Online-Banking-Betrug
Online-Banking bietet viele Vorteile, wie die bequeme Verwaltung von Bankgeschäften von zu Hause aus. Allerdings birgt es auch Risiken, insbesondere durch verschiedene Betrugsmaschen. Eine der häufigsten Methoden ist das Phishing.
Welche Arten von Online-Banking-Betrug gibt es?
| Phishing: | Phishing ist eine der bekanntesten Betrugsmethoden. Betrüger versenden gefälschte E-Mails oder Nachrichten, die vorgeben, von Ihrer Bank zu stammen. Diese Nachrichten enthalten oft Links zu gefälschten Websites, die den echten Bankseiten täuschend ähnlich sehen. Ziel ist es, persönliche Daten wie Passwörter oder Kreditkartennummern zu stehlen. |
| Pharming: | Beim Pharming manipulieren Betrüger die DNS-Einstellungen eines Netzwerks, um Nutzer auf gefälschte Websites umzuleiten. Diese Websites sehen den Originalseiten sehr ähnlich und dienen dazu, Benutzernamen und Passwörter zu stehlen. |
| Malware und Viren: | Schadsoftware kann heimlich auf Ihren Computer gelangen und versuchen, Ihre Online-Banking-Daten zu stehlen. Dies geschieht oft durch infizierte E-Mail-Anhänge. |
| Man-in-the-Middle: | Bei diesen Angriffen schleusen sich Hacker zwischen Ihre Verbindung zum Bankserver ein und können so heimlich Informationen abfangen oder verändern. |
| Identitätsdiebstahl: | Betrüger nutzen gestohlene persönliche Informationen, um in Ihre Konten einzudringen oder in Ihrem Namen Transaktionen durchzuführen. |
Generell zu beobachten ist, dass die Methoden der Täter immer ausgeklügelter und schwerer zu durchschauen sind. Während frühere Kontaktaufnahmen beispielsweise durch E-Mails nebst Anlagen häufig offensichtliche Fehler enthielten, sind diese inzwischen kaum noch von beispielsweise behördlichen Originalanschreiben zu unterscheiden, mitunter ist der Unterschied lediglich noch an der Bankverbindung auszumachen. Darüber hinaus werden durch die Täter mittlerweile Telefongespräche oder Chats in flüssiger deutscher Sprache bereitgestellt, welche jegliche Unsicherheit beim Adressaten sogleich ausräumen.
Mandanten berichten häufig, dass Sie in der konkreten Situation ein Gefühl der Unsicherheit verspürten, dennoch, beispielsweise aufgrund eines künstlich erzeugten Zeitdrucks, sensible Daten preisgegeben haben. Viele von ihnen hätten vor dem Betrugsvorfall „Stein und Bein“ geschworen, dass ihnen so etwas niemals passieren könnte.
Folge des Online-Banking-Betrugs ist zuvorderst der individuelle finanzielle Verlust, daneben entsteht ein Gefühl der Unsicherheit, welche Informationen durch die Täter abgegriffen werden konnten und ob weitere Schäden drohen. Überdies müssen Geschädigte oft rechtliche Schritte einleiten, um ihr Geld zurückzuerhalten. Dies ist mit Zeitaufwand und Kosten verbunden.
Online-Banking-Betrug am Beispiel Phishing
Nachfolgend soll eine aktuelle perfide Phishing-Methode auf der Internetplattform „ebay“ dargestellt werden, vor welcher inzwischen auf der Homepage des Kleinanzeigenportals gewarnt wird.
Auf dem Kleinanzeigenportal „ebay“ kann jedermann Waren aller Art, beispielsweise Kinderkleidung oder Mobiliar, für den Verkauf annoncieren. Sodann meldet sich ein vermeintlicher Kaufinteressent, kauft die annoncierte Ware und schlägt für die Abwicklung des Verkaufsvorgangs aufgrund der notwendigen Versendung der Ware die Nutzung des „Sicher Bezahlen“-Services des Kleinanzeigenportals vor. Gleichzeitig versendet dieser einen Link an den Verkäufer, welcher auf eine täuschend echte Website zum „Sicher Bezahlen“-Vorgang weiterleitet.
Dieses „Sicher Bezahlen“-Verfahren wird tatsächlich durch das Kleinanzeigenportal angeboten, um Verkaufsvorgänge insbesondere bei Nicht-Vor-Ort-Abholungen sicher zu gestalten. Hierfür muss ein Verkäufer die „Sicher Bezahlen“-Anfrage des Käufers akzeptieren. Ebay fungiert dabei als eine Art zwischengeschalteter Treuhänder, der Käufer überweist den Kaufpreis an ebay, dieser wird an den Verkäufer auszahlt, sobald der Käufer den Empfang der Ware bestätigt. Ebay versichert, dass die preisgegebenen Zahlungsinformationen sicher sind und nicht an den Käufer weitergegeben werden. Der Verkäufer geht also gerade davon aus, seine sensiblen Daten in besonderem Maße zu schützen.
