 |
# taz.de -- Datensicherheit im Internet: Ein hoher Preis fürs schnelle Konto |
|
|
|
> Onlinebetrüger werden immer raffinierter und stehlen gezielt immer höhere |
|
> Beträge. Auch beim mTAN-Verfahren gibt es mittlerweile Betrugsfälle. |
|
|
 |
Bild: Nur Bares ist Wahres? Glänzt schön, ist aber irgendwie unhandlich. |
|
|
|
BERLIN taz | Plötzlich ist das Geld weg. Alles. Knapp 80.000 Euro von |
|
insgesamt drei Konten bei derselben Bank, sämtliche Dispo-Rahmen bis zum |
|
Anschlag ausgereizt. Geld, das Angelica Meran* gerade auf diese Konten |
|
überwiesen hatte. Es sollte in ein Bauprojekt fließen, Holz, Fensterrahmen, |
|
Bodenplatten für ein kleines Häuschen hinten im Garten. |
|
|
|
Es ist der Anruf eines Postbankmitarbeiters, der Meran am 17. September aus |
|
der geordneten Welt herausholt. Eine geschäftige Stimme, er stellt sich |
|
vor, erklärt, ihre Konten seien offenbar einem Angriff zum Opfer gefallen, |
|
das Geld sei weg. |
|
|
|
Meran sitzt in ihrem Arbeitszimmer, ein kleines Reihenhaus in Berlin. Vor |
|
ihr auf dem Bildschirm der Kontoauszug vom Tag des Geschehens: neun |
|
Abbuchungen, erst von ihrem Tagesgeldkonto auf das Girokonto, dann vom |
|
Girokonto weg. Reihen von Zahlen, die auf der Website der Bank in Rot |
|
erscheinen, mit einem Minus davor. |
|
|
|
Knapp 10.000 Euro die höchsten Beträge. Phishing heißt die Betrugsform – |
|
eine Mischung aus den englischen Wörtern für fischen und Passwort. Betrüger |
|
versuchen über gefälschte Websites oder E-Mails an persönliche Daten von |
|
Nutzern heranzukommen, um damit beispielsweise Bankkonten zu plündern. |
|
|
|
Meran ist keine Frau, der man Leichtgläubigkeit unterstellen wollte oder |
|
Naivität im Umgang mit Technik. Die Wissenschaftlerin hat sich genau |
|
überlegt, dass sie, wenn sie Onlinebanking macht, auch ein sicheres |
|
Verfahren nutzen will. |
|
|
|
Lange hat sie einen externen TAN-Generator verwendet, und als der ihrer |
|
beruflichen Pendelei wegen zu umständlich wurde, auf das mTAN-Verfahren |
|
umgestellt. Das m steht für mobil, weil dem Nutzer eine TAN auf das |
|
Mobiltelefon, an eine vorher angegebene Nummer geschickt wird. Das soll |
|
verhindern, dass Dritte die Überweisung ausführen. |
|
|
|
## Wie hat sie sich infiziert? |
|
|
|
Bei Angelica Meran lief es fast klassisch: Als sie sich eines Tages bei |
|
ihrer Bank einloggen wollte, erschien ein Hinweis auf eine neue |
|
Sicherheitssoftware für das Handy, man benötige dafür ihre Telefonnummer. |
|
Meran gab sie an und wusste nicht, dass es damit schon zu spät war: Die |
|
Website gehörte nicht der Bank, sondern war ein täuschend echter Nachbau. |
|
|
|
Wie sie sich den Trojaner eingefangen hatte, der dafür verantwortlich war – |
|
das weiß Meran bis heute nicht. Einmal auf einen Anhang oder Link in einer |
|
vermeintlichen Bank-E-Mail geklickt? Einen infizierten USB-Stick in den |
|
Rechner geschoben? Auf der falschen Website gesurft? Meran zuckt die |
|
Schultern. |
|
|
|
Auch wie die Betrüger an die TANs gekommen sind, ist unklar. Teilweise |
|
bestellen sie beim Mobilfunkanbieter eine zweite SIM-Karte – und |
|
konfigurieren sie so, dass SMS nicht mehr an den Bankkunden, sondern an die |
|
