Christina Grewe: Vishing ist eine Form des Betrugs im Internet

Christina Grewe ist Rechtsanwältin in der Kanzlei LexNovis in Mannheim. Mit ihr sprechen wir über Betrugsformen, Voice Phishing sowie gefälschte Webseiten.

Christina Grewe

Betrugsmethoden nehmen neue Ausmaße an. Die Methode Phishing ist dabei vielen ein Begriff. Doch was ist unter dem neuen Begriff Vishing zu verstehen?

Christina Grewe: Vishing ist eine Form des Betrugs im Internet. Die Bezeichnung steht für „Voice Phishing“ und ist von dem englischen Begriff für abfischen (fishing) sowie der Methode der eingesetzten VoIP-Telefonie abgeleitet. Von den Betrügern werden unzählige Telefonnummern angerufen. Bei dieser Art des Angriffs, auch bekannt als Wardialing, wird zum Beispiel jede Telefonnummer in einem bestimmten Gebiet angerufen. Die dann aufgezeichnete Sprachnachricht, die der Person oder dem Anrufbeantworter vorgespielt wird, soll im Idealfall einen Rückruf provozieren. Geschieht dies, hat der Betrüger die erste Hürde überwunden. Die Betrüger geben dann am Telefon vor, Mitarbeiter eines bekannten Unternehmens oder einer Bank zu sein, bei der das Opfer Kunde ist. Ein angebliches Problem wird “diagnostiziert” und die benötigte Hilfe erst gegen die Herausgabe von relevanten Daten angeboten. Zuweilen geht es offenkundig um Zugangsdaten, Passwörter, Kreditkartendaten und auch um Personendaten wie Geschlecht, Vorname, Alter und Ähnliches, um Computerkennungen mit Personendaten zu Profilen zu verbinden.

Derartige Angriffe können jedoch auch sehr gezielt sein. Beim sogenannten Spear-Phishing hat sich der Betrüger genau über eine Person informiert und kann so ganz gezielt Informationen nutzen, die die Glaubwürdigkeit des Anrufers unterstreichen. Hier wird das Vishing zumeist mit einem CEO Fraud kombiniert. Dabei erhalten zum Beispiel Mitarbeiter in Unternehmen täuschend echt wirkende Nachrichten von vermeintlichen Vorgesetzten und sollen durch Autorität oder Zeitdruck zum schnellen und unüberlegten Handeln gebracht werden, und so zum Beispiel eine Überweisung ausführen. Neben der Variante der eingesetzten VoIP Telefonie werden auch oft Spam-Mails versendet. Diese Spam-Mails enthalten eine Telefonnummer, mit der an den Empfänger gerichteten Aufforderung, sich unter der angegebenen Telefonnummer zu melden. Dort werden die Anrufer durch eine Bandansage um die Nennung persönlicher Daten gebeten.

Die Betrugsmethoden sind also nun um einen Begriff reicher. Was ist also der Unterschied zwischen Phishing, Smishing und Vishing, und welche davon ordnen Sie als am gefährlichsten ein?

Christina Grewe: Unter dem Begriff Phishing versteht man generell Versuche von Betrügern, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben. Ziel des Betrugs ist es, an persönliche Daten einer Person zu gelangen. Hierbei kann es sich bspw. um den Namen, die Bankverbindung, TANs oder PINs handeln. Als Folge werden dann beispielsweise Konten geräumt, unter fremden Identitäten Straftaten begangen oder eine Schadsoftware installiert, die die Festplatte eines Rechners ausspioniert. Ein typischer Fall des Phishings ist die Nachahmung einer Internetseite durch die Betrüger. Oft werden Internetseiten von vertrauenswürdigen Stellen, wie Banken, nachgeahmt. Bei diesen Nachahmungen werden dieselben Layouts wie diejenigen der Originalseiten verwendet. Der Betroffene wird auf solchen Fake-Seiten aufgefordert, über ein Formular Daten, zum Beispiel Log-In Daten, einzugeben. Auf diese Weise verschaffen sich Betrüger Zugang zum Online-Banking eines Betroffenen. Smishing setzt sich aus den Worten „SMS“ und „Phishing“ zusammen. Wenn Cyberkriminelle phishen, senden Sie betrügerische E-Mails, durch die der Empfänger zum Öffnen eines Anhangs oder Aufrufen eines schädlichen Links bewegt werden soll. Beim Smishing werden einfach Textnachrichten anstelle von E-Mails genutzt. Beim Vishing erfolgt der Erstkontakt per Telefon, wobei auch hier, wie beim Phishing oder Smishing, Ziel die Erlangung von Daten des Betroffenen ist. Die Intention der Kontaktaufnahme ist bei allen drei Kontaktarten dieselbe.

