Dr. Jana Jentzsch: Sprache wird gezielt als Medium zur Durchführung des Betrugs genutzt

Dr. Jana Jentzsch ist Rechtsanwältin in ihrer Kanzlei JENTZSCH IT Rechtsanwaltsgesellschaft mbH in Hamburg. Mit ihr sprechen wir über Cyberkriminalität, Abgreifen von Informationen sowie Durchführung des Betrugs.

Dr. Jana Jentzsch

Betrugsmethoden nehmen neue Ausmaße an. Die Methode Phishing ist dabei vielen ein Begriff. Doch was ist unter dem neuen Begriff Vishing zu verstehen?

Dr. Jana Jentzsch: Vishing steht für „Voice Phishing“, womit eine spezielle Form des Phishings gemeint ist. Beim Vishing geht es wie beim bekannten Phishing um Cyberkriminalität durch „Abfischen“ von Informationen. Das Besondere beim Vishing ist, dass Informationen per Telefonanruf oder mit sonstigen Sprachsystemen abgegriffen werden sollen. Hier wird die Sprache gezielt als Medium zur Durchführung des Betrugs genutzt.

Die Betrugsmethoden sind also nun um einen Begriff reicher. Was ist also der Unterschied zwischen Phishing, Smishing und Vishing, und welche davon ordnen Sie als am gefährlichsten ein?

Dr. Jana Jentzsch: Phishing ist die allgemeine Bezeichnung für das „Abfischen“ von Informationen im Internet durch Trickbetrug, z.B. der Erhalt einer E-Mail mit einem Link auf eine gefälschte Internetseite mit Aufforderung der Eingabe von Kreditkartendaten. „Smishing“ ist ein Wortspiel aus „SMS“ und „Phishing“. Bei dieser Methode senden die Betrüger eine Textnachricht, also SMS oder WhatsApp oder Vergleichbares, an ihre Opfer. Diese Nachrichten erwecken den Anschein, dass sie von der eigenen Bank stammen und es wird nach persönlichen Informationen wie der Kontonummer oder PIN gefragt. Beim Vishing erfolgt der Angriff über einen Telefonanruf oder ein Sprachsystem. Für alle Angriffsarten gilt: Wer jetzt personenbezogene Informationen preisgibt, übergibt Kriminellen den Schlüssel oder zumindest Teile des Schlüssels zu seinem Bankkonto. Besonders gefährlich sind Angriffe immer dann, wenn die Betrüger täuschend echt vorgehen, d.h. wenn die Sprache und Aufmachung des Betrugs fehlerfrei sind und seriös wirken. Daher würde ich nicht sagen, dass eine bestimmte Methode pauschal gefährlicher ist als eine andere.  Dennoch ist beim Vishing sicherlich die dynamische Kommunikationsmöglichkeit im Rahmen eines Telefonats als besonderes Risiko einzustufen. Manchmal haben die Betrüger schon Informationen über den Kunden, und nutzen diese, um Vertrauen aufzubauen. Sogar Details von Kontoumsätzen der Vergangenheit wurden hier schon benutzt. Hierdurch kommt es immer wieder zu Überweisungen, da die Kunden dem Anrufer zum Beispiel smsTAN verraten.

Können Sie uns den Ablauf von typischen Vishing-Betrügern erklären?

Dr. Jana Jentzsch: Es gibt hier recht unterschiedliche Herangehensweisen. Oft erhalten die Kunden einen Anruf und der Anrufer gibt sich als Bank-Mitarbeiter aus, der bei einem bestehenden Problem mit dem Konto helfen möchte. Zum Beispiel kann gesagt werden, dass Zugriffsprobleme auf das Konto bestanden und die Bank sichergehen möchte, ob das Problem behoben wurde, so dass der Kunde eine Test-Überweisung ausführen soll. Der Kunde loggt sich dann in sein Konto ein und der Anrufer nennt ihm Kontodaten für eine Überweisung in ein ausländisches Land. Der Anrufer versichert, dass das nur ein Test der Bank sei und natürlich kein Geld transferiert werde. Das stimmt aber nicht. Die Überweisung wird ausgeführt und die Täter können im Empfängerland der Überweisung oft nicht dingfest gemacht werden, da das Geld von Unbekannten sofort abgehoben wird. Oft werden aber auch Vishing und klassisches Phishing in einem Angriff verknüpft. Ein bekanntes Szenario ist der Anruf der Vishing-Betrüger bei Kunden einer Bank, die bereits zuvor auf eine als Bank-E-Mail getarnte Phishing E-Mail hereingefallen sind und auf einer Phishing-Webseite im Internet bereits Daten eingegeben haben und Fragen beantwortet haben, so dass die Angreifer sich vorab schon Zugang zum Bankkonto verschaffen konnten. Die Betrüger geben sich dann am Telefon als Bankmitarbeiter aus und führen zusammen mit den Kunden am Telefon eine Umstellung vom smsTAN- auf das pushTAN-Verfahren durch. Den hierbei von der Bank per SMS versendeten Registrierungs-Link für die pushTAN-App sollen die Kunden dann auf einer eigens hierfür aufgesetzten Phishing-Seite eingeben. Der Link gerät damit in die Hände der Angreifer und ist der Schlüssel zur Durchführung von Transaktionen. Das typische Vishing-Opfer gibt es im Übrigen vielleicht gar nicht, weil die Angreifer inzwischen sehr professionell vorgehen.

