Der Journalist Harald Freiberger berichtete in der Süddeutschen Zeitung am 20. Oktober 2015 von der Betrugsserie beim Online-Banking in dessen Mittelpunkt das Verfahren mit mobilen Transaktionsnummern (mobile Tan) steht. Von der Berichterstattung betroffen sind die Deutsche Postbank AG und der Mobilfunkanbieter Deutsche Telekom AG, die Opfer von Sicherheitslücken beim mobilen Tan-Verfahren bzw. beim unautorisierten Zugriffe auf Mobilfunkgeräte geworden seien. Die Täter hätten in Dutzenden Fällen hohe, meist fünfstellige Beträge von den Konten der Geschädigten abgehoben und der geschätzte Schaden summiere sich auf mehr als eine Million Euro. Grund genug für ilex Rechtsanwälte die sich stellenden Rechtsfragen beim Phishing (Passwörter fischen) und bei der Nutzung des mobile TAN Verfahren zu beantworten.

Überblick:

• Worum ging es in dem konkreten Fall?
• Bekommen die betroffenen Bankkunden in den Betrugsfällen mit mTan in jedem Fall ihr Geld ersetzt?
• Wie funktioniert das mobile TAN Verfahren auf reguläre Weise?
• Wie gelingt es den Tätern das mobile TAN Verfahren und den Server der Bank zu überlisten?
• Wie gehen die Täter ganz genau vor?
• Wie gelangt die SMS auf das Handy der Straftäter?
• Was passierte in dem von der Süddeutschen Zeitung geschilderten Fall?
• Wie sicher ist das mobileTAN Verfahren jetzt?
• Wer haftet für die Schäden?
• Gibt es höchstrichterliche Entscheidungen zu dem Thema?
• Gibt es auch sichere Online-Banking Verfahren?
• Was können die Banken hieraus lernen?
• Wie verlief die bisherige Geschichte des Online-Bankings?

Worum ging es in dem konkreten Fall?

Die Süddeutsche Zeitung hat einen ihr bekanntgewordenen Fall, bei dem unautorisiert 30.000,- EUR abgebucht worden seien, herausgegriffen und exemplarisch daran geschildert, wie es den Tätern gelingt, dass mobile TAN Verfahren (mobile TAN) oder das sogenannte SMS-TAN Verfahren auszuhebeln. Für die davon betroffene Deutsche Postbank AG, die sich als eine der „Pioniere für Banking im Internet“ versteht und auch für den Mobilfunkanbieter Telekom Deutschland GmbH, die das dazugehörige Mobilfunkgerät anbot, ist dies eine unangenehme Berichterstattung, die in der Tat Versäumnisse offenlegt. Allerdings sind diese Versäumnisse seit Jahren bekannt und mit dieser Berichterstattung war zu rechnen. Der Ablauf der Betrugsmasche ist jedenfalls alles andere als neu. Ilex kennt die Fälle mit den Angriffen auf die Sicherheit des mobilen TAN Verfahren (SMS-TAN) seit mehreren Jahren und steht längst mit einer Vielzahl solcher Verfahren vor Gericht.

Bekommen die betroffenen Bankkunden in den Betrugsfällen mit mTan in jedem Fall ihr Geld ersetzt?

Sofern davon ausgegangen wird, dass die betroffenen Bankkunden in jedem Fall ihr Geld zurückbekommen, ist dies ein Trugschluss. Ansonsten gäbe es die Gerichtsverfahren bei den Angriffen auf das mobile TAN Verfahren gar nicht. Aktuell sind mehrere allein von der Kanzlei ilex betreute Gerichtsverfahren zum Abgreifen beim mobilen TAN Verfahren bei unterschiedlichen Gerichten anhängig; zum Teil schon seit Monaten.

Wie funktioniert das mobile TAN Verfahren auf reguläre Weise?

