, Volks- und Raiffeisen­banken. Dort ist die Wahrscheinlichkeit am größten, Bankkunden zu erwischen.

Neue Betrügermethoden

Onlinebanking Meldung

Angesteckt. Conny Ahle aus Augsburg wurde Opfer eines Spionageprogramms, das sich auf ihrem Computer eingenistet hatte. Betrüger konnten 3 200 Euro abbuchen.

Selbst vorsichtige Menschen können noch Opfer der Onlinebetrüger werden. Denn mittlerweile kommen die Phishing-Mails nicht mehr nur im schlecht geschriebenen Deutsch daher. Sie stammen auch längst nicht mehr nur angeblich von Banken. Als vermeintlicher Absender tauchte auch schon die Telekom mit dem Hinweis auf eine viel zu hohe Telefonrechnung auf.

Die Methoden werden nicht nur immer raffinierter, sondern auch technisch ausgereifter. Wer arglos im Internet surft oder unbedacht einen E-Mail-Anhang anklickt, öffnet damit schon Betrügern die Tür zu seinem Computer. Sie schleusen dann ­Viren, Würmer oder Trojaner ein, die auf dem PC erheblichen Schaden anrichten können.

Viren verbreiten sich durch die Weitergabe von infizierten Dateien, die aus dem Internet oder von CDs auf den Rechner geladen werden. Würmer kriechen über Anhänge in E-Mails auf den Rechner.

Gefährlich für das Onlinebanking sind vor allem die Trojaner, die über E-Mails oder Sicherheitslücken in den Computer eindringen. Trojaner spionieren vom Nutzer unbemerkt Daten aus oder zeichnen ­jeden Tastendruck auf und können so auch Pin und Tan an Hacker übertragen.

Opfer eines solchen Schädlings wurde Conny Ahle aus Augsburg: „Natürlich weiß ich, dass ich weder Pin noch Tan, nach denen in E-Mails gefragt wird, hergeben darf. Hab ich auch nicht gemacht, und trotzdem wurde ich bestohlen“, berichtet Frau Ahle.

Sie hatte wie immer für den Zugang zu ihrer Bank ihre Kontonummer und ihre Pin eingegeben, anschließend ein Überweisungsformular online ausgefüllt und auch eine Tan eingegeben. „Unmittelbar nachdem ich die Überweisung bestätigt habe, ist die Verbindung zusammengebrochen. Ich konnte mich auch nicht wieder einwählen. Ich habe gleich am nächsten Tag die Hotline der Stadtsparkasse angerufen und sie auf die Störung hingewiesen. Doch es gab gar keine Störung.“

Vom Laptop ihres Mannes aus kam sie dann auch problemlos auf ihr Onlinekonto: „Ich habe sofort gesehen, dass mit meiner letzten Tan eine Überweisung über 3 200 Euro an einen Fremden abgeschickt worden ist. Obwohl ich schnell gehandelt habe, war das Geld vom Empfängerkonto schon abgehoben.“ Frau Ahle hatte Glück. Die Stadtsparkasse hat sich schließlich entschlossen, ihr das Geld zu erstatten.

Noch mehr Glück hatte Cornelia Burgschmidt. Auch bei ihr brach die Internetverbindung nach der Tan-Eingabe zu­sammen. Am nächsten Morgen rief sie bei ­ihrer Sparda-Bank an. Die Mitarbeiter erklärten ihr, dass die Bank ihr Konto gesperrt habe, da am Vorabend um 22 Uhr ein Trojaner die Pin und Tan geklaut habe. So konnte eine falsche Überweisung verhindert werden.

Wie gestohlenes Geld verschwindet

Onlinebanking Meldung

Cornelia Burgschmidt aus Rosenheim hat Glück gehabt. Die Sparda-Bank bemerkte, dass Betrüger ihre Zugangsdaten ausspioniert hatten, und sperrte sofort das Konto.

Um zu verschleiern, wohin das per Internet gestohlene Geld fließt, setzen die Kriminellen häufig auf Mittelsmänner. Diese suchen sie mit Kleinanzeigen oder Mails, in denen sie einen lukrativen Nebenjob anbieten oder einen Finanzmanager für die Firma suchen. Oft verweisen sie sogar auf eine seriös gestaltete Homepage, eine Adresse und Telefonnummer.

