Login
Geld & Recht

10.000 Euro vom Konto geräumt

von , am
25.09.2014

Zuerst eine gefälschte Email, dann fehlt Geld auf dem Konto: Wenn Online-Betrüger am Werk sind, kann es teuer werden. Ein LAND & Forst-Leser kam so zu Schaden. Fachredakteurin Cornelia Bley berichtet.

Die Masche mit den gefälschten Rechnungen taucht seit Jahren in verschiedenen Varianten auf. Absender und Inhalt haben nichts mit den jeweiligen Telefon- und Internetanbietern zu tun. © imago/Arnulf Hettrich

Anruf in der Redaktion. Landwirt Hans-Henning Kaiser aus Endeholz im Landkreis Celle hat ein Problem, und zwar ein großes: Knapp 10.000 Euro haben Online-Betrüger von seinem Bankkonto abgezweigt und wie es scheint, ist das Geld endgültig verloren. Angefangen hat alles mit einer gefälschten E-Mail von der Telekom, die den Anschein erweckte, eine Rechnung zu enthalten und dazu aufforderte, über einen Download-Link (das ist eine Datei-Verknüpfung) Rückstände abzurufen. Kaiser klickte ahnungslos auf den Link, doch keine Rechnung erschien auf seinem Bildschirm.

Auf ein Konto im Ausland

Wenige Tage später füllte der Landwirt auf der Internetseite seiner Bank, der Volksbank Südheide, eine Sammelüberweisung aus. Insgesamt enthielt sie sechs Posten, die Kaiser mit einer Transaktionsnummer (TAN) bestätigte. Dafür nutzte er das sogenannte Smart-TAN plus-Verfahren: Er hat von der Bank ein kleines Gerät erhalten, in das er seine EC-Karte einführt. Es generiert am Ende des Vorgangs eine TAN und diese gab Kaiser mit der Tastatur seines Computers in das Internetformular ein. Soweit alles in Ordnung. Erst fünf Tage später bemerkte er den hohen Fehlbetrag, den er auf ein fremdes Konto in Großbritannien überwiesen haben soll. Nachforschungen der Volksbank verliefen ergebnislos, wohin das Geld letztlich geflossen ist, bleibt unklar. Dabei wirkte sich auch negativ aus, dass Kaiser die ungewollte Kontobewegung spät bemerkt hat.

Kaiser vermutet, dass alles mit der gefälschten E-Mail zusammenhängt. Die Deutsche Telekom bestätigt auf ihrer Homepage, dass solche Nachrichten kursieren und warnt davor, den Link anzuklicken, weil sie eine Schadsoftware enthält. Auch andere Telefonanbieter wie Vodafone und O2 sind von dieser Masche betroffen.

"Mein Virenprogramm war nicht aktuell", gibt Kaiser zu. Er glaubt, dass die Betrüger mit der Schadsoftware seine Bankdaten ausgespäht haben und, während er selbst gerade die Sammelüberweisung tätigte, im Hintergrund Geld ins Ausland transferierten, indem sie eigenständig eine TAN erzeugten. Genau das sei aber nur in Verbindung mit dem TAN-Generator möglich, meint die Volksbank Südheide und sieht sich damit auf der sicheren Seite. Sie will das fehlende Geld nicht erstatten, auch nicht aus Kulanz – zumal sich Kaiser wegen des lückenhaften Virenschutzes selbst geschadet hat.

Beweisschwierigkeiten

Pressesprecher Olaf Genth erklär gegenüber LAND & Forst, dass das Smart-TAN plus-Verfahren dem aktuellen Stand der Technik entspricht und "sicher" ist. Um das zu verdeutlichen, erklärt er wie es funktioniert: Smart-TAN plus ist ein sogenanntes Zwei-Schritt-TAN-Verfahren. Das bedeutet, dass der Kunde nach der Eingabe der Daten in das Online-Formular zunächst am TAN-Generator die Art der Überweisung (Inland, Ausland oder Sepa) mit dem "Ok"-Knopf am Gerät bestätigt. Gleiches geschieht anschließend mit der Kontonummer des Empfängers und dem Betrag. Erst nach dem zweiten "Ok" erzeugt das Gerät eine TAN. Das Geld könne also nach Ansicht der Bank nicht ohne Kaisers Zutun ins Ausland überwiesen worden sein.

"Ich bin damit zu lax umgegangen und dachte, die Bank kümmert sich schon drum", sagt der Landwirt über sein Dilemma. Er hat sich an einen Rechtsanwalt gewandt, um sich nach seinen Rechten zu erkundigen. Dort erhielt er nach eigenen Angaben die Auskunft, dass er nur dann eine Aussicht hat, das Geld von der Bank zurückzuerhalten, wenn er beweisen kann, dass es technisch möglich ist, ohne das Gerät, das er zuhause in Verbindung mit seiner EC-Karte nutzt, eine TAN zu erzeugen.

Genau das dürfte aber schwierig werden. Erst kürzlich hat das Landgericht Darmstadt in einem ähnlich gelagerten Fall dem Smart-TAN plus-Verfahren eine "hohe Systemsicherheit" bescheinigt (Urteil vom 28. August 2014, Az. 28 O 36/14). "Aus technischer Sicht ist es nach derzeitigem Stand so gut wie ausgeschlossen, dass bei Verwendung dieses Verfahrens tatsächlich erfolgte Online-Überweisungen nicht von dem Bankkunden selbst vorgenommen wurden", begründeten die Richter ihre Entscheidung und lehnten die Haftung der beklagten Bank ab.

Kaiser sieht seine Hausbank dennoch in der Verantwortung. "Wenn Banken für Onlinebanking werben, müssen sie auch mehr Aufklärung über die Risiken leisten", meint er. Kunden müssten sich ihrerseits nach dem sichersten Standard erkundigen.
Er will jetzt alle Leser vor der Betrugsmasche und dem Risiko eines allzu sorglosen Umgangs mit dem Internet und persönlichen Daten warnen, auch wenn es ihm selbst vermutlich nichts mehr nützt. Er hat Anzeige bei der Polizei erstattet und kann nur noch hoffen, dass die Hintermänner gefasst werden. 
Auch interessant