Bei dem mobilen TAN Verfahren handelt es sich um ein sogenanntes Zwei-Wege-TAN-Verfahren. Möchte der Bankkunde eine SEPA-Überweisung vornehmen, stellt er zunächst die Online-Verbindung über das Internet zu seiner Bank her. Er tippt die Überweisungsdaten in das Online Banking ein und fordert zur Freigabe dieser konkreten Überweisung die darauf abgestimmte TAN an. Nun gibt es einen zweiten Kommunikationsweg, der gesondert über das Mobilfunkgerät läuft. Der Server der Bank sendet nun auf die vom Bankkunden einmal hinterlegte Mobilnummer eine SMS in der die indizierte Transaktionsnummer (TAN) zu finden ist, damit der Bankkunde die für den konkreten Zahlungsvorgang gedachte Banküberweisung freigeben kann. Diese TAN soll der Bankkunde wiederrum auf dem zweiten Weg, dem Online Banking eingeben, um die von ihm gewollte Überweisung freizugeben.

Wie gelingt es den Tätern das mobile TAN Verfahren und den Server der Bank zu überlisten?

Der erste Schritt besteht stets darin, das Verhalten des betroffenen Bankkunden auszuspähen und wesentliche Daten abzugreifen. Grundsätzlich sind hierzu drei Varianten vorstellbar. Die am meisten verbreitete Variante besteht darin, sich mit einer Schadsoftware in den Computer des Bankkunden einzuhacken (trojanisches Pferd). Eine seltene Variante besteht darin, die Internetknotenrechner zu scannen. Theoretisch ist es auch vorstellbar, dass es sich um eine Innentäterattacke handelt und die Täter den Server der Bank manipuliert haben. In jedem Fall aber haben die Täter Zugriff irgendwo in der Mitte zwischen dem Server der Bank und dem Bankkunden. Auf diese Weise kotrollieren sie den Datenverkehr und man spricht von einem „Man-in-the-Middle-Angriff“; also von dem „dritten Mann“ mitten im Datenverkehr zwischen dem Server der Bank und dem Bankkunden.

Wie gehen die Täter ganz genau vor?

Die Täter kundschaften mit Hilfe einer Schadsoftware (trojanisches Pferd) die Zugangsdaten zum Online-Konto aus; d. h. sie lesen das Zugangspasswort mit. Ferner beschaffen sie sich die Mobilnummer des Kunden, die möglicherweise irgendwo im Impressum einer Mail des Kunden zu finden ist und sie lesen ggf. das Zugangskennwort beim Mobilfunkanbieter aus. Sobald die Täter diese Daten beisammen haben, ist es keine allzu große Hürde sich mitten in einer regulären Online-Banking-Sitzung in den Datenverkehr zwischen Bank und Bankkunde einzumischen. Der Bankkunde möchte beispielsweise eine autorisierte SEPA Überweisung an A über 50 EUR vornehmen und diese wandeln die Täter nun in eine nichtautorisierte SEPA Überweisung an B über 15.000 EUR um. Nur die nichtautorisierte Überweisung an B über 15.000 EUR kommt dann am Server der Deutschen Postbank AG an. Dann schickt der Server der Bank nach der Überprüfung der Zugangsparameter eine dazu individuell und nur für diese eine Zahlungsanweisung indizierte TAN per SMS auf die hinterlegte Mobilnummer des Bankkunden.

Wie gelangt die SMS auf das Handy der Straftäter?

Dies kann passieren, wenn die Täter mit Hilfe der zuvor abgegriffenen Zugangsdaten beim Mobilfunkanbieter kurzfristig eine Umleitung der SMS auf ein unter falschem Namen laufendes Prepaid-Handy der Täter einrichten konnten. Dann landet die SMS mit der TAN in diesem Augenblick bei den Tätern. Sie füttern nun ihre Schadsoftware mit dieser Information der indizierten TAN und die Schadsoftware autorisierte innerhalb von Sekunden die nicht nichtautorisierte Zahlungsanweisung an B gegenüber dem Server der Bank. Sodann führt der Server die Zahlungsanweisung aus und das Geld ist vorläufig als Soll in das Konto des Bankkunden gebucht.