Welche Form die Gefährlichste ist, lässt sich schwer beantworten. Über Vishing lässt sich einfacher eine persönliche Beziehung zum Betroffenen aufbauen als beim Phishing. Dies hat zur Folge, dass schnell ein vermeintliches Vertrauen gegenüber dem Betrüger entstehen kann. Wenn dies gelingt, ist der Eintritt eines Schadens auf Seiten des Betroffenen sehr wahrscheinlich. Zielgruppe der Betrüger beim Vishing sind meistens Privatpersonen. Beim Phishing oder Smishing hingegen wird im Rahmen von optischen Nachahmungen von Websites oder E-Mails eine Situation geschaffen, in der der Betroffene, um den Betrug nicht aufzusitzen, sehr sensibilisiert sein muss, um die Nachahmung zu erkennen. Aus meiner Praxis kenne ich viele Fälle, in denen vor allem Unternehmen durch gezielte Phishing-Attacken per E-Mail Opfer von Betrugsstraftaten wurden. Aufgrund des relativ gering technischen Aufwandes und den möglichen drastischen Konsequenzen, wie Installation von Schadsoftware, Spionagesoftware oder Vermögensschädigungen sehe ich das Phishing generell als am weitesten verbreitet an. Daher hat sich mittlerweile auch die Versicherungswirtschaft auf solche Fälle durch das Anbieten von sog. Cyber-Versichrungen eingestellt. Viele betroffene Unternehmen können daher, sofern Sie versichert sind und gewisse Mindeststandards im Rahmen der Informationssicherheit erfüllen, etwaig entstandene Schäden bei der Versicherung geltend machen. Anders sieht dies aus, wenn beispielswiese eine Privatperson einer Vishing- Attacke zum Opfer fällt. Cyber-Versicherungen im privaten Bereich existieren nicht, so dass der Effekt einer Vishing Attacke für die betroffene Person heftig ist, da der Schaden nicht wieder kompensiert werden kann.

Können Sie uns den Ablauf von typischen Vishing-Betrügen erklären?

Christina Grewe: Ein typischer Fall wäre folgender:

Die Betrüger suchen im Internet nach Bankverbindungen und Telefonnummern von Betroffenen. An diese Daten gelangen sie zum Beispiel durch einen gezielten Hackerangriff gegenüber einem Online-Shop Betreiber, der tausende solcher Kundendaten speichert. Anschließend rufen sie bei diesen Bankkunden per Telefon an. Die Betrüger geben sich als Mitarbeiter der jeweiligen Bank aus und fragen den Bankkunden nach seinen Online-Banking Zugangsdaten, also PIN, TAN und Kontonummer, und führen anhand dieser Daten betrügerische Überweisungen durch.

Auf Bankkunden werden also übers Telefon gezielt Druck ausgeübt, um diese zur Preisgabe von TANs oder anderen Authentifizierungsinstrumenten zu bewegen. Dabei ergeben sich rechtliche Probleme. Verletzen Kunden dabei grob fahrlässig ihre Pflichten?

Christina Grewe: Ja, nach Auffassung der deutschen Gerichte liegt eine grobe Pflichtverletzung vor. Prinzipiell könnte man daran denken, dass dem Bankkunden ein Schadenersatzanspruch gegenüber der Bank zustehen könnte, da diese für ein sicheres Online-Banking zu sorgen hat. Ein solcher Schadenersatzanspruch steht jedoch dem Bankkunden nicht zu, wenn diesem selbst der Vorwurf einer groben und nicht nur leichten Pflichtverletzung gemacht werden kann. Dies ist in Fällen von Vishing und der Nennung einer TAN der Fall. Einige Gerichte haben daher entscheiden, dass die Weitergabe einer TAN an einen Dritten, der damit dann eine Überweisung durchführt, keinen nur einfachen fahrlässigen Pflichtenverstoß des Bankkunden darstellt. Denn in diesem Fall muss es dem Bankkunden einleuchten, dass es sich um eine TAN handelt, deren Weitergabe nach § 675 Abs. 1 BGB wie auch nach den vertraglichen Bedingungen nicht zulässig ist und die die Gefahr mit sich bringt, eine missbräuchliche Überweisung auszulösen. Der Betroffene bleibt daher auf seinem Schaden sitzen.

Für Betrüger ergeben sich stetig neue Möglichkeiten. Umso wichtiger wird der Schutz der Bankkunden. Gibt es einen Schlüssel zur erfolgreichen Vishing-Prävention?

Christina Grewe: Der Schlüssel ist niemals persönliche Daten am Telefon, selbst wenn der Anrufer behauptet bei deiner Bank zu arbeiten, herauszugeben. Ein seriöser Anrufer würde niemals um solche Angaben bitten. Zudem sollten man keine Anrufe von unbekannten Nummern annehmen. In einem solchen Fall kann man abwarten, bis sich die eigene Mailbox einschaltet und den Anruf im Anschluss prüfen. Man kann dann die Nummer von einem anderen Telefon aus zurückrufen. Wenn es sich um einen Betrugsversuch handelt, wird man meist niemanden erreichen. Abschließend sollte man nie auf E-Mails, SMS- oder Social-Media-Nachrichten, antworten, in denen nach einer Telefonnummer gefragt wird. Häufig ist dies der erste Schritt, den Cyberkriminelle unternehmen, um später den Betroffenen mit einem Vishing-Anruf zu kontaktieren.

Frau Grewe, vielen Dank für das Gespräch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.