Wenn sich der Verkäufer also auf die Nutzung des vermeintlichen „Sicher Bezahlen“-Services einlässt und die übermittelte Käufer-Anfrage akzeptiert, wird er auf die gefälschte Website weitergeleitet. Auf dieser Website wird mitunter eine durch die Täter in einem Chatfenster eröffnete Kommunikation angeboten, wobei auf individuelle Fragen des Verkäufers in fließender deutscher Sprache unverzüglich geantwortet wir.
Auf der gefälschten Website wird der Verkäufer aufgefordert, die auf der Kreditkarte abgebildeten Daten (Nr., Gültigkeitsdauer und Prüfnummer) einzugeben, angeblich damit der Kaufpreis für den annoncierten Kaufgegenstand ausgezahlt werden kann. Der Verkäufer geht dabei davon aus, dass er diese Daten ausschließlich gegenüber dem Kleinanzeigenportal eingibt und gerade nicht gegenüber dem Käufer preisgibt. Sodann soll der Empfang der Zahlung mit einer PIN im Online-Banking bestätigt werden, wobei die Täter hier entweder erneut eine gefälschte Website anbieten oder Malesoftware auf dem Endgerät die eingegebenen Daten „mitliest“. Es entspricht natürlich nicht dem üblichen Zahlungsgeschehen, einen Zahlungsempfang zu bestätigen, dies ist für einen Laien jedoch regelmäßig schwer durchschaubar. Unsicherheiten werden zeitgleich durch die Chatkommunikation ausgeräumt. Nach dieser Eingabe können die Täter einen sog. Device-Wechsel, also die Authentifizierung von Abbuchungen auf einem neuen Gerät einrichten und im nächsten Schritt Kontoabbuchungen vom Konto des Geschädigten veranlassen, welcher lediglich etwas über das Kleinanzeigenportal verkaufen wollte. Der Geschädigte bekommt von diesen Kontoabbuchungen zunächst nichts mit, da eine Autorisierung auf seinem Endgerät nicht länger abgefragt wird und stellt bei der nächsten Kontoabfrage mit Schrecken den Fehlbetrag fest.
Folgende Schutzmaßnahmen sollten bei der Nutzung von Online-Banking beachtet werden:
Häufig versuchen Täter ihre Opfer künstlich unter Zeitdruck zu setzen und zu schnellen Entscheidungen zu veranlassen. Lassen Sie sich bei diesem wichtigen Thema nicht unter Druck setzen! Eine Bank wird Sie beispielsweise niemals telefonisch um Durchgabe der Kontonummer nebst PIN bitten.
- Führen Sie Ihr Online-Banking nicht auf dem gleichen Endgerät durch, welches für die Bestätigung einer Buchung nach der gängigen Zwei-Faktor Authentifizierung genutzt wird, in der Regel dem Handy.
- Öffnen Sie keine Links oder Anhänge in verdächtigen E-Mails oder Nachrichten. Banken fordern niemals auf diesem Weg zur Herausgabe sensibler Informationen auf.
- Halten Sie Ihr Betriebssystem und Ihre Antivirensoftware stets auf dem neuesten Stand. Ist dies bei unautorisierten Kontoabbuchungen nicht der Fall, setzen Sie sich dem Vorwurf der groben Fahrlässigkeit aus. Bei mobilen Endgeräten ist umstritten, ob eine zusätzliche Antivirensoftware neben den IOS- und Androidsystemsicherheitsvorkehrungen vorzuhalten ist. Abschließend dürfte diese Frage in der Rechtsprechung bislang nicht geklärt sein, die derzeitige Auffassung tendiert dazu, dass das Fehlen einer zusätzlichen Antivirenprogrammsoftware zumindest kein grob fahrlässiges Verhalten darstellt.