Was passierte in dem von der Süddeutschen Zeitung geschilderten Fall?

Konkret soll es in dem Fall, von dem die Süddeutsche Zeitung berichtet hat, so gewesen sein, dass die Straftäter mit den ausgespähten Daten des Bankkunden den nächsten Telekom-Shop aufgesucht hätten, sich dort fälschlich als betroffener Kunde ausgegeben hätten und den angeblichen Verlust der SIM-Karte des betroffen Kunden gemeldet hätten. Auf diese Weise konnten sie offenbar mit Hilfe eines zuvorkommenden Kundenberaters unproblematisch eine Ersatz-Karte aktivieren. Die Folge war, dass alle per SMS übersandten TAN bei den Tätern landeten. Die Reaktion auf die bekanntgewordenen Fälle dieser Tatvariante soll laut Süddeutscher Zeitung darin bestanden haben, dass die Telekom Deutschland GmbH mittlerweile ihre „Maßnahmen zur Händleridentifikation verschärft“ haben soll.“

Wie sicher ist das mobileTAN Verfahren jetzt?

Ein absolut sicheres mobileTAN Verfahren können die Banken auch für die Zukunft nicht mit hundertprozentiger Sicherheit garantieren. Durch die eine oder andere kleine Stellschraube werden zwar zukünftige Fälle vermindert, aber keineswegs restlos ausgeschlossen. Außerdem finden die Täter immer wieder neue Wege das Online Banking anzugreifen. Der Fall, von dem die Süddeutsche Zeitung berichtet hatte, ist nur eine einzige Variante einer Vielzahl von Möglichkeiten, wie man Angriffe auf das mobile TAN Verfahren angehen kann. Allerdings ist zugunsten der Bank hinzufügen, dass das mobile TAN Verfahren oder SMS-TAN Verfahren ursprünglich einmal, jedenfalls im Zeitpunkt seiner Einführung, noch einen deutlichen Sicherheitsgewinn mit sich gebracht hat. Ursprünglich hat das mobile TAN Verfahren oder SMS-TAN Verfahren eine Verbesserung im Vergleich zu dem noch weitaus unsicheren indizierten TAN Verfahren oder iTAN-Verfahren mit sich gebracht hat.

Wer haftet für die Schäden?

Grundsätzlich haftet die Bank für den Schaden, wenn der Bankkunde die Überweisung nicht autorisiert hat, er die nicht autorisierte Zahlungsanweisung unverzüglich seiner Bank nach der Entdeckung meldet und ihm auch kein sonstiger wenigstens grob fahrlässiger Verstoß gegen die Pflicht zur Geheimhaltung der Bankzugangsdaten anzulasten ist. In der Praxis kommt es dabei auf die genauen Einzelheiten des konkreten Falles an.

Gibt es höchstrichterliche Entscheidungen zu dem Thema?

Im Bereich des Abgreifens von Zugangsdaten im Online Banking sind sehr viele Rechtsfragen noch gar nicht zu den höchsten Gerichten gelangt. Und die wenigen Urteile des für das Bankrecht zuständigen 11. Zivilsenat des Bundesgerichtshofes in Karlsruhe betreffen leider nicht die derzeit aktuellen Tatvarianten. Bis ein Fall vor dem Bundesgerichtshof anhängig ist und entschieden wird, vergehen mitunter Jahre. Insofern behandelt der Bundesgerichtshof gegenwärtig nur die Fälle, deren Tathandlungen schon vor vielen Jahren stattfanden und die aufgrund der Schnelllebigkeit bei der Einführung und Außerkraftsetzung neuer Online Banking Verfahren teilweise überholt sind. Auch machen die Berufungsgerichte restriktiv von der Möglichkeit Gebrauch, die Revision vor dem Bundesgerichtshof bei unklarer Rechtslage zuzulassen. Sicherlich ist es nur eine Frage der Zeit bis auch der Bundesgerichtshof einen Fall des Abgreifens von Bankzugangsdaten beim mobile TAN Verfahren zu entscheiden hat.

