Zurück zur Startseite
Wirtschaft
Zurück zur Startseite
Wirtschaft

Betrugsmasche: Sicherheitslücken beim Onlinebanking | BR24

© BR

Onlinebanken sind beliebt. Nicht nur bei Kunden, sondern auch bei Betrügern. Die nutzen Sicherheitslücken zum Identitätsdiebstahl. Ein besonders perfider Fall.

5
Per Mail sharen
Teilen
  • Artikel mit Audio-Inhalten

Betrugsmasche: Sicherheitslücken beim Onlinebanking

Ein junger Mann aus Erlangen, der einen Laptop kaufen will, ein gehackter Ebay-Account und eine Rentnerin, die ein Online-Konto eröffnet – sie alle werden Opfer von Cyberkriminellen. Und die nutzen Sicherheitslücken bei einer beliebten Onlinebank.

5
Per Mail sharen
Teilen

Sinan Ilger aus Erlangen ist zwar kein Computernerd, aber ein wenig kennt er sich schon aus mit dem Internet. Deshalb prüft er auch das Profil des Ebay-Verkäufers, bevor er ihm das Geld für den angebotenen Laptop überweist.

"Ich hab mir dabei nichts gedacht, weil sein Ebay-Kleinanzeigen-Account und sein Bankkonto derselbe Name war und er auch laut Ebay-Kleinanzeigen schon seit acht Jahren tätig ist und auch seine vollständige Adresse angegeben hat. Sprich ich war eigentlich ziemlich sicher, dass die Ware echt ist und dass die Person echt ist." Sinan Ilger, Onlinekäufer

Der Verkäufer heißt den Angaben nach Peter Lehmann und wohnt in Kassel. Zwar schreibt er seine Mails unter einer Adresse, die nicht seinen Namen enthält, aber das wundert Sinan Ilgar - noch - nicht. Erst als er nach einigen Tagen immer noch keine Sendungsnummer bekommt, wird der Laptop-Käufer misstrauisch und schaltet einen Anwalt ein.

Verkäuferkonto gehackt und zum Betrug missbraucht

Der schreibt an Peter Lehmann, der seit Jahren ein Ebaykonto besitzt, ihn aber schon lange nicht mehr aktiv nutzt.

"Ich kann noch nicht mal genau sagen, seit wann ich den habe. Verkauft habe ich seit Ewigkeiten nichts mehr über den Account." Peter Lehmann, Onlineverkäufer

Es stellt sich heraus: Peter Lehmanns Ebay-Kleinanzeigen-Account wurde gehackt, irgendjemand hat in seinem Namen den nicht existenten Laptop verkauft – an Sinan Ilger. Aber auf wessen Konto wurde dann das Geld für den Computer überwiesen?

Rentnerin eröffnet Onlinekonto im Auftrag von Betrügern

Hier kommt die Rentnerin Karin Schindler (Name geändert) ins Spiel, die auf der Suche nach einem Nebenjob auf folgende Anzeige eines angeblichen Marktforschungsunternehmens stößt:

"Die Praevento GmbH bietet ihnen die Möglichkeit als Produkttester zu arbeiten. All unsere Studien sind bequem vom Sofa aus durchführbar." Jobangebot im Internet

Karin Schindler aus Köln ist interessiert. Ihre Aufgabe: Sie soll den Service von Onlinebanken testen. Im konkreten Fall: die n26 Bank. Frau Schindler ruft also bei n26 an und eröffnet ein Konto. Online, mit Hilfe einer App, auf ihren Namen. Sie denkt, sie legt nur ein Testkonto an, doch genutzt wird es dann von Betrügern. Und auf dieses Konto zahlt Sinan Ilgar 650 Euro für einen Laptop, im Glauben, das Geld dem Ebay-Verkäufer Peter Lehmann zu überweisen.

