Newsletter abonnieren

SMS-Tan unsicherer als gedacht? – Betrüger plündern Konten von Telekom-Kunden

Donnerstag den 22.10.2015

Binärcode
© fotolia – tiero
Sie galten bislang deutlich sicherer als die früher verwendeten Tan-Listen auf Papier. Doch auch die SMS-Tan, die für das mTan-Verfahren genutzt werden, haben einen Unsicherheitsfaktor, wie ein aktueller Vorfall zeigt.

Wie die »Süddeutsche Zeitung« berichtet, haben es Betrüger geschafft, sich Zugriff auf die Konten von Kunden der Telekom zu verschaffen. Der geschätzte Schaden durch den Betrugsfall beim Online-Banking: den ersten Erkenntnissen nach mehr als eine Million Euro.


Kunden verschiedener Banken – aber allesamt Telekom-Kunden

Betroffen von dem Betrugsfall mit Millionenschaden sind die Kunden mehrerer Banken. Aber besonders augenfällig: getroffen hat es nur Kunden der Telekom.

Das heißt: der Angriff auf das Online-Banking erfolgte nicht über die Bank-Accounts der Kunden, sondern über eine andere Schwachstelle: den Menschen. In diesem Fall waren es jedoch nicht nur die Telekom-Kunden selbst, die durch eigene Fehler die Betrüger an ihre Daten kommen ließen, sondern auch die Mitarbeiter des deutschen Telekommunikationsunternehmens.

Betrug in zwei Schritten

Der erste Schritt der Betrüger war es, sich Zugang zu verschaffen zu den Bankdaten des Kunden. Dies gelang ihnen mithilfe einer Software, die auf dem genutzten Gerät des Kunden – Computer, Notebook und Co. – installiert wurde und die Daten des Bankkunden ausspähte.

Wie diese genutzte Spähsoftware auf den Computer der Bankkunden kam, beschreibt der Artikel nicht. Es ist jedoch zu vermuten, dass dies mittels so genannter Phishing-Mails geschah. Diese meist vermeintlich von Banken, Zahlungsdiensten oder anderen Unternehmen kommenden E-Mails sind gut getarnt, enthalten aber eine gefährliche Fracht: entweder eine Spähsoftware, die sich selbst installiert, oder eine Schadsoftware.

Durch die auf dem Computer installierte Software wurde dann der Zugang zum Konto des betroffenen Bankkunden ausgespäht. Dazu gehörten sowohl die Kontodaten selbst als auch das Passwort selbst. Damit hatten sie den ersten Schritt in Richtung »Konto abräumen« schon getan.

Neben den reinen Kontodaten und den Zugang zum Konto selbst, spähten die Betrüger außerdem die Mobilfunknummer des betroffenen Bankkunden aus. Was dann zum zweiten Schritt des Online-Banking Betrugs führte.

Surftipp: Wer hat Angst vorm »Schwarzen Mann«? – Der »Man in the Middle Angriff«

Telekom-Mitarbeiter waren zu leichtgläubig

Der Betrug lief, so hat es nach dem Medienbericht der »Süddeutschen« zumindest den Anschein, ganz einfach ab. Die Betrüger nutzten dazu die ebenfalls ausgespähte Mobilfunknummer des Kunden.

Danach gaben sie sich bei der Telekom als Mitarbeiter eines Shops für Mobilfunk aus. Ohne sich entsprechend sorgfältig ausweisen zu müssen, meldeten sie bei der Telekom, dass sie für einen Kunden die Aktivierung einer Ersatzkarte benötigen. Vorgeschoben wurde dafür der Verlust der eigentlichen Sim-Karte des Kunden.

Schwierigkeiten schienen ihnen die Telekom-Mitarbeiter nicht zu machen. Die Betrüger bekamen die Ersatzkarte aktiviert und konnten so die für Banktransaktionen erforderlichen SMS-Tan auf ihrem eigenen Mobilfunkgerät empfangen.

Das hört sich nach großer Leichtgläubigkeit bei den Mitarbeitern des Telekommunikationsunternehmens an und zugleich nach schlechten Sicherheitsvorkehrungen. Die Sicherheit der Kunden und ihrer Daten war somit nicht gewährleistet, weil die Telekom es den Betrügern augenscheinlich leicht gemacht hat, einen angeblichen Sim-Karten Verlust zu melden und danach eine Ersatzkarte aktivieren zu können.

Nach Bericht der »Süddeutschen Zeitung« hat die Telekom inzwischen ihre »Maßnahmen zur Händleridentifikation verschärft«. Die Fragen, die sich hier stellen: wieso sind nur Kunden der Telekom betroffen? Und wieso wird in einem so wichtigen Punkt der Sicherheit für die Kunden erst nach einem solchen Betrugsfall gehandelt?

