Die Täter haben es geschafft, den per SMS geschickten Geheimcode der jeweiligen Bank – die sogenannte mTAN – auf ein fremdes Handy umzuleiten. Dieses Handy war natürlich im Besitz der Täter. So konnten sie dann von den jeweiligen fremden Konten Überweisungen in alle Welt auslösen, die durch die mTAN autorisiert wurden. Betroffen von diesem Betrug sind nur Kunden der Deutschen Telekom. Die Konten der Kunden sind allerdings bei ganz unterschiedlichen Banken. Trotzdem sei die Telekom nicht schuld, meint Pressesprecher Husam Azrak:
Die Lücke ist nicht bei der Deutschen Telekom. Die Lücke ist bei dem privaten Rechner des Kunden.
Der Kunde ist also verantwortlich für den Schaden. Die Telekom begründet das damit, dass die Täter auf dem Computer des Kunden mit Schadprogrammen an Bank- und Telekom-Daten der Kunden gekommen seien.
Mit diesem Wissen hätten sich die Täter bei der Telekom gemeldet, sich als Handy-Händler ausgegeben und Daten für eine Ersatz- SIM-Karte des Kunden bekommen. So wurde dann später die SMS der Bank statt an das Handy des Kunden an ein Handy der Täter verschickt.
Für die Banken sieht die Schuldfrage allerdings ganz andersaus. Die Telekom habe nicht kontrolliert, ob die Anrufer auch wirklich Händler seien. Die Kunden seien schuldlos. In einer Pressemitteilung der Deutschen Kreditwirtschaft heißt es dazu:
Bei den aktuell geschilderten Betrugsversuchen handelt es sich um Fälle von Identitätsdiebstahl von Mobilfunknummern, die durch eine Sicherheitslücke im Prozess der Freischaltung von SIM-Karten eines einzelnen Mobilfunkbetreibers möglich waren. Das in der Deutschen Kreditwirtschaft eingesetzte mTAN-Verfahren wurde in diesem Zusammenhang weder geknackt, noch konnte es manipuliert werden.
Mit dem Mobilfunkanbieter ist die Telekom gemeint. Und die fühlt sich offenbar auch nicht ganz schuldlos. Denn sie hat innerhalb weniger Stunden ein für das Unternehmen neues Identifikationsverfahren eingeführt. Pressesprecher Husam Azrak:
Der Händler muss sich jetzt zusätzlich identifizieren. Und der Händler muss jetzt auch noch nochmals zusätzlich Kundendaten bereitstellen, die nicht auf der Rechnung stehen.
Genau dieses Verfahren ist übrigens bei diversen anderen Firmen schon lange üblich. Base beispielsweise nutzt ein sogenanntes Kundenkennwort, weitere Unternehmen fragen zusätzlich nach dem Geburtsdatum des Kunden.