Der Job besteht darin, Geld, das zuvor auf das eigene Konto transferiert wurde, gegen eine Beteiligung von 5 oder 10 Prozent entweder bar per Western Union ins Ausland zu schicken oder auf ein angegebenes Konto zu überweisen. Wenn die ­Polizei zugreifen will, sind die Spuren verwischt und die Konten längst geleert.

Bisher haben die Banken nach Prüfung jedes einzelnen Falls die Schäden ganz oder teilweise ausgeglichen. Sie sorgen sich wohl um den Ruf des Onlinebankings.

Ein Finanztest-Leser schilderte, dass er einige Transaktionsnummern für ein ­angebliches Internetupdate preisgegeben hatte. Die Betrüger buchten 500 Euro von seinem Konto ab. Da er den Betrug erst ­eine Woche später bemerkte, konnte seine Bank die Überweisung nach England nicht mehr stoppen. Trotzdem erstattete sie ihm das Geld vollständig.

Doch verlassen können sich Bankkunden auf die Kulanz der Banken nicht.

Eine Leserin bemerkte nach der Rückkehr aus ihrem Urlaub eine unberechtigte Abbuchung. Das Geld war über einen Mittelsmann bar nach Russland überwiesen worden. Die Bank erklärte sich lediglich bereit, die Hälfte der verschwundenen 2 500 Euro zu erstatten – ohne Anerkennung einer Rechtspflicht.

Kunden wie diese Leserin können sich bei der Arbeitsgruppe Identitätsschutz im Internet (A-I3) der Ruhruniversität Bochum beraten lassen. Sie bietet eine Beratungshotline für Phishing-Betroffene an. Kontakt bekommen Interessenten über www.a-i3.org.

Sicheres Onlinebanking

„Verbraucher können sich mit technischen Mitteln vor Phishing und dessen Weiterentwicklung schützen“, sagt Georg Borges, Professor an der Ruhr-Universität in Bochum und Sprecher der Arbeitsgruppe Identitätsschutz im Internet (A-I3). „Sie sollten sich nur nicht blind auf die Technik verlassen.“ Er empfiehlt ­regelmäßige Softwareaktualisierungen, Verwendung von Virenscannern und Firewalls und ein gesundes Misstrauen.

Borges ist auch der Meinung, dass die Bank im Grundsatz das Risiko trägt. Der Kunde hafte nur, wenn er eine Pflicht verletzt, zum Beispiel die Bank nicht recht­zeitig informiert habe.

Eine Pflicht zur Installation von Schutzprogrammen bestehe nicht, da eine entsprechende Vereinbarung mit der Bank ­typischerweise nicht besteht. „Daher haftet der Kunde bei einem Schaden durch Trojaner im Grundsatz nicht“, sagt Jurist Borges. „Die derzeit sicherste Variante für Onlinebanking ist die Verwendung des HBCI-Verfahrens mit Chipkarte“, sagt Professor Jörg Schwenk, ebenfalls Mitglied der A-I3. „Ich rechne damit, dass die Forderungen nach HBCI nun wieder lauter werden“ (siehe „Checkliste“).

„Phishing ist kein zwingender Grund, das Onlinebanking aufzugeben, aber empfohlen werden kann es derzeit nicht mehr“, meint Hartmut Strube, Jurist bei der ­Verbraucherzentrale Nordrhein-Westfalen (NRW). Jedem müsse klar sein, dass es ­keine absolute Sicherheit beim Onlinebanking gebe. Die Banken hätten großen Nachholbedarf, den ­Vertrauensverlust durch ein Mehr an Sicherheit auszugleichen. Wichtig sei, die Sicherheitsempfehlungen der Banken zu beachten. „Dann ist der Verbraucher auch juristisch auf der sicheren Seite“, so Strube.

Die Verbraucherzentrale NRW macht ihren Lesern drastisch deutlich, was gesundes Misstrauen bedeutet: Sie informiert im Internet ausführlich über die Gefahren des Phishings und bietet „einen wirklich sicheren Zugang zu ihrer Bank“ per Link an.

Wer darauf klickt, bekommt folgenden Text zu lesen: „Wenn wir Sie jetzt überrascht haben, hat das etwas Gutes. Dieser Link war absolut ungefährlich. Ein anderer könnte es nicht sein. Es gab bereits Gauner, die über Phishing informierten und dann einen falschen Link angaben. Bitte geben Sie Acht und geben Sie die Adresse Ihrer Onlinebank immer selbst ein. Dadurch können Sie das Risiko bereits er­heblich reduzieren.“

Dieser Artikel ist hilfreich. 846 Nutzer finden das hilfreich.