Auf Bankkunden werden also übers Telefon gezielt Druck ausgeübt, um diese zur Preisgabe von TANs oder anderen Authentifizierungsinstrumenten zu bewegen. Dabei ergeben sich rechtliche Probleme. Verletzen Kunden dabei grob fahrlässig ihre Pflichten?

Dr. Jana Jentzsch: Es kommt darauf an. Zumindest die aktuelle Rechtsprechung sieht das wie folgt: Wenn Opfer von Phishing-Attacken einen finanziellen Schaden erleiden und ihr Geld von ihrer Bank erstattet bekommen wollen, dann kommt es insbesondere darauf an, ob der Kunde im konkreten Einzelfall grob fahrlässig gehandelt hat. Ist das der Fall, hat er keinen Erstattungsanspruch gegen die Bank. Grob fahrlässig handeln bedeutet hier eine deutliche Vernachlässigung der eigenen Sorgfaltspflichten. Die Gerichte sind hier tendenziell der Auffassung, dass einem durchschnittlichen und regelmäßigen Nutzer von Online-Banking bekannt sein muss, dass Kriminelle versuchen, mittels Phishing an sensible Daten zur Plünderung von Bankkonten zu gelangen. Es wird also tendenziell Misstrauen erwartet, wenn Kontoinformationen, TAN, PIN etc. abgefragt werden. Nur bei nahezu qualitativ perfekten Täuschungen und sehr vorsichtigen Kunden kommt in Betracht, dass Kunden einen Erstattungsanspruch gegen die Bank gerichtlich durchsetzen können. Ich finde das auch nachvollziehbar, denn die Bank hat hier ja grundsätzlich selbst keine Pflichten verletzt und sollte daher auch nicht automatisch für solche Betrugsfälle haften müssen. Ansonsten könnte es dem Kunden ja egal sein, ob er sich auf Betrüger einlässt, da er sicher gehen könnte, dass er das Geld ohnehin von der Bank zurückerhält. Das wäre meines Erachtens rechtspolitisch falsch.

Für Betrüger ergeben sich stetig neue Möglichkeiten. Umso wichtiger wird der Schutz der Bankkunden. Gibt es einen Schlüssel zur erfolgreichen Vishing-Prävention?

Dr. Jana Jentzsch: Am wichtigsten ist meines Erachtens eine bessere Sensibilisierung von Kunden für betrügerische Telefonanrufe, insbesondere im Bankbereich. PIN oder TAN oder Kreditkartennummern sollten nie am Telefon genannt werden. Wenn telefonisch jemand personenbezogene Daten abfragen möchte, kann man sich zur Sicherheit Name und Funktion geben lassen und dann selbst bei der eigenen Bank anrufen, um sich die Richtigkeit vorab bestätigen zu lassen und den Anrufer selbst unter der bekannten Banknummer zurückrufen bzw. sich über die Zentrale zu ihm durchstellen lassen. Jeder Bankkunde sollte wissen, wie er schnell die Identität eines vermeintlichen Bankmitarbeiters, der ihn anruft, verifizieren kann. Hier haben einige Banken noch Nachholbedarf und sollten klare Code of Conducts nicht nur an ihre Kunden herausgeben, sondern durch persönliche Betreuung dafür sorgen, dass diese auch verstanden werden. Auch öffentliche Kampagnen in den Medien zu dem Thema würden nicht schaden. Und natürlich benötigen die Banken die besten Spezialisten im Bereich Cyberkriminalität und Security, um ihre Systeme zu schützen. Hierzu gehört auch der Einsatz von Künstlicher Intelligenz, die auszuführende Transaktionen sofort bewertet und in Verdachtsfällen entsprechende Warnungen ausspricht.

Frau Dr. Jentzsch, vielen Dank für das Gespräch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.