Entweder waren grundsätzlich keine anderen Mobilfunkanbieter von diesem Betrug betroffen, oder aber sie hatten schlichtweg bessere Sicherheitsvorkehrungen als die Telekom und die Kriminellen so bereits beim Versuch, die Aktivierung einer Ersatzkarte zu erhalten, ausgebremst.

Täter haben Methoden zum Betrug mit mTan weiter verfeinert

Wie eine Sprecherin der Telekom auf Anfrage der »Süddeutschen« mitteilte, haben die Täter ihre Methoden zum Betrug mit den meist als mTan bezeichneten SMS-Tan »weiter verfeinert«. Die Zahl der Fälle, bei denen diese Art von Betrug auftrat, liegt nach Angaben der Telekom »im mittleren zweistelligen Bereich«.

Der Zugang zu den Mobilfunkgeräten durch diese neue Art von Betrug wurde den Kriminellen leicht gemacht. Die Verschärfung der Sicherheitsvorkehrungen beim Telekommunikationsunternehmen wird dies in Zukunft zu vermeiden wissen – hoffentlich.

Hoher Schaden für einzelne Kunden

Die Zahl der Kunden mag nur im zweistelligen Bereich gelegen haben, bevor die Sicherheitslücke durch die Telekom geschlossen wurde. Dennoch war der Schaden für die einzelnen betroffenen Kunden wohl hoch.

Dem Zeitungsartikel in der »SZ« nach wurde bei einem Kunden der Postbank ein Betrag von insgesamt mehr als 30.000 Euro vom Bankkonto gestohlen. Die einzelnen Schritte dabei zeigen, dass die Betrüger ganz gezielt vorgingen, um das Konto des betroffenen Telekom-Kunden abzuräumen.

Wie die »Süddeutsche« schreibt, wurden in drei Vorgängen, die einzeln durchgeführt wurden, Beträge von dem Tagesgeldkonto des Kunden auf das Girokonto des Betroffenen übertragen.

Danach wurde das so vom Tagesgeldkonto des Bankkunden übertragene Geld in neun verschiedenen Überweisungen mit unterschiedlich hohen Beträgen auf andere Bankkonten überwiesen.

Damit wurde durch die Cyberkriminellen das Limit zum Überweisen gegangen, welches der Bankkunde selbst festgelegt hatte. Zudem fielen die einzelnen Buchungen so nicht auf und wurden entsprechend auch nicht manuell nachgeprüft durch die Bank.


Was ist »Banken-Malware«? Wie fängt man sich Trojaner und Viren überhaup ein? Wie kann man sich vor solchen Angriffen schützen? Mehr Informationen und Wissenswertes zum Thema »Banken-Malware« gibt’s hier.

Banken machtlos bei solchen Betrugsfällen

Die ganzen Sicherheitsvorkehrungen der Banken nutzen nichts, wenn nicht in alle Richtungen hin die Sicherheit der Daten der Kunden gewährleistet ist.

Der Grad der Sicherheit von SMS-Tan ist hoch. Doch wenn der Mensch, wie in diesem Fall die Mitarbeiter der Telekom, zur Schwachstelle wird, nützen all die anderen hohen Sicherheitsvorkehrungen nichts.

Die Banken sind machtlos, wenn es zu solchen, in mehrere Schritte unterteilte, Betrugsfällen kommt. Hier hat sowohl der Mensch als Eingangstor für das Abgreifen der Daten gedient wie auch ein anderer, der die Aktivierung der Ersatzkarte vornahm.

Imageschaden für die Telekom?

Für das Telekommunikationsunternehmen stellt sich nun natürlich die Frage, wie hoch nicht nur der finanzielle Schaden selbst ist, sondern wie stark auch das eigene Image beschädigt wurde.

Die Kunden werden in diesem Fall, wie bereits bei früheren Betrugsfällen mit mTan, entschädigt werden. Die sagte auch ein Sprecher der Telekom: »Wir werden die Erstattung des Schadens kurzfristig einleiten«.

Dennoch bleibt, Erstattung der finanziellen Schäden hin oder her, ein bitterer Beigeschmack. Schließlich geht es hier um die Sicherheit der Daten der Telekom-Kunden, welche durch die Sicherheitslücke einen Schaden genommen hat.

Es wird sich nun zeigen müssen, wie transparent die Telekom in Zukunft mit solchen Vorkommnissen umgehen will und umgehen wird. Mehr Offenheit wäre der erste Schritt, um den Kunden wieder ein besseres Gefühl der Sicherheit zu geben.

