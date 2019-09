14 Überweisungen auf spanische Konten innerhalb von zwei Tagen: Dann waren fast 60.000 Euro vom Konto eines Unternehmers bei der Harzsparkasse verschwunden. Für die Überweisungen sollen die Täter Handy-TANs benutzt haben, die sich vorher mit einem Trick beschafft haben. Jetzt muss das Oberlandesgericht klären, ob die Sparkasse oder der Kunde bei der Sicherheit Fehler gemacht haben.

Der Unternehmer nutzte für sein Onlinebanking offenbar mobile TANs. Die werden für jede Überweisung einzeln von der Bank per SMS auf das Handy des Kunden geschickt. Laut Zeitungsberichten zu dem Fall hatten die Täter offenbar bei der Harzsparkasse angerufen und gebeten, die TANs für das Konto des Unternehmers an eine andere Handynummer zu schicken. Der zuständige Mitarbeiter der Sparkasse ließ sich dann offenbar persönliche Daten des Kontoinhabers nennen und änderte die Handynummer. Damit war der Weg für die Betrüger frei. Der Unternehmer weiß nach eigenen Angaben nicht, wie die Täter an die Daten für sein Konto gekommen sind. Ihr Kunde müsse grob fahrlässig gehandelt habe, sagt die Bank. Ihr Sicherheitssystem sei praktisch unüberwindbar.

Unter Sicherheitsexperten gilt das Onlinebanking mit TANs aufs Handy als nicht hundertprozentig sicher. So weist das unabhängige Verbrauchermagazin Finanztip darauf hin, dass dieses Verfahren in der Vergangenheit schon von Kriminellen geknackt wurde. Die hatten Kontonummer und Passwort erbeutet, indem sie ihren Opfern eine Phishing-Mail schickten und dann eine Schwachstelle im Handynetzwerk ausnutzten. Auch mit dem Anfordern einer zweiten SIM-Karte fürs Handy kann das Verfahren ausgehebelt werden. Ob die Kriminellen auch so an die Daten des Unternehmers gekommen sind, ist aber noch völlig offen.

Einige Male landete der Streit um die Sicherheit von SMS-TANs auch schon vor Gericht. Der Kölner Jurist und Experte für Internetrecht Christian Solmecke kennt die Fälle:

Bildrechte: Tim Hufnagl 2019 gab es einen Fall vor dem OLG Schleswig. Das entschied, dass ein Kunde eine vermeintliche Störung seines Mobiltelefons nicht der Bank melden muss. Da war letztlich der Mobilfunkanbieter Schuld, das muss sich aber der Kunde nicht zurechnen lassen. Die Richter gingen davon aus, dass sich die Betrüger eine Ersatz-SIM-Karte beschafft hatten und so die SMS mit der Pin abfangen konnten.

In einem Fall von 2017 entschied das Amtsgericht München für die Bank und gegen die Kundin. Laut den Richtern ist es grob fahrlässig, wenn eine Kundin eine SMS-TAN am Telefon an eine fremde Person weitergibt.

Fakt ist: TAN-Nummern sollten nie an andere Personen weitergegeben werden, darauf weist Anwalt Solmecke hin:

Allgemein gilt: Niemals TANs an Dritte weitergeben bzw. für dubiose Gründe wie "Testüberweisung" oder ähnliches eingeben. Immer, wenn man eine unerwartete Aufforderung erhält, irgendwo eine TAN einzugeben oder TANs plötzlich mehrfach eingeben muss, sollte man zuvor auf die Seite der Bank gehen und prüfen, ob dort vor Betrugsversuchen gewarnt wird.

Im Zweifel sollten Kunden besser bei ihrer Bank anrufen, wenn ihnen etwas merkwürdig vorkommt. Klar sei aber auch, dass das TAN-Verfahren Lücken hat. Angreifer können sich die Daten auf Umwegen besorgt haben. Beispielsweise über das so genannte "social engineering". "Das geschieht dann über unseriöse Bewerbungsportale im Netz", erklärt Markus Montz von der Computerzeitschrift ct, "da schickt man seine kompletten persönlichen Daten hin, in der Hoffnung einen Job zu bekommen, dann haben die alles was sie brauchen - bis hin zur Telefonnummer".

Prinzipell muss man sich keine Sorgen machen, dass das SMS-TAN-Verfahren unsicher ist, auch wenn es Schwächen hat.