- Achten Sie auf das "https" oder ein Schlosssymbol in der Adressleiste und meiden Sie öffentliche WLAN-Netzwerke für Bankgeschäfte. Wird in der Adressleiste lediglich „http“ angezeigt, werden Daten nicht verschlüsselt übermittelt. Sobald vor oder hinter der Web-Adresse ein Schloss-Symbol erscheint, ist die Verbindung zur jeweiligen Webseite verschlüsselt. Sowohl die Webseite selbst als auch alle eingegebenen Daten wie Benutzernamen und Kennwörter werden in verschlüsselter Form übertragen. Ein eingegebenes Kennwort wird also auf Ihrem Rechner zuerst verschlüsselt, erst dann über das Internet an den Anbieter verschickt und vom Anbieter wieder entschlüsselt. Das Gleiche passiert mit allen anderen Daten und der Webseite selbst. Und zwar in beide Richtungen. Was vom Webserver in Ihrem Browser landet, wird ebenfalls zuerst vom Webserver verschlüsselt, dann in verschlüsselter Form verschickt und erst von Ihrem Browser wieder entschlüsselt. Fängt ein Hacker den Datenverkehr ab, erhält er lediglich verschlüsselten „Datensalat“.
- Verwenden Sie starke Passwörter und ändern Sie diese regelmäßig. Aktivieren Sie die Zwei-Faktor-Authentifizierung, wenn verfügbar.
- Überprüfen Sie regelmäßig Ihre Kontobewegungen und melden Sie verdächtige Aktivitäten sofort Ihrer Bank.
Ich bin von Online-Banking-Betrug betroffen – was nun?
Die Manipulationsmöglichkeiten beim Online-Bezahlverfahren sind vielfältig, es ist bei der Vielzahl der denkbaren Konstellationen aus der Lebenserfahrung kein typischer Geschehensablauf herleitbar. Insbesondere ist niemand in allen Lebenslagen vor einem Online-Banking-Betrug gefeit, gleich welchen Alters oder Bildungsstandes.
Sofern Sie von Online-Banking-Betrug betroffen sind, sollte Ihre Bank unverzüglich informiert werden. Darüber hinaus ist eine Anzeige, häufig gegen Unbekannt, bei der Polizei zu erstatten. Überdies sollte die rechtliche Einschätzung eines Fachanwalts für Bank- und Kapitalmarktrecht eingeholt werden. Denn ein Vorgehen gegen die unbekannten Täter verläuft häufig im Sande. Selten gelingt es die Täter zu ermitteln. Selbst wenn dies gelingt, bedeutet dies nicht den Rückerhalt der rechtswidrigen Kontoabbuchungen.
Als weiterer, regelmäßig liquider Anspruchsgegner kommt die kontoführende Bank in Betracht, denn das allgemeine Missbrauchsrisiko des Online-Bezahlverfahrens trägt die dies zur Verfügung stellende Bank. Dem Bankkunden stehen Erstattungsansprüche gegen seine kontoführende Bank zu, wenn unautorisierte Kontoabbuchungen erfolgt sind. Von einer fehlenden Autorisierung der einzelnen Kontoabbuchungen ist im Falle des Phishings grundsätzlich auszugehen, denn eine Zustimmung zur einzelnen Kontoabbuchung erfolgte regelmäßig nicht. Die sich hierauf berufende kontoführende Bank trägt die sog. Darlegungs- und Beweislast einer Autorisierung.
Die Bank muss den Betrag nach den gesetzlichen Vorgaben unverzüglich zurückerstatten, es sei denn, sie kann nachweisen, dass der Kunde grob fahrlässig gehandelt hat und mit einem Schadenersatz in gleicher Höhe aufrechnen. Eine grobe Fahrlässigkeit des Zahlungdienstenutzers liegt aber nur dann vor, wenn die verkehrserforderliche Sorgfalt in besonders schwerem Maße verletzt wird, weil schon einfachste, ganz naheliegende Überlegungen nicht angestellt wurden und das nicht beachtet worden ist, was im gegebenen Fall jedem einleuchten musste. Dabei muss es sich auch in subjektiver Hinsicht um ein unentschuldbares Fehlverhalten handeln. Abgelehnt wurde eine grobe Fahrlässigkeit beispielsweise, wenn die auf der Kreditkarte enthaltenen Informationen eingegeben wurde, das diese für eine Vielzahl von Bezahlvorgängen genutzt und preisgegeben werden. Ob ein grob fahrlässiges Handeln des Bankkunden vorliegt, muss in jedem Einzelfall untersucht werden. Generell gilt, dass sensible Daten nicht an Dritte weitergegeben werden dürfen und die Sicherheitsvorgaben der Bank einzuhalten sind. Gleichzeitig treffen auch die Bank erhebliche Sorgfaltspflichten, u.a. ausreichende Sicherheitsmaßnahmen vor Hackerangriffen. Das Verfahren zur Sicherung von Transaktionen muss störungsfrei und praktisch unüberwindbar sein.
Aus der Erfahrung heraus lehnen Banken die Erstattung von unautorisierten Buchungen zunächst generell ab, daher sollte im Falle eines Online-Banking-Betruges eine rechtliche Einschätzung bei einem Fachanwalt eingeholt werden.