Dr. Thomas A. Degen: Cyberkriminalität

Dr. Thomas A. Degen ist Rechtsanwalt in der Kanzlei Jordan & Wagner Rechtsanwaltsgesellschaft mbH in Stuttgart. Mit ihm sprechen wir über Phishing, Vishing sowie weitere Betrugsmethoden.

Dr. Thomas A. Degen

Betrugsmethoden nehmen neue Ausmaße an. Die Methode Phishing ist dabei vielen ein Begriff. Doch was ist unter dem neuen Begriff Vishing zu verstehen?

Dr. Thomas A. Degen: Vishing ist eine Bezeichnung für eine spezifische Art von Cyberkriminalität. Der Begriff hört sich nach IT-Slang an; es handelt sich um ein Kunstwort aus Phishing und Voice. Gemeint ist das Abfischen von Daten über einen bestimmten Kanal, hier Voice over IP, die Sprachübertragung über das Internetprotokoll. „VoIP-Fishing“ greift immer mehr um sich.

Die Betrugsmethoden sind also nun um einen Begriff reicher. Was ist also der Unterschied zwischen Phishing, Smishing und Vishing, und welche davon ordnen Sie als am gefährlichsten ein?

Dr. Thomas A. Degen: Phishing ist die Oberkategorie. Smishing und Vishing sind Varianten dieser Cyberattacken. Unter der Oberkategorie Phishing wird ein Cyberangriff verstanden, bei dem typischerweise mit gefälschten E-Mails oder Webseiten Zugangsdaten für einen Dienst erlangt werden. Die Wortschöpfung aus „Password“ und „Fishing“ bringt es auf den Punkt. Cyberkriminelle grasen alle erdenklichen Kanäle und „Businessmodelle“ ab. Es überrascht daher nicht, dass nach E-Mails und Webseiten auch Kurznachrichten wie SMS ins Fadenkreuz Krimineller geraten. Die Kategorie Smishing bezeichnet als Kunstbegriff von SMS und Phishing die leider auch zunehmende Trickbetrügermasche, Smartphone-Nutzern schädigen, indem diese dazu gebracht werden, Links anzuklicken. Beispielsweise werden Paketzustellungen so „adressiert“, um Schadsoftware zu verbreiten. Diese Betrugsmethoden sind sehr perfide, zumal dem Empfänger die Authentizität, Echtheit vorgegaukelt wird und darauf spekuliert wird, dass man blind vertraut oder sich freut oder einfach schnell klickt. Unter Berücksichtigung amtlicher Warnungen, wie etwa vom BSI, dem Bundesamt für Sicherheit in der Informationstechnik, dessen Aufgabe der Schutz und die Sicherheit der IT-Infrastruktur im Gemeinwohlinteresse ist, bewerte ich Phishing als am gefährlichsten. Eine weitere neue Unterform ist übrigens das Pharming. Das ist ein Cyberangriff, bei dem auch Zugangsdaten geklaut werden. In Abgrenzung zum „klassischen“ Phishing wird beim Pharming die Infrastruktur dergestalt verfälscht, dass das Opfer selbst dann auf einer gefälschten Webseite landet, wenn er die richtige Adresse des Dienstes eingeben hat, was durch Manipulation der DNS-Einträge in der lokalen Hosts-Datei, an einem Zwischenspeicher oder der zentralen DNS-Infrastruktur erfolgt. Die Schäden durch Cyberkriminalität erreichen Jahr für Jahr neue Mrd.-Höhen, ohne immaterielle Schäden von Persönlichkeits- und Reputationsverletzungen statistisch erfasst zu haben.

Können Sie uns den Ablauf von typischen Vishing-Betrügen erklären?

