Betrüger gelangen verstärkt an Zugangsdaten

Schnell und einfach Bank- und Zahlungsgeschäfte abwickeln: Online-Banking ist für viele Menschen nicht mehr aus dem Alltag wegzudenken. Und mobile Geräte machen das Online-Banking sogar noch attraktiver. Mit dem Handy, dem Smartphone oder dem Tablet-Computer kann mittlerweile fast von überall auf das eigene Konto zugegriffen, können auch Zahlungen vorgenommen werden. Dass hierbei aber auch Risiken drohen, macht eine aktuelle Presseerklärung der R+V Versicherung deutlich: Mit der Mobilität nehmen auch die Schäden durch Onlinebanking-Betrug „deutlich zu“.

Anzeige

So ergab eine Auswertung eigener Daten des Unternehmens als Bankenversicherer: Der durchschnittliche Schaden durch Onlinebanking-Betrug habe sich im ersten Halbjahr 2019 gegenüber den Vorjahreswerten verdreifacht. Lag doch in den letzten Jahren der durchschnittliche Schaden jener Banken, die bei der R+V versichert sind, noch „bei einigen tausend Euro“ je Betrug. In den ersten sechs Monaten des Jahres 2019 aber wuchs die durchschnittliche Schadensumme deutlich und liegt aktuell bei 15.000 Euro. Einen Gesamtschaden von fünf Millionen Euro musste der Versicherer verzeichnen, verursacht durch insgessamt 300 Betrugsfälle für die erste Jahreshälfte. Das Fazit des Versicherers: Betrügern gelinge es derzeit – trotz der gezielten Warnhinweise der Banken – verstärkt, an die Zugangsdaten zum Onlinebanking von Bankkunden zu gelangen.

Gelder ins Ausland bringen – die Direktbank macht es möglich

Einen Grund für die Zunahme des Betrugs sieht der Versicherer im mobileTan-Verfahren, das zu Lasten der Kunden missbraucht wird. Hierfür nutzen die Betrüger „verhältnismäßig einfach und schnell eröffnete Direktbankkonten“, um das Geld ins Ausland zu transferieren – „umgehend“ und „selten rückrufbar“, wie der Versicherer herausstellt. Aus diesem Grund folgt auch ein Appell an die Kontoinhaber: Neben technischen Maßnahmen müssten Zugangsdaten zu den Konten besser geschützt, Warnhinweise der Banken mehr beachtet werden. Informieren doch auch Versicherer die Banken über neue Betrugspraktiken. Die Banken geben in der Folge Warnungen an die Kunden weiter.

BSI: empfiehlt sogar, auf mTan-Verfahren "zu verzichten"

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) klärt auf seinem Bürger-Portal über Risiken des mTAN-Verfahrens sowie des TAN-Versands per SMS auf, empfiehlt sogar, „auf den Einsatz von mTAN-Verfahren ganz zu verzichten“ – gibt aber ebenso Tipps für den Fall, dass man dennoch nicht auf diesen Komfort verzichten will. So sollte stets geprüft werden, ob in der SMS neben der TAN auch die Kontonummer des Empfängers sowie der Überweisungsbetrag stehen. Fehlen Angaben oder verweisen Angaben auf einen nicht bekannten Vorgang, ist es stets besser, vor dem Transfer zunächst bei der Bank nachzufragen. Auch sollte Software grundsätzlich nur von vertrauenswürdigen Quellen installiert werden, zum Beispiel der Bank oder beim bekannten App-Store. Denn Betrüger würden vermehrt versuchen, neben dem Rechner auch mobile Geräte mit Schadprogrammen zu infizieren – zum Beispiel, indem ein angebliches Zertifikat oder Update für das mTAN-Verfahren angekündigt wird. Hier sollte man misstrauisch sein, sich notfalls bei Updates ebenfalls zunächst um die Auskunft seiner Bank bemühen. Auch sollten keine Bankgeschäfte an fremden Rechnern ausgeführt werden.

Eine besondere Gefahr sieht das Bundesamt zudem in schlecht gesicherten öffentlichen WLANs – diese sind für den Datenverkehr beim Online-Banking oft nicht genügend verschlüsselt und sollten demnach nie fürs Mobile Banking genutzt werden. Auch sollte kein gerootetes mobiles Gerät zum Mobile Banking genutzt werden. Weitere Tipps und "goldene Regeln für die sichere Nutzung des Mobile Banking" können auf den Seiten des BSI nachgelesen werden.

Für den Schadenfall gilt: Bank muss Kunden fahrlässiges Verhalten nachweisen

Für den Schadenfall gilt: Kommt es zu ungewollten Abbuchungen durch Onlinebanking-Betrug, sind Banken zunächst in der Beweispflicht, dass die betroffenen Kunden fahrlässig gehandelt haben (zum Beispiel durch Verletzung der Pflichten des Zahlungsdienstnutzers gemäß Paragraph 675l Bürgerliches Gesetzbuch). Können die Banken diesen Beweis jedoch nicht erbringen, sind sie verpflichtet, dem Kunden das durch Online-Banking gestohlene Geld zu ersetzen (der Versicherungsbote berichtete).

Anzeige

Eine solche rechtliche Situation ist jedoch kein Freibrief für unbedarftes Online-Banking. So führte der Fachanwalt für Bank- und Kapitalmarktrecht Volker Lang gegenüber dem Versicherungsboten aus: Gerichte erwarten immer mehr, dass Kunden aufgrund der weitreichenden Berichterstattung und aufgrund vieler Warnungen auch allgemein bekannte Sicherungsmaßnahmen einhalten. Fahrlässig kann es demnach schon sein, jene bankseitigen Sicherheitshinweise zu ignorieren, deren Beachtung auch die R+V anmahnt. Ist ein Betrugsfall entdeckt, sollten Kunden zudem unverzüglich den Schaden melden und mit der Bank Vorkehrungen gegen weiteren Schaden treffen.