Betrüger selbst gehen. Das dürfte bei Meran nicht passiert sein – ihr |
|
Mobilfunkanbieter bietet gar keine zweite SIM-Karte an. |
|
|
|
„Das Phishing hat heute schon eine ganz andere Qualität als früher“, sagt |
|
Sebastian Tiesler. Der 43-Jährige, seit elf Jahren beim Unternehmen Star |
|
Finanz, das unter anderem die App für Sparkassenkunden entwickelt, hat |
|
schon viele Sicherheitsmechanismen kommen und gehen sehen. |
|
|
|
Er sagt: „Solange nur ein Kunde darauf reinfällt, hat sich der ganze |
|
Aufwand für die Kriminellen gelohnt.“ Mit Aufwand meint er: einen Trojaner |
|
programmieren, Mails verschicken, eine falsche Seite bauen und sich |
|
gegebenenfalls um eine zweite SIM-Karte kümmern. |
|
|
|
## Es werden gezielt Konten mit hohen Summen gewählt |
|
|
|
Helga Koch, Leiterin der Onlinefiliale der GLS-Bank, analysiert die |
|
Phishingwelle beim mTAN-Verfahren so: „Die Betrüger suchen sich |
|
mittlerweile gezielt Kunden mit hohen Beträgen auf dem Konto.“ Genau wie |
|
bei Meran. |
|
|
|
Das Geld der Postbank-Kundin ist nun bei Krista Zaltite und Dino Murri. |
|
Vielmehr: Es ist bei den Menschen, die auf diese Namen irgendwo auf der |
|
Welt ein Konto eröffnet und das Geld von Merans Konto dorthin überwiesen |
|
haben. |
|
|
|
Die Namen müssen nichts heißen, denn nicht überall braucht man Ausweis, |
|
Pass oder Postident, um sich ein neues Konto zu organisieren. Auf dem |
|
lokalen Polizeirevier nehmen die Beamten Merans Anzeige auf. Viel Hoffnung, |
|
die Täter zu finden, machen sie ihr nicht. |
|
|
|
Für Meran beginnt der Albtraum Leben ohne Geld. Miete, Telefon, Supermarkt? |
|
Immer wieder steht sie vor dem Automaten, der ihr zwar die Karte, aber kein |
|
Bares ausspuckt. Meran muss sich Geld leihen, von Freunden, von der |
|
Familie. |
|
|
|
## „Die Beweislast trägt die Bank“ |
|
|
|
Und sie kann nicht einmal sagen: Nächsten Monat bekommt ihr es zurück. Denn |
|
sie weiß nicht, wann und ob sie das verschwundene Geld je wiedersehen wird. |
|
Ihre Bank lässt sich Zeit mit den Nachforschungen. |
|
|
|
„Die Beweislast trägt die Bank“, sagt Markus Feck, Finanzjurist bei der |
|
Verbraucherzentrale Nordrhein-Westfalen. Sie muss beweisen, dass der Kunde |
|
etwa keinen Virenscanner genutzt oder leichtfertig einen infizierten Anhang |
|
einer E-Mail geöffnet hat. |
|
|
|
Die Verbraucherzentrale betreibt das sogenannte Phishing-Radar – eine |
|
Seite, auf der sie von Verbrauchern gemeldete Phishing-Mails dokumentiert. |
|
Die zeigt: Die Zeiten, in denen die Mails in miserablem Deutsch mit |
|
haufenweise Rechtschreibfehlern verfasst wurden, sind vorbei. Die Schreiben |
|
lesen sich flüssig, vielleicht etwas gestelzt. |
|
|
|
„Ihr Konto entspricht nicht den aktuellen Anforderungen und muss deshalb |
|
durch eine Datenabgleichung aktualisiert werden“, heißt es etwa in einer |
|
Mail vom Oktober 2013. Angeblich soll sie von der Postbank stammen, |
|
angegeben ist aber eine frei erfundene Straße in Kiel. |
|
|
|
## Der Schaden der Banken bleibt geheim |
|
|
|
Wie hoch der Schaden ist – keine Zahlen. Natürlich haben die Banken kein |
|
Interesse daran, dass die Kunden das Vertrauen ins Onlinebanking verlieren. |
|
Denn sie nehmen der Bank damit einen guten Teil der Arbeit – und damit |
