Als im November 2018 die Polizei anrief, musste sich Daniel Sturzenegger erst mal setzen. «Der Polizist fragte, ob ich jemandem kürzlich gegen 100'000 Franken auf ein Konto in Lenzburg überwiesen habe.» Hatte er nicht. Daniel Sturzenegger und seine Frau Ladina waren Opfer von E-Banking-Betrügern geworden.

Ladina Sturzenegger ist Augenärztin mit eigener Praxis in Liestal. Bei der Basellandschaftlichen Kantonalbank (BLKB) hat sie ein Konto, auf das Patienten Rechnungsbeträge einzahlen. Sie selber macht nur hin und wieder Überweisungen daraus an eine andere Bank.

Vom BLKB-Konto wurden nun innerhalb weniger Tage hohe Beträge nach Lenzburg AG transferiert. Dort hob eine Frau das Geld tranchenweise ab und schickte es per Frachtbrief nach Russland. Sie war ein «money mule», ein Geldesel. Nach ihrem zweiten Besuch schaltete die Bank in Lenzburg die Polizei ein. Rund 28'000 Franken waren aber schon weg. Die Frau wurde inzwischen wegen Geldwäscherei verurteilt.

Rätselhaftes Vorgehen: Wie kamen die Betrüger an die TAN?

Sturzeneggers, die seit Jahren Online-Banking nutzen, liessen das gehackte BLKB-Konto sofort sperren. Wie die Betrüger es geschafft haben, in den Account zu gelangen und Geld zu transferieren, ist ungeklärt. Überweisungen sind nur möglich, wenn man eine Transaktionsnummer (TAN) eingibt. Bei der BLKB wird sie per SMS aufs Handy der Kunden geschickt.

Ladina Sturzenegger hat in jenen Tagen keine solche SMS erhalten. Das bestätigt eine Analyse, die eine Spezialfirma im Auftrag der Bank durchführte.

Der Computer der Sturzeneggers wurde ebenfalls durchgecheckt. Es gab Hinweise, dass versucht worden war, den bekannten E-Banking-Trojaner verseuchten Mailanhang, der versehentlich geöffnet wurde. Eindeutige Beweise fehlen.

Für die Bank ist trotzdem klar: Ihr Fehler war es nicht. Sie deckt den Schaden deshalb weder ganz noch teilweise. Für Risiken, die ausserhalb ihres Einflussbereichs liegen, übernimmt sie keine Haftung. So steht es in den allgemeinen Geschäftsbedingungen. «Wir können trotz aller Sicherheitsmassnahmen keine Verantwortung für das Endgerät unserer Kunden übernehmen», heisst es bei der BLKB.

Konsumentenschutz: «Schadensrisiko wird komplett auf die Kunden überwälzt»

Will heissen: Wenn der Computer eines Kunden angegriffen wird, ist dieser selber schuld. Bei der Stiftung für Konsumentenschutz stösst diese sogenannte Sphärenhaftung auf wenig Gegenliebe. «Das Schadensrisiko wird komplett auf die Kunden überwälzt, auch wenn sie Opfer eines Betrugs wurden», sagt die Juristin Cécile Thomi. «Wir lehnen das ganz klar ab.»

Mit ihrem Haftungsausschluss ist die Baselbieter Kantonalbank nicht allein. Er ist Standard, die allgemeinen Geschäftsbestimmungen aller Banken ähneln sich hier. Für Kontoinhaber bedeutet das: Entweder sie verzichten auf E-Banking – oder sie müssen das Risiko in Kauf nehmen. Nur: Wie gross das Risiko wirklich ist, weiss niemand genau.

Über Schadenfälle schweigen die Banken sich aus. Die BLKB bestätigt lediglich, was allgemein bekannt ist: dass es «bei zahlreichen Banken» immer wieder zu Angriffen kommt und man auf der Website Tipps gibt, wie sich Kunden vor Phishing schützen Phishing Immer raffiniertere Betrugsversuche können.

Ladina Sturzenegger wäre nur schon froh gewesen, wenn der Bank die ungewöhnlichen Transaktionen aufgefallen wären. Daniel Sturzenegger hat die Konsequenz für sich gezogen und nun auf seinem Handy Push-Benachrichtigungen aktiviert: Jede Transaktion wird ihm nun sofort angezeigt. «Ich kann allen nur raten, das auch zu tun.»