Der Faktor Mensch ist das unsichere Glied in der Kette

Bei diesem Betrugsfall zeigt sich wieder, was sich wie ein Faden durch die Geschichte der Cyberkriminalität zieht: der Mensch ist das schwächste Glied in der Kette.

Dies zu ändern, wird kaum möglich sein. Hier kann wohl nur mehr Informationsarbeit der Banken und Unternehmen helfen. Die Bürger mit ihren Fragen allein zu lassen ist hingegen der falsche Weg.

Auch ist es wichtig, den Bankkunden jetzt klar zu machen, dass sie, wenn sie bestimmte Dinge beachten und Vorkehrungen treffen, nur sehr schwer zu Opfern solche Betrugsfälle werden können. Sie stopfen dann »bei sich selbst« die Sicherheitslücke, welche am größten von allen ist.

Wie können sich Bankkunden schützen?

Für die bei diesen Betrugsfällen genutzte Spähsoftware gilt Ähnliches wie für Banken-Malware. In unserem Ratgeber zu diesem Thema finden Sie die wichtigsten Informationen, wie Sie sich vor Phishing-Attacken schützen können.

Was im Schadensfall tun?

In Betrugsfällen wie dem genannten, gibt es nur eine Möglichkeit: sich direkt an die eigene Bank wenden und am besten direkt den Zugang zum Bankkonto sperren zu lassen. Danach sollte die Mobilfunknummer, welche für die Zusendung der mTan genutzt wird, geändert werden.

Die Erstattung des Schadens erfolgt in diesem Falle von dem Telekommunikationsunternehmen direkt. In Fällen, in denen der Bankkunde selbst seine Nummer und seine Kontodaten weitergegeben hat, könnte dies anders aussehen. Hierbei könnte es gegebenenfalls zur Entscheidung im Einzelfall kommen.

Das Wichtigste ist, den entstandenen Schaden umgehend der Bank zu melden. Dies gilt für jede Art von Betrugsfall, in welchen das eigene Bankkonto oder die Kreditkarte involviert sind.

Betrug beim Online-Banking – Vorbeugende Tipps für Bankkunden im Überblick

Die Prävention ist das Wichtigste bei Cyberkriminalität. Hier sind nicht nur die Banken gefragt, sondern jeder Bankkunde selbst. Deshalb möchten wir an dieser Stelle einige Tipps in Sachen Vorbeugung geben.

  • Der erste Schritt, bevor Sie mit einem Computer, einem Notebook, einem Smartphone oder einem Tablet ins Internet gehen, sollte immer die Installation eines Anti-Viren-Programms sein. Ohne einen solchen Schutz im Internet zu surfen ist fahrlässig; für die eigenen Daten sowie für die Sicherheit des eigenen Bankkontos.
  • Finger weg von E-Mails, deren Absender unbekannt ist.
  • Finger weg von E-Mails, deren Betreff mit zugkräftigen und zugleich verunsichernden Wörtern arbeiten, wie z.B. Konto gesperrt, Konto aktualisiert, Kreditkarte ausgesetzt etc.
  • Wurden diese E-Mails geöffnet, sollte auf keinen Fall der Dateianhang geöffnet werden, da sich dahinter eine Schadsoftware oder eine Spähsoftware befinden kann. Diese Software ist so programmiert, dass sie sich selbst installiert, ohne dass der Nutzer des Geräts etwas davon mitbekommt.
  • Finger weg von E-Mails, deren Absender unbekannt ist.
  • Wurden diese E-Mails geöffnet, auf keinen Fall Links anklicken, die sich innerhalb der Mail befinden. Solche Mails dienen dann dazu, Phishing-Attacken auszulösen, indem der Verbraucher auf täuschend echt nachgemachte Seiten von Banken, Sparkassen, Zahlungsdiensten und Co. geleitet wird. Dort wird er dann dazu animiert, seine Daten einzugeben, wodurch die Cyberkriminellen sowohl die Bankdaten wie auch die Zugangsdaten zum jeweiligen Bank-Account (Pin oder Passwort) abgreifen können.
  • Wurden Sie zu einem Opfer einer solchen Phishing-Attacke, gehen Sie umgehend zur Polizei, wenden sich direkt an Ihre Bank und lassen Ihr Bankkonto und Ihre Kreditkarte sperren. Scham, weil Sie Opfer eines solchen Betrugs wurden, wäre hier falsch am Platz. Darauf reinfallen kann jeder, dies liegt in der Natur des Menschen.


Linkliste zu Phishing-Attacken und Cyberkriminalität:

So verhalten Sie sich als Opfer einer Phishing-Attacke richtig
Phishing-Abwehr 7 sichere Tipps gegen Phishing
Die Haftungsfrage bei Phishing-Attacken
Phishing – Gefahren und Maßnahmen zur Abwehr