|
Kosten – ab. |
|
|
|
Nicht umsonst müssen Kunden für reine Onlinekonten häufig weniger oder |
|
keine Kontoführungsgebühren zahlen. Doch der Schaden, den die Banken haben, |
|
weil sie ihren Kunden unbefugt abgebuchtes Geld erstatten, scheint deutlich |
|
geringer zu sein als die Einsparungen durch das Onlinebanking. |
|
|
|
Auch das Geld von Meran hat die Bank schließlich erstattet. Am 31. Oktober |
|
werden die Beträge wieder gutgeschrieben, rückwirkend. „Eine |
|
Kulanzerstattung“, betont eine Sprecherin der Postbank. Welche Kriterien |
|
dazu führten, dass Meran das Geld wiederbekommen hat – das hält die Bank |
|
geheim. Bloß keine Aussagen, auf die sich andere Betroffene berufen |
|
könnten. |
|
|
|
Meran macht immer noch Onlinebanking. Sie hat die Festplatte ihres |
|
Computers neu formatiert und alle Programme neu installiert. Der Trojaner |
|
ist weg. Die Bauchschmerzen bleiben. |
|
|
|
*Name geändert |
|
|
|
24 Mar 2014 |
|
|
|
## AUTOREN |
|
|
 |
Svenja Bergt |
|
|
|
## TAGS |
|
|
|
Datenschutz |
|
Internet |
|
Smartphone |
|
Schwerpunkt Überwachung |
|
USA |
|
Schwerpunkt Überwachung |
|
Datenschutz |
|
Internet |
|
Handy |
|
Datenschutz |
|
Schwerpunkt Syrien |
|
|
|
## ARTIKEL ZUM THEMA |
|
|
|
Buch „Data Love“: Die Liebe zur Überwachung |
|
|
|
Der Medienwissenschaftler Roberto Simanowski analysiert das Individuum als |
|
Verbündeten seiner Überwachung. Die Warnung ist inbegriffen. |
|
|
|
Debatte Datensicherheit: Grenzenloser Zugriff |
|
|
|
Ein US-Gericht erweitert den Datenzugriff für die Strafverfolgung über die |
|
USA hinaus. Der Vertrauensverlust wird anwachsen. |
|
|
|
Abhören von Skype-Telefonaten: Trojaner in rechtlicher Grauzone |
|
|
|
Das Innenministerium will eine Änderung der Strafprozessordnung, um |
|
Online-Telefonie überwachen zu können. Aber das Justizministerium zögert. |
|
|
|
Privater Datenhandel per App: Persönliche Infos zum Sonderpreis |
|
|
|
Mithilfe einer App sollen Nutzer selbst entscheiden können, wem sie ihre |
|
private Daten anbieten. Doch wer nichts verkauft, wird zur Kasse gebeten. |
|
|
|
Geschichten über das Internet: „Berühr' mich, Gott“ |
|
|
|
In seinen „Surf- und Klickgeschichten“ sinniert Frank Sorge über einen |
|
virtuellen Gebetsraum und Justin Biebers Twitter-Account. |
|
|
|
Neue Berlin-Domain beliebt: Berlin am Ende |
|
|
|
Ab heute können sich auch Privatleute Internetdomains mit der Endung |
|
".berlin" registrieren lassen. Eine Internetadresse erklärt, welche |
|
Vorteile das hat |
|
|
|
Datensicherheit auf dem Handy: Ein Schloss fürs Smartphone |
|
|
|
Es tut sich was auf dem Markt der verschlüsselten mobilen Telefonie. Doch |
|
nicht nur die Preis-, auch die Qualitätsunterschiede sind groß. |
|
|
|
Schlüsselfragen des Datenschutzes: Behörden müssen getrimmt werden |
|
|
|
Höchste Zeit, dass das Recht auf Datensicherheit ernster genommen wird. |
|
Noch arbeiten viele staatliche Stellen und Firmen mit unverschlüsselten |
|
E-Mails. |
|
|
|
Nachfolger von Stuxnet: Hochkomplexer Virus entdeckt |
|
|
|
Er heißt „Flame“ und ist schon seit mehreren Jahren aktiv: Experten haben |
|
auf Rechnern im Nahen Osten einen Virus entdeckt. Er sammelt sensible Daten |
|
und wurde im großen Stil verbreitet. |