Tricks der Hacker werden immer raffinierter

Die Idee mit dem Push-Alarm hilft gegen herkömmliche Angriffe. Sie erfolgen meist über Mailanhänge oder Links in einer Mail, die im Hintergrund einen Trojaner auf dem PC installieren, sobald man sie anklickt. Beim nächsten Log-in ins E-Banking werden die Daten ausgelesen, und es wird ein Fenster eingeblendet, das zu einem Update auf dem Smartphone oder zur Eingabe der Telefonnummer auffordert. Falls man der Anweisung folgt, wird auch auf dem Handy ein Schadprogramm aktiv, das heimliche Transaktionen möglich macht. Immerhin können diese dann Push-Benachrichtigungen auslösen.

Modernere Angriffe sind aber raffinierter. Es reicht, auf einer verseuchten Website zu surfen, die sich optisch nicht vom Original unterscheidet. Beim ersten Klick installiert sich im Hintergrund ein neuer Internetbrowser, der den alten ersetzt. Der neue Browser liest alles mit, was man im Internet macht – auch Log-in-Daten fürs E-Banking.

Das mit dem Konto verknüpfte Smartphone zu finden und zu infizieren, sei dann ein Kinderspiel, sagt IT-Security-Experte Reto E. Koenig von der Berner Fachhochschule. «Viele Smartphones sind zum Beispiel mit einem Google-Account Digitale Sicherheit 12 Checklisten zu Google, Facebook & Co. verknüpft und lassen sich direkt anpeilen, wenn man mal im System drin ist.»

Bei einer solchen Man-in-the-Browser-Attacke können Betrüger nicht nur Geld transferieren, sondern das auch verschleiern und etwa einen falschen Kontostand anzeigen. «Betroffene merken unter Umständen erst, dass etwas nicht stimmt, wenn der Anruf von der Bank kommt, es sei kein Geld mehr da.»
 

«Selbst wer vorsichtig unterwegs ist und sich gegen Malware schützt, ist nicht gegen solche Angriffe gefeit.»

Reto E. Koenig, IT-Security-Experte


Sich via SMS zu authentisieren gilt schon seit Längerem als unsicher. Denn die Kurznachrichten sind unverschlüsselt und können relativ einfach auf andere Nummern umgeleitet werden.

Aber auch neuere Systeme, bei denen man mit einer Smartphone-App ein Mosaik auf dem Computerbildschirm einliest und dann die TAN angezeigt erhält, sind laut Koenig nicht sicher. «Das System lässt sich manipulieren, sodass bei einer Transaktion genau das angezeigt wird, was der Kunde erwartet. Heimlich werden jedoch ganz andere Beträge an ganz andere Orte verschoben.» Studierende von Koenig haben das in einer Studie nachgewiesen.

Die sicherste Variante für E-Banking ist laut Reto E. Koenig ein separates Gerät, das nur diesen Zweck erfüllt und Transaktion sowie TAN auf dem Display anzeigt. Die Banken bewegten sich aber leider in die falsche Richtung, hin zum Handy. «Sie stellen Kunden so vor eine erwiesenermassen unmögliche Aufgabe. Selbst wer vorsichtig unterwegs ist und sich gegen Malware schützt, ist nicht gegen solche Angriffe gefeit.»

Wieso ist die Basel­landschaftliche Kantonalbank nicht kulant? 

Bisher zeigten sich viele Banken in Schadensfällen kulant, sofern die Geschädigten den Angriff nachweisen konnten. Warum die Basellandschaftliche Kantonalbank das bei Daniel und Ladina Sturzenegger anders handhabt, ist unklar. «Wir analysieren den Einzelfall und entscheiden aufgrund des aktuellen Sachverhalts, insbesondere auch unter Berücksichtigung der individuellen Sorgfaltspflichten», lässt die Bank verlauten.

Für Cécile Thomi vom Konsumentenschutz ist fraglich, ob die Geschäftsbedingungen der Banken rechtlich haltbar sind. «Das Gesetz gegen unlauteren Wettbewerb verbietet eine zu einseitige Risikoverteilung zuungunsten der Kunden.» Doch solange niemand dagegen klagt, wird E-Banking bleiben, was es ist: ein Risiko.

E-Banking: Wie sicher sind Sie unterwegs?

Wenn Hacker es auf jemanden abgesehen haben, ist man nahezu machtlos. Doch gerade beim E-Banking oder Mobile-Banking kann man einige Punkte bezüglich Sicherheit beachten, damit Betrüger keine offenen Türen einrennen können. Bei Guider erfahren Beobachter-Abonnenten mehr dazu in der Checkliste «Sicherheit im E-Banking».

Woche für Woche direkt in Ihre Mailbox
«Woche für Woche direkt in Ihre Mailbox»
Elio Bucher, Online-Produzent
Der Beobachter Newsletter