Dass IBAN-Nummer und Kontoinhaber bei der Überweisung nicht übereinstimmen, wird bei der Bank nicht bemerkt, weil sie es gar nicht überprüft. Seit es die IBAN gibt, sind Banken nicht mehr verpflichtet, den Namen abzugleichen. Die Praevento GmbH aus Köln ist nach diesem Fall nicht mehr erreichbar. Der Internetauftritt ist gelöscht, Handynummern sind nicht mehr aktuell. Das Gewerbeaufsichtsamt Köln bestätigt auf Anfrage, es habe ein Unternehmen mit diesem Namen nie im Register geführt.

Sicherheitsexperte kritisiert Standards bei Onlinebank

Hätte diese Betrugsmasche verhindert werden können? Ja, sagt IT-Sicherheitsexperte Vincent Haupert, und zwar bei der Kontoeröffnung.

"Es ist eine Videokonferenz, ein Chat, man kann ja persönlich mit dem Kunden reden, und versuchen, mit entsprechenden Fragestellungen herauszufinden, zu welchem Zweck er hergekommen ist." Vincent Haupert, IT-Sicherheitsexperte

Wäre Karin Schindler direkt gefragt worden, warum sie ein Konto eröffnet, wäre die Betrugsmasche im Namen des angeblichen Marktforschungsunternehmens Preavento GmbH ziemlich wahrscheinlich aufgeflogen. Die Bank selbst ließ dazu auf Anfrage des BR schriftlich mitteilen, man könne Cyberkriminalität nicht verhindern.

"Aber natürlich tun wir alles, damit unsere Sicherheitsstandards jederzeit auf dem aktuellsten Stand sind. Als reguliertes Bankinstitut sind wir dazu verpflichtet, die Identität unserer Kunden vor der Kontoeröffnung zu überprüfen. Diese Pflicht nehmen wir sehr ernst." Stellungnahme von n26

Banklizenz: Sicherheitsstandards werden nicht geprüft

Gerne gibt sich n26 in der Öffentlichkeit das Image einer flotten, jungen, aber seriösen Bank. Letzteres belege die Lizenzierung durch die Bankenaufsichtsbehörde Bafin. Doch digitale Sicherheitsstandards werden bei so einer Lizenzvergabe gar nicht geprüft.

Die Bafin, die Bundesanstalt für Finanzdienstleistungsaufsicht mahnte n26 im Frühjahr dieses Jahres ab: Es gebe Mängel bei Maßnahmen gegen Geldwäsche und Terrorfinanzierung, das Unternehmen werde angewiesen, "eine vorgegebene Anzahl von Bestandskunden neu zu identifizieren". Sprich: Fake-Konten zu löschen beziehungsweise deren Entstehen zu verhindern.

Wie sicher mit den Daten und damit auch dem Geld von Kunden umgegangen wird, liegt im Ermessen der jeweiligen Bank. Sicherheitsexperte Vincent Haupert bleibt bei seiner Einschätzung:

"Manchmal gibt es eben schon so ein Spannungsfeld zwischen Sicherheit und Bequemlichkeit. Da hat man schon den Eindruck, dass n26 versucht, bei dem, was rechtlich-regulatorisch erlaubt ist, möglichst am unteren Ende zu bleiben." Vincent Haupert, IT-Sicherheitsexperte

Cyberkriminalität: Viele hundert Geschädigte

Der Fall, den der Bayerische Rundfunk recherchiert hat, ist kein Einzelfall. Die Betrugsmasche mit falschen Bankkonten ist weit verbreitet. Erst kürzlich ist der Zentralstelle Cybercrime Bayern ein Schlag gegen mutmaßliche Onlinebetrüger gelungen. Zwei Männer in Berlin wurden festgenommen. Sie sind, so heißt es in der Pressemitteilung der Polizei, "dringend tatverdächtig, mit betrügerisch erlangten Bankkonten und falschen Internetseiten mehrere hunderttausend Euro erlangt zu haben." Die Polizei geht von Hunderten Geschädigten aus.