Es passierte am 25. September des letzten Jahres. Dieter Scholl aus Schleitheim SH zahlte seine Rechnungen per E-Banking. Es loggte sich via Internet bei seiner Bank ein und veranlasste online seine diversen Zahlungsanweisungen an Empfänger, die von ihm Geld zugut hatten.
Ein Gintas Podelis aus Krakiai in Litauen war nicht darunter. Dennoch figurierte dieser Name auf den schriftlichen Zahlungsbelegen, die Scholl von seiner Bank vier Tage später erhielt. Darauf stand schwarz auf weiss: 2300 Franken waren via die Swedbank in Litauens Hauptstadt Vilnius an einen Empfänger namens Gintas Podelis gegangen. Und das mit dem Vermerk «Geschenk für Hochzeit».
Für Experten ist klar: Hier war der Trojaner Torpig Sinowal am Werk. Mit dieser raffinierten Software können sich Betrüger via Internet heimlich in den Computer ihrer Opfer schleichen und dort die Zahlungsaufträge manipulieren. Im konkreten Fall hatte Bankkunde Dieter Scholl zwar die Internetverbindung zur Bank beendet – doch der Trojaner hielt die Leitung unbemerkt aktiv und konnte so die Zahlungslisten manipulieren und Geld umleiten.
Einen Strick kann man dem Bankkunden daraus nicht drehen. Solche Trojaner lauern vielerorts beim Internet-Surfen – und selbst die besten Virenschutzprogramme können Infektionen des heimischen Computers nicht mit letzter Zuverlässigkeit verhindern.
Keine Zusatzprüfung für unübliche Zahlung
Doch Scholls Bank, die zur Clientis-Gruppe gehörende BS Bank Schaffhausen, muss sich den Vorwurf gefallen lassen, dass sie ihre Kunden nicht genügend schützte. «Ein zuverlässiger Schutz gegen solche Angriffe ist eine Transaktionssignierung über einen zweiten, unabhängigen Kanal – zum Beispiel via SMS», sagt Serge Droz, der bei der Registrierungsstelle Switch für die Internet-Sicherheit zuständig ist.
Das heisst: Moderne Systeme verlangen bei verdächtigen oder unüblichen Zahlungsanweisungen eine weitere Bestätigung. Gibt ein Kunde einen bestimmten Geldempfänger zum ersten Mal ein, muss er die Freigabe mit einem zusätzlichen Code bestätigen, den er via SMS erhält. Die Banken nennen das mTan – diese Abkürzung steht für «mobile Transaction Number».
Dass Ganoven gleichzeitig noch den SMS-Verkehr «abhören», ist zwar möglich, aber unwahrscheinlich.
Führende Schweizer Banken setzen ein solches System mit einer Zusatzprüfung per SMS-Code schon seit längerem ein – etwa Bank Coop, Credit Suisse, Raiffeisen, UBS und die Zürcher Kantonalbank. Die WIR-Bank führt die Transaktionssignierung 2012 ein.
Zusätzlich achten viele Banken auch sonst auf unübliche Transaktionen – ähnlich, wie das Kreditkartenfirmen tun: Sie sperren die Karte, wenn plötzlich ungewöhnliche Bezüge getätigt werden.
Mit einer zusätzlichen SMS-Bestätigung wäre die auffällige Zahlung von Dieter Scholl nach Litauen blockiert worden, denn er hatte zuvor noch nie Geld in dieses Land geschickt.
Bei vielen – vor allem kleineren – Banken hingegen müssen Kunden lediglich den Benutzernamen, ein Passwort und einen PIN-Code eingeben, um ins E-Banking-System zu gelangen. Den PIN-Code müssen Kunden einer separaten Karte beziehungsweise einer sogenannten Streichliste entnehmen. Sind diese drei Schritte getan, verlangt das System keine weiteren Bestätigungen. Der Kunde kann nun frei über sein Konto verfügen und beliebige Zahlungen tätigen.
«Streichliste ist nicht mehr zeitgemäss»
«Ein Sicherheitskonzept, das einzig auf einer Streichliste zum Einloggen beruht, ist heute in der Schweiz nicht mehr zeitgemäss», sagt Serge Droz.
Bei der Migros Bank erhalten Kunden einen USB-Stick mit einem eigens konfigurierten Browser, der den Kunden direkt mit der Bank verbindet – unter Umgehung seines möglicherweise infizierten Systems. Seit der Einführung des Sticks sei kein einziger Betrugsfall mehr aufgetreten, heisst es bei der Migros Bank. Und das bei über 20 Millionen Transaktionen.