Gibt es auch sichere Online-Banking Verfahren?

Derzeit gibt es kein einziges Online Banking Verfahren mit der Garantie von hundertprozentiger Sicherheit und angesichts der technisch teils sehr ausgereiften Tathandlungen, dürfte es trügerisch sein, dem Kunden eine solche Sicherheit vorzugaukeln. In der Praxis stürzen sich die Täter in der Masse allerdings nur auf die am wenigsten sicheren Online-Banking Verfahren. Zu den am leichtesten angreifbaren Verfahren gehört aber nicht das mobile TAN Verfahren, denn hier muss der Täter immerhin die Hürde überwinden, eine SMS umzuleiten. Als Bankkunde fährt man gut damit, sich für ein solches Online Banking zu entscheiden, welches in der aktuellen und seriösen Testbericht-Erstattung von anerkannten Prüfinstituten gut abschneidet.

Was können die Banken hieraus lernen?

Die Banken sind und bleiben die Systemanbieter für das Online-Banking und die Verpflichtung der Bank, für ein sicheres Online Banking zu sorgen, kann nicht auf den Bankkunden abgewälzt werden. Die Banken sollten daher vor allem in die eigene IT-Sicherheit investieren und bereits vorhandene Systeme beständig und kritisch hinterfragen. Die Gefahr bei Nachlässigkeiten in der Sicherheit besteht in der absehbaren Presseberichterstattung, die einen hohen Schaden darstellen kann, weil sie die Bank dem Ruf aussetzt, zu wenig für die Sicherheit ihrer Kunden getan zu haben. Dann können neue Kosten für ein zielführendes Reputationsmanagement entstehen, die im Vorfeld hätten verhindert werden können.

Wie verlief die bisherige Geschichte des Online-Bankings?

Die ersten Betrugsfälle betrafen 2007 noch den Bereich von Aktiendepots mittels einer sogenannten Sitzungs-TAN. Das heißt hier gab man eine nichtindizierte TAN aus seiner Liste als einmaliges Zugangskennwort ein und konnte dann bis zur Ausreizung des Verfügungsrahmens und bis zum Ende der Online-Sitzung alle möglichen Verfügungen quasi ungebremst vornehmen. Für Straftäter war es ein Kinderspiel dieses System zu überwinden und nichtautorisierte Zahlungsverfügungen mit dem Resultat eines erheblichen Gesamtschadens durchzuführen. Danach wurden die Systeme dann verbessert und es gab für jede Transaktion zunächst die nichtindizierte PIN/TAN-Lösung. Als die Täter auch diese Hürde scheinbar mühelos überwanden, hatte sich das Landgericht Nürnberg-Fürth im Jahre 2008 mit der Frage auseinandergesetzt, ob Banken im Jahre 2005 nicht bereits verpflichtet gewesen wären, das nichtindizierte PIN/TAN-Verfahren durch das damals bessere iTAN-Verfahren abzulösen Eine Entscheidung traf jedoch erst das Kammergericht in einem von der Kanzlei ilex erwirkten Urteil (Az. 26 U 159/09) am 29.11.2010. Dort wurde klargestellt, dass Banken eine Verpflichtung haben sichere Online-Banking-Systeme anzubieten, die es entsprechend des Standes der Technik den Straftätern erschweren müssen, Bankzugangsdaten abzugreifen. In dem Urteil stand eindeutig drin, dass das ältere PIN/TAN-Verfahren zum damaligen Zeitpunkt überholt war.