Dr. Thomas A. Degen: Vishing basiert typischerweise darauf, dass mittels automatisierter Telefonanrufen Erklärungsempfänger zur Preisgabe personenbezogener Daten aufgefordert werden. Je mehr Daten über eine Person in den Händen eines Kriminellen oder dessen Software und „Künstlicher Intelligenz“ sind, desto gefährlicher ist das bei Betrachtung einer Risikomatrix. Man sollte stutzig werden, wenn ein vorgeblicher Banksachbearbeiter bei einem im Home Office oder wo auch immer anruft und über einen Abgleich von IBAN, PIN, TAN durch die IT-Sicherheit des Kreditinstituts im angeblichen Kundeninteresse durchnavigieren möchte. Eine seriöse Bank macht derlei Aktionen schon aus Compliance-Gründen nicht. Kritisch sind auch vermeintlich attraktive Offerten bei Online-Partnervermittlungen, die im Fachjargon „Romance“ oder „Love Scam“ genannt werden, und bei denen es nicht um Liebe, sondern nur darum geht, Vermögensvorteile zu erschleichen.

Auf Bankkunden werden also übers Telefon gezielt Druck ausgeübt, um diese zur Preisgabe von TANs oder anderen Authentifizierungsinstrumenten zu bewegen. Dabei ergeben sich rechtliche Probleme. Verletzen Kunden dabei grob fahrlässig ihre Pflichten?

Dr. Thomas A. Degen: Das kommt darauf an. Cyberkriminelle machen sich technische Trends zu Nutze. Sie setzen aber auch auf das Faulheitsprinzip und den Faktor Mensch. Das tun Banken in einer gewissen Weise auch. Natürlich ist es absolut notwendig, beispielsweise Allgemeine Geschäftsbedingungen (AGB) regelmäßig anzupassen, insbesondere wenn es Anlass durch den Gesetzgeber, höchstrichterliche Entscheidungen der Rechtsprechung oder logische technische Bedürfnisse gibt. Das ist sozial- und vertragsadäquat. Problematisch ist in der Praxis, dass Cyberkriminelle oft nur schwer und sehr aufwändig aufzuspüren und durch sie verursachte Schäden daher nicht leicht reguliert werden. Über zivilrechtliche Kausalitäts-, Zurechnungs- und Verschuldenskategorien wird daher nicht nur bei Banken, sondern auch bei Cyberschutzversicherungen versucht, quasi das Risiko oder die Schuld und Haftung wieder in die Sphäre des Verbrauchers und Unternehmers zu kippen. Im Ernstfall würde ich jedem Betroffenen raten, behördliche, aber auch anwaltliche Hilfe in Anspruch zu nehmen. Denn jeder Fall ist letztlich ein Einzelfall, bei dem der konkrete Sachverhalt zu prüfen und sodann eine rechtliche Würdigung vorzunehmen ist. 

Für Betrüger ergeben sich stetig neue Möglichkeiten. Umso wichtiger wird der Schutz der Bankkunden. Gibt es einen Schlüssel zur erfolgreichen Vishing-Prävention?

Dr. Thomas A. Degen: Aus dem IT- und Datenschutz-Compliance würde ich als Zauberwort „Datensparsamkeit“ sagen. Wer sagt denn, dass man auf eine freundlich klingende Computerstimme, die einem herzlich zum Gewinn einer Krenzfahrt oder von 10.000,- € Bargeld gratuliert, gleich persönliche Daten herausgeben muss? Für den Unternehmens- und Behördenbetrieb würde ich messerscharfe Arbeitsrichtlinien empfehlen, beispielsweise für den pflichtgemäßen Umgang mit personenbezogenen Daten, Betriebsgeheimnissen etc. Leitlinien für die IT-Sicherheit geben auch Halt, unabhängig von Dokumentations- und Rechenschaftspflichten nach der DSGVO. Es sollte im Betrieb zumindest der Rahmen klar sein für die Nutzung von Internet, Sozialen Medien und etwa der Durchführung von Überweisungen, wenn der Chef auf den Bahamas ist, und für den „Karibik-Deal“ schnell eine Anzahlung an den Projektpartner zu brauchen vorgibt.

Herr Dr. Degen, vielen Dank für das Gespräch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.