Online-Banking ist klasse – schnell, kostengünstig und grundsätzlich sicher. Neben den Maßnahmen der Banken tragen dazu auch die Nutzer bei, die über die Jahre für die verschiedenen Betrugsversuche sensibilisiert wurden. Gleichzeitig sank jedoch die Aufmerksamkeit für Betrug mit beleghaften Überweisungen. Firmenkonten bieten hier leichte Angriffsfläche.
Aus den Augen, aus dem Sinn
Auch wenn „das Internet“ in jüngerer Vergangenheit noch als „Neuland“ bezeichnet wurde – auf den Finanzsektor trifft das nicht zu. Sichtbar wird das insbesondere bei Überweisungen: beleglose befinden sich seit Jahren im Aufwind, beleghafte werden immer weniger. Die letzten veröffentlichten Zahlen der Bundesbank sprechen da eine eindeutige Sprache, denn binnen fünf Jahren hat der Anteil der Transaktionen mit Überweisungsträger vier Prozentpunkte am Gesamtanteil aller Überweisungen verloren. Im Jahr 2014 betrug der Anteil gerade noch 12,6 %.
Mit diesem Bedeutungswandel bekommt die alte Redewendung „Aus den Augen, aus dem Sinn“ eine gefährliche – und teure – Aktualität. Denn bei beleghaften Überweisungen lassen sich ahnungslose Kontobesitzer vergleichsweise leicht abzocken, wie die seit Jahren durch das Land schwappenden Betrugswellen zeigen. Es sind insbesondere die hohen Personalkosten, die Kreditinstitute nur in Ausnahmefällen genauer hinschauen lassen. Welche das sind, wird üblicherweise nicht verraten. Als Dienstleister, der für Steuerberater aus der ganzen Bundesrepublik Geschäftskonten führt, hat die StBVS aber einige Einblicke gewinnen können.
Eine einfache Betrugsmasche…
Für Betrug mit Überweisungsträgern reichen im Kern schon die einfachen Bankdaten des Opfers, also alles was auf einem Geschäftsbrief oder (Online-)Rechnung zu finden ist. Besonders leicht machen es Privatverbraucher, wenn sie ihre sensiblen Daten den Missetätern im Mülleimer neben einem Kontoauszugsdrucker präsentieren. Anschließend füllen sie Überweisungsträger mit einer Wunschsumme sowie den Bankdaten von Opfer und Täter aus und setzen eine willkürliche Sauklaue als Unterschrift auf das Dokument.
Ganz findige Verbrecher fischen Überweisungsträger aus den Briefkästen der Banken. Damit gewinnen Sie zwei Vorteile: Auf einen neuen Überweisungsträger können sie die Unterschrift des Opfers übertragen und wenn sie auch die Summe übernehmen, fällt bei einer oberflächlichen Kontrolle der eigenen Kontobewegungen erst einmal nichts auf. Nur wenn sich nach Tagen bis Wochen der eigentliche Empfänger meldet, wird der Betrug wahrgenommen. Bis dahin dürfte aber das neue Empfängerkonto bereits abgeräumt sein.
Warum das leicht passieren kann? Bei beleglosen Transaktionen müssen die Algorithmen nur einmal programmiert werden und verrichten anschließend klaglos, unbestechlich und günstig ihren Dienst. Bei beleghaften Überweisungen müssen Mitarbeiter die Dokumente bearbeiten. Da hier die Formel „Zeit = Kosten“ gilt, rutschen unauffällige Betrugsversuche leicht durch. Wenn die Summe ausreichend niedrig ist oder die sonstigen Parameter im üblichen Rahmen sind, bleiben die Alarmglocken stumm.
…aber auch ein einfacher Abwehrmechanismus
Es war klar, dass wir aufgrund der schieren Anzahl unserer Kundenkonten auch eines Tages angegriffen werden. Unsere Hausbank hat u.a. deswegen die Auszahlung gestoppt, weil wir unsere Konten ausschließlich online führen und vorrangig für Einzahlungen verwenden. Und wenn wir von einem Konto auszahlen, dann dann bleibt das Geld üblicherweise im Land.
Seit diesem ersten Versuch sind die internen Sicherheitsmaßnahmen unserer Hausbank aber nicht mehr nötig, denn wir haben beleghafte Überweisungen konsequent für alle eigenen und Kundenkonten gesperrt. Dafür brauchte es zwar eine extra Beantragung, aber das Plus an Sicherheit gibt Ruhe.
Fazit:
Überweisungsbetrug ist aber auch für Verbrecher eine personalintensive und daher teure Maßnahme zur Gewinnerzielung. Es ist daher wahrscheinlicher, eine Phishing-Mail im Briefkasten zu haben und hier liegt es in den eigenen Händen für Sicherheit zu sorgen. Sofern keine Notwendigkeit für beleghafte Überweisungen einzelner oder aller Geschäftskonten besteht, empfehlen wir unseren Kunden aber, dieses Einfallstor mit einer einfachen Maßnahme ebenfalls abzuriegeln. Allerdings wissen wir, dass nicht alle Banken eine solche Sperre in ihren Systemen abbilden können.