# taz.de -- Unsicheres Onlinebanking: System mit Tücken
> Ein Ehepaar und ein Schülerhort ziehen vor Gericht, nachdem sie bei
> Überweisungen über die Hannoversche Volksbank Opfer von Internetbetrügern
> wurden.
(IMG) Bild: Laut Volksbank noch sicherer: Sm@rtTAN-Gerät zum Online-Banking mit eingeschobener EC-Karte.
HAMBURG taz | Die Kassenwartin des Schülerladens Rambo Zambo in Hannover
war schockiert, als sie die Kontoauszüge durchging. 6.300 Euro waren dort
als Überweisung verbucht, der Empfänger war ein gewisser Jochen S.
Kassenwartin Steffie Krapf sagt, sie habe keine 6.300 Euro überwiesen und
schon gar nicht an einen Jochen S.. "Ich habe eine andere Überweisung
eingegeben und online die Buchung auch noch kontrolliert."
Krapf schlug Alarm. Daraufhin wurde gegen Jochen S. wegen Geldwäscherei
ermittelt: S. soll als so genannter Finanzagent fungiert haben. Diese
behalten einen Teil der Überweisung und transferieren den Rest ins Ausland.
Empfänger unbekannt. Da bei Jochen S. nichts zu holen war, konnte die
Volksbank das Geld nicht zurück buchen.
Nach dem gleichen Schema zum Opfer wurde ein Ärzteehepaar, bei dem über
Nacht wohl sogar noch der Dispo-Kredit hoch gesetzt wurde, um die
Überweisung von rund 10.000 Euro an einen Finanzagenten auszuführen.
Onlinebanking wird als erleichternd und zeitsparend für den Kunden
gepriesen. Banken, die mit Transaktionsnummern (TAN) arbeiten, wissen um
die Sicherheitslücken und begleichen Schäden oft stillschweigend. Doch wie
ist der Umgang mit Pannen bei den technisch ausgefeilteren Verfahren? Alles
Bedienungsfehler?
Beim "Sm@rtTAN plus"-Verfahren, auf das die Hannoversche Volksbank schwört,
arbeiten die Kunden mit Zusatzgeräten. Nach dem Ausfüllen der Überweisung
am Rechner bekommt der Kunde online einen Code und eine so genannte Data
von der Volksbank zugeschickt.
Bei der Data sollte es sich um die ersten 6 Stellen der
Empfängerkontonummer bei Einzelüberweisungen handeln. Bei einem Angriff
ändert sich die Kontonummer auf dem Bildschirm und es kommt eine Data
zurück, die zu der geänderten Kontonummer passt.
Wenn das dem Kunden nicht auffällt und er den Vorgang zu Ende bringt, hat
er an einen Internet-Betrüger überwiesen. Dann bleibt die Frage: Hat die
Bank genügend darüber informiert, dass die Data unbedingt mit der
gewünschten Empfängerkontonummer abgeglichen werden muss?
Um 25 Prozent ist die Internetkriminalität in Niedersachsen laut
Landeskriminalamt im letzten Jahr gestiegen. Angriffsszenarien durch
Internet-Betrüger kenne Volksbank-Sprecher Marko Volck auch, hält aber die
Anleitungen zum Verfahren im Onlinebanking für eindeutig und ausreichend.
Die Gütersloher Volksbank ist da längst vorsichtiger. Sie warnen ihre
Kunden gezielt: Von Betrügern auf PCs eingeschleuste Programme können
Überweisungen "manipulieren, so dass die von Ihnen eingegebenen Werte
weiterhin angezeigt werden, die von uns empfangenen Daten aber durchaus
verändert sein können".
In der Umsatzanzeige erscheine im Internetbanking noch die richtige
Überweisung, erst auf dem gedruckten Kontoauszug würde der Betrug
auffallen.
Die Hannoversche Volksbank antwortete der Kassenwartin Krapf lediglich, sie
habe eine falsche Data eingegeben. "Klar kontrolliere ich jedes mal, ob
beide Nummern passen, auch wenn ich viele Überweisungen mache", sagt Krapf.
Sie handele automatisch. "Das ist wie: Haben sie nach dem Hände waschen das
Wasser abgedreht?" Krapf ist empört.
Die Behandlung in der Volksbank-Filiale sei "unterirdisch" gewesen. "Ich
wurde regelrecht abgeblockt. Von einer Zusammenarbeit oder Solidarität
gegen die Betrüger im Hintergrund war nichts zu spüren."
Von "unglücklichen Geschichten" spricht Marko Volck von der Volksbank
Hannover: "Viele Fälle sind es nicht." Er schätze unter 20 im Jahr bei
240.000 Kunden. Aus Kulanz habe die Volksbank die Erstattung der halben
Schadenssumme angeboten, was weder der Schülerladen noch das Ärzteehepaar
akzeptierten.
Beide gingen zur Polizei. Die Kassenwartin ließ ihren Rechner von
Spezialisten der Volksbank nach Schadprogrammen durchsuchen. Die
Spezialisten fanden nichts. Allerdings könnte es sein, dass sich der
Trojaner nach der Arbeit selbst zerstört hat.
"Außerdem ist die Frage, wo der Trojaner sich denn tatsächlich eingenistet
hat - bei uns oder auf dem Zentralrechner der Bank? Die Programmierer
müssen auf jeden Fall über ein enormes Insiderwissen verfügen", sagt
Hortsprecher Mark Rozin.
Organisiert wird der Internetauftritt der Volksbanken von der Firma GAD aus
Münster. Auf so genannte Echtzeitmanipulationen einer Überweisung durch
Banking-Trojaner wiesen sie bereits auf der letzten Cebit hin. Für
Hort-Sprecher Rozin ist es "ein Unding, dass wir unser Geld erstreiten
müssen!
Die Bank wirbt für Onlinebanking, drängt es einem regelrecht auf, alles
andere kostet mittlerweile zusätzlich, Mitarbeiter werden eingespart und
was kommt dabei heraus? Die Bank fühlt sich nicht mehr zuständig, der
Schaden durch Missbrauch wird privatisiert."
Anwalt Jan-Markus Dehne vertritt das Ärzteehepaar und nun auch den
Schülerladen. Die Gerichte verweisen eines ans andere, schon die
Zuständigkeit zu klären, sei mühevoll, sagt Dehne.
Anspruchsgegner sind die Volksbank, die Finanzagenten und natürlich die
Drahtzieher dahinter. Gerade bezüglich letzterer beklagt sich der Anwalt
über die "maue Hilfe der Staatsanwaltschaften". Sehr hoch, vermutet der
Jurist, sei die bundesweite Anzahl an Geschädigten.
Alleine im Bereich der Staatsanwaltschaft Hannover belaufe sich die
Schadenssumme beim Onlinebanking auf geschätzte drei Millionen Euro im
Jahr, sagt Dehne.
"Empörend ist da das Verhalten der Volksbank ihren Kunden gegenüber, zumal
nach geänderter EU-Richtlinie der Kunde nicht zu haften braucht, wenn er
nachweisen kann, dass er nicht betrügerisch gehandelt hat."
14 Feb 2011
## AUTOREN
(DIR) Meike Kloiber
## ARTIKEL ZUM THEMA