Der Clou am ganzen Fall: Dieter Scholls Bank, die BS Bank Schaffhausen, hatte 2011 bereits ein System mit Zusatzcode per SMS in Betrieb. Doch der Kunde musste die «Transaktionssignierung» manuell selber einschalten, und er konnte sie auch wieder selber ausschalten. Also waren auch Internet-Gangster in der Lage, diese Option per Fernmanipulation auszuschalten.
Doch Bankkunde Scholl wusste nichts von der freiwilligen Funktion. Das ist auch nicht verwunderlich: Im Beschrieb «Kurze Anleitung zu NetBanking Plus», den man auf der Homepage der Bank herunterladen konnte, fehlte ein Hinweis auf diese wichtige Sicherheitsmassnahme. In den «Besonderen Bestimmungen für das E-Banking» ist sie ebenfalls nicht erwähnt.
BS Bank will nur Aufwand entschädigen
Hans Baechi – Vizechef der BS Bank – schrieb dem K-Tipp, dieser Schutzmechanismus sei erst seit Anfang 2012 «zwingend und standardmässig» installiert. Das Internet-Banking sei jetzt «ebenso sicher wie bei einer Grossbank».
Umso unverständlicher ist, dass die Bank den Kunden für seinen Schaden aus dem Jahr 2011 mit einer «Aufwandsentschädigung» von lediglich 1000 Franken abspeisen will. Das sei «mehr als nur entgegenkommend», schreibt Baechi, denn ein Fehler der Bank sei «vollständig» ausgeschlossen.
Übrigens: Die Postfinance kennt das System mit dem Zusatzcode bei verdächtigen oder unüblichen Zahlungen nicht. Die Post will ihren Kunden «keine zweite Visierung auferlegen». Transaktionen «mit auffälligen Mustern» würden aber wenn nötig verhindert. Damit gibt die Postfinance indirekt zu, dass ihr System eine Sicherheitslücke hat. Die Post habe aber eine «kulante Entschädigungspraxis».
Tipps: Sicherheit im Internet-Banking
Mit den folgenden Tipps können Sie ein Stück weit selber dazu beitragen, dass Sie nicht Opfer von E-Banking-Ganoven werden.
- Denken Sie daran, dass die Banken in ihren Geschäftsbedingungen jegliche Haftung für Verluste durch E-Banking auf die Kunden überwälzen. Überlegen Sie, ob Sie Ihre Bankgeschäfte trotzdem online erledigen wollen.
- Machen Sie Online-Banking bei einer Bank, die bei verdächtigen Zahlungen eine zweite Visierung verlangt – und zwar nicht über die Streichliste, sondern via SMS oder ein anderes unabhängiges System.
- Es scheint, dass es Internet- Betrüger vermehrt auf kleinere Banken abgesehen haben, die punkto Sicherheit nicht auf dem neusten Stand sind.
- Halten Sie Ihr Betriebssystem, Ihren Browser und Ihren Virenschutz stets auf dem neusten Stand.
- Achten Sie darauf, dass Sie auf dem Konto, das Sie für Zahlungen benutzen, nie zu viel Geld haben.
- Lesen und beachten Sie die Sicherheitsempfehlungen Ihrer Bank.
- Firmen sollten einen Computer bereitstellen, auf dem ausschliesslich E-Banking-Geschäfte getätigt werden.
- Falls Sie Opfer wurden, müssen Sie möglicherweise die Harddisk austauschen. Moderne Viren bleiben auf Ihrem Computer, wenn Sie nur das Betriebssystem wechseln oder neu installieren. Lassen Sie sich dazu von einem Fachmann beraten.
- Kontrollieren Sie die getätigten Zahlungen so schnell wie möglich. Falls Sie einen Betrug entdecken, kann Ihre Bank vielleicht bei der Empfängerbank bewirken, dass das Geld nicht an die Täter ausgezahlt wird.
- Neuerdings kann man seine Geldtransaktionen auch über das Mobiltelefon erledigen. Hier ist die Absicherung noch schlecht – davon ist also abzuraten.
- Reagieren Sie nie auf E-Mails, die Sie auffordern, Ihre Zugangsdaten in eine zugeschickte Maske einzugeben. Solche E-Mails kommen nie von der Bank, sondern immer von Betrügern.