Dr. Benjamin Wübbelt: Zunehmende Digitalisierung hat auch ihre Schattenseiten

Dr. Benjamin Wübbelt ist Rechtsanwalt in der Kanzlei Bird & Bird LLP in Düsseldorf. Mit ihm sprechen wir über Betrugsmethoden, Vishing sowie Cyberkriminalität.

Dr. Benjamin Wübbelt

Betrugsmethoden nehmen neue Ausmaße an. Die Methode Phishing ist dabei vielen ein Begriff. Doch was ist unter dem neuen Begriff Vishing zu verstehen?

Dr. Benjamin Wübbelt: Die zunehmende Digitalisierung hat auch ihre Schattenseiten und führt zu immer neuen Spielarten der Cyberkriminalität: Beim herkömmlichen Phishing werden meist E-Mails unter einer dem Empfänger bekannten bzw. seriös erscheinenden Absenderadresse versendet. Der Nutzer wird über einen Link auf eine Seite gelenkt, die ihm suggeriert, mit einem ihm vertrauten Dienstleister − etwa seiner Bank − zu kommunizieren. Tatsächlich werden durch das Eintippen aber sensible Informationen wie Passwörter, Kennungen oder Bankdaten preisgegeben. Beim Vishing – ein Kunstwort aus den Begriffen Voice und Phishing – wird das Betrugsopfer hingegen durch den Anruf oder die Sprachnachricht eines Betrügers veranlasst, Zugriff auf Geld oder sensible Daten zu gestatten. Es handelt sich also um eine nicht ganz neue, aber offenbar zunehmend verbreitete und durchaus perfide Betrugsmethode.

Die Betrugsmethoden sind also nun um einen Begriff reicher. Was ist also der Unterschied zwischen Phishing, Smishing und Vishing, und welche davon ordnen Sie als am gefährlichsten ein?

Dr. Benjamin Wübbelt: Die drei Begriffe weisen große phonetische Ähnlichkeiten auf und tatsächlich geht es in der Sache auch immer um das gleiche Ziel der Kriminellen: nämlich darum, an sensible Daten der Opfer zu gelangen. Beim Phishing werden die Daten oftmals über das Eintippen von Daten als Reaktion auf eine E-Mail erlangt. Beim Smishing geht es um das missbräuchliche Abgreifen von Daten im Wege der Kommunikation in Kurznachrichtendiensten wie Whatsapp. Die besondere Qualität des Vishing liegt darin, etwa auf Bankkunden gezielt im Wege der Kommunikation am Telefon Druck auszuüben. Das ahnungslose Opfer schädigt sich hier mitunter bereits durch ein flüchtig gesprochenes Wort.

Können Sie uns den Ablauf von typischen Vishing-Betrügen erklären?

Dr. Benjamin Wübbelt: Cyberkriminelle geben sich als Personen des Vertrauens aus, etwa als Mitarbeiter der Bank, als Angestellte des Finanzamtes, als Anlageberater oder als Vertreter von Versicherungsgesellschaften. Das von dem Betrüger umrissene Anliegen bezieht dabei mitunter persönliche Details ein, die bereits durch ein anderweitiges Abgreifen von Daten im Vorfeld erzielt worden ist. Nicht selten wird den Opfern erzählt, das Bankkonto sei kompromittiert worden und die Gefahr eines Cyberangriffes bestünde. Daher sei die Überweisung auf ein „sicheres“ Bankkonto erforderlich. Alternativ bieten Betrüger an, selbst durch Zugriff auf das Bankkonto die Gefahr zu beheben. Entweder das Betrugsopfer autorisiert selbst etwaige Zahlungsvorgänge oder es versetzt durch die Offenlegung von TANs oder anderen Authentifizierungsinstrumenten den Betrüger selbst in die Lage, dies zu tun.

Auf Bankkunden wird also übers Telefon gezielt Druck ausgeübt, um diese zur Preisgabe von TANs oder anderen Authentifizierungsinstrumenten zu bewegen. Dabei ergeben sich rechtliche Probleme. Verletzen Kunden dabei grob fahrlässig ihre Pflichten?

Dr. Benjamin Wübbelt: Das kommt natürlich auf den jeweiligen Einzelfall an. Grundsätzlich ist aber festzuhalten, dass das Recht des Zahlungsverkehrs an dieser Stelle recht verbraucherschutzfreundlich ist. So trägt grundsätzlich die Bank das Risiko für eine nicht vom Kunden autorisierte Zahlung. Die Bank ist daher grundsätzlich verpflichtet, dem Kunden abgebuchte Geldbeträge zu erstatten, wobei ihr lediglich ein auf EUR 50,00 gedeckelter Anspruch auf Aufwendungsersatz gegen den Kunden zusteht. Anders ist dies jedoch bei grober Fahrlässigkeit des Kunden, also wenn der Kunde die erforderliche Sorgfalt in ungewöhnlich großem Maße verletzt hat. In dem Fall muss die Bank den abgebuchten Betrag nicht mehr erstatten. Der Vorwurf lautet dann: Das hätte jedem einleuchten müssen. Der Kunde muss dafür in grober Weise gegen gesetzliche Pflichten oder gegen die mit der Bank vereinbarten Bedingungen für die Ausgabe und Nutzung des Zahlungsauthentifizierungsinstruments verstoßen haben. Wann etwa die Weitergabe von TANs durch einen Nutzer infolge eines Vishing-Angriffs als grob fahrlässig gilt, ist dann eine Frage des Einzelfalles. Gerichte haben hier in der Vergangenheit Kriterien wie den Grad an Computerkenntnissen, das Alter, Sprachkenntnisse oder die Erkennbarkeit des Vorliegens eines Betruges zugrunde gelegt.

Für Betrüger ergeben sich stetig neue Möglichkeiten. Umso wichtiger wird der Schutz der Bankkunden. Gibt es einen Schlüssel zur erfolgreichen Vishing-Prävention?

Dr. Benjamin Wübbelt: Wie auch beim Phishing gilt: Wachsam bleiben! Es sollten keine persönlichen Zugangsdaten, TANs oder Authentifizierungsinstrumente am Telefon preisgegeben werden, auch wenn der Anrufer behauptet, Mitarbeiter Ihrer Bank zu sein oder eine Drucksituation aufbaut. Seriöse Mitarbeiter setzen Kunden nicht am Telefon unter Druck, um an derlei Informationen zu gelangen. Idealerweise wird das Gespräch unmittelbar beendet und der jeweiligen Bank gemeldet. Überdies sollten schon potenzielle Anbahnungen von Vishing-Versuchen als solche erkannt werden und Misstrauen hervorrufen. Dies gilt etwa für Anrufe von exotischen Nummern oder Nachrichten via E-Mail, SMS oder Messangerdienst, in denen nach Telefonnummern gefragt wird. Dies sind oftmals Vorstufen eines bevorstehenden Vishing-Anrufs.

Herr Dr. Wübbelt, vielen Dank für das Gespräch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.