Maria-Urania Dovas: Manche Kunden schöpfen aber keinen Verdacht

Maria-Urania Dovas ist Rechtsanwältin in der Kanzlei CSW in München. Mit ihr sprechen wir über sprachliche Fortentwicklung von Phishing, Abgreifen von Zugangsdaten sowie Vortäuschen nicht zutreffender Gegebenheiten.

Maria-Urania Dovas

Betrugsmethoden nehmen neue Ausmaße an. Die Methode Phishing ist dabei vielen ein Begriff. Doch was ist unter dem neuen Begriff Vishing zu verstehen?

Maria-Urania Dovas: „Vishing“ ist gewissermaßen eine sprachliche Fortentwicklung von Phishing und setzt sich zusammen aus „Voice“ und „Phishing“, bezeichnet also das Abgreifen von Zugangsdaten, Passwörtern und insbesondere auch TANs durch entsprechendes Vortäuschen nicht zutreffender Gegebenheiten. Man verortet es im Bereich des „Social Engineering“, von dem alle Tätigkeiten umfasst sein sollen, die dem Betroffenen eine bestimmte Situation vorspiegeln sollen, um ihn zur Vornahme bestimmter Handlungen zu bringen. Dabei wird nicht selten eine Drucksituation aufgebaut, eine Drohkulisse oder auch ein sehr lukratives Angebot vorgespielt, so dass der Betroffene in großer Eile und unter Zeitdruck agieren muss. Beim Vishing bekommt der Betroffene einen Anruf oder eine Sprachnachricht und wird telefonisch (deshalb „Voice“) entweder durch einen entsprechend geschulten „Mitarbeiter“ oder durch eine entsprechende Software so lange bearbeitet, dass er seine Zugangsdaten, Passwörter, TANs oder sonstige Credentials herausgibt oder sogar direkt Überweisungen vornimmt. Oftmals wird vorgetäuscht, dass es sich dabei um die eigene Bank handelt, mit der der Betroffene kommuniziert. Möglich wird das überhaupt auch deshalb, weil Banken selbst auf das Phishing-Problem aufmerksam geworden sind und ihre Kunden selbst darauf hinweisen, dass sie ihnen niemals E-Mails schicken würden, in denen diese aufgefordert werden, ihre Zugangsdaten preiszugeben. Manche Kunden schöpfen aber keinen Verdacht, wenn sie einen entsprechenden Anruf oder eine E-Mail erhalten und aufgefordert werden, sich mit ihrer Bank unter der in der E-Mail genannten Nummer in Verbindung zu setzen. Das Problem ist dann, dass am anderen Ende der Leitung nicht ein Bankmitarbeiter oder ein Mitarbeiter des Callcenters sitzt, das für die Bank tätig wird, sondern betrügerische Banden.

Die Betrugsmethoden sind also nun um einen Begriff reicher. Was ist also der Unterschied zwischen Phishing, Smishing und Vishing, und welche davon ordnen Sie als am gefährlichsten ein?

Maria-Urania Dovas: Der Unterschied liegt nur im Medium. Die Herangehensweise und die Umsetzung unterscheiden sich nicht wirklich, es sind Varianten derselben Betrugsmasche. Beim Phishing wird eine E-Mail versendet, die dem Empfänger suggerieren soll, dass sie von einem anderen Versender kommt, als der Empfänger denkt. Die tatsächlichen Versender werden verschleiert. Früher konnte man als aufmerksamer Leser an dem schlechten Deutsch (zB fehlende Umlaute, eigenartige Anrede, krude oder fehlende Grußformeln) und Prüfung des Impressums, der E-Mail Adresse und dergleichen recht schnell erkennen, womit man es zu tun hatte. Allerdings werden diese E-Mails massenhaft versendet und es kann dem einen oder anderen passieren, dass er unaufmerksam ist. Bei Smishing spielt sich das Ganze per SMS ab. Man bekommt auf dem Mobiltelefon eine Textnachricht, versehen mit einem Link, in Covid-Zeiten gerne mit dem Hinweis, dass sich die getätigte Bestellung verzögert, aber man den Lieferstatus über den Link einsehen kann. Auch hier kann man manchmal bei aufmerksamem Lesen erkennen, dass das kein echter Link ist, beispielsweise, weil der Text in schlechtem Deutsch geschrieben ist oder sich aus dem Link kein Versandunternehmen ergibt. Das sind aber natürlich nur Hilfestellungen, die nicht immer greifen können, etwa dann, wenn man sowieso in Eile ist oder eine E-Mail oder SMS nicht vorsichtig genug liest. Genau auf solche Unaufmerksamkeiten zielen diese Betrugsformen ab. Vishing erfolgt wie beschrieben über Telefonie. Gefährlich sind aus meiner Sicht alle Formen. Um nicht auf Betrüger hereinzufallen, ist immer auch der Betroffenen gefragt, sich zweimal zu überlegen, ob man wirklich auf jeden Link klicken muss, den man zugesendet bekommt. Vor allem seriöse Versanddienstleister geben oft an, von wem eine angekündigte Sendung stammt. Und wenn man seine Telefonnummer sowieso nicht angibt, kann man auch ein wenig hellhörig werden, wenn man angebliche Sendungsbenachrichtigungen per SMS bekommt. Bei Vishing liegt die besondere Gefährlichkeit darin, dass der Betroffene ja direkt aufgefordert wird, sich mit seiner Bank in Verbindung zu setzen oder den entsprechenden „Mitarbeiter“ bereits am andern Ende der Leitung hat, weil man angerufen wurde. Da wird der Kunde natürlich überrumpelt und das ist auch Teil der Strategie. Wenn man nun Kunde bei einer regionalen Sparkasse ist, wird man sich vielleicht noch Gedanken über die genannte Rufnummer machen und erst nachsehen, ob das zusammenpasst. Möglicherweise hat man sogar noch einen direkten Ansprechpartner und weiß deshalb, an wen man sich wenden kann. Das wird aber bei sehr vielen Bankkunden kaum der Fall sein, Kunden von Direktbanken haben vermutlich noch nie einen festen Ansprechpartner gehabt und gelangen immer ins Callcenter, wenn sie dort anrufen. Besonders problematisch ist also beim Vishing, dass der Betroffene erst einmal „kalt erwischt“ wird und vermutlich schon etwas verunsichert ist, denn immerhin verstehen die betrügerischen Gesprächspartner es sehr gut, ihr potentielles Opfer zu „bearbeiten“. Und dann gelangt der Betroffene völlig unvorbereitet entweder in eine Drucksituation oder in eine Form von „good cop, bad cop“, bei der ein Gesprächspartner besonders nett und verständnisvoll ist, aber auf seinen Vorgesetzten verweist, der sehr, nun ja, bestimmt auftritt. Es geht dabei darum, aus dem Betroffenen die Informationen herauszubekommen, die die Betrüger benötigen, um an ihr Ziel (etwa Kontodaten, weitere persönliche Daten und insbesondere TANs) zu kommen, aber auch darum, den Betroffenen so lange in das Gespräch zu verwickeln, dass er gar nicht auf die Idee kommt, dass er sich Hilfe holen oder seinen Zweifeln nachgehen könnte. Aus diesem Grund halte ich Vishing auch für besonders gefährlich. Der Betrug geschieht gewissermaßen in „Echtzeit“. Der Betroffene kann sich weder Hilfe holen noch in Ruhe nachprüfen, ob er nicht doch einem Betrüger aufgesessen ist. Außerdem wird durch die Art der Gesprächsführung der Betroffene auch so eingeschüchtert oder in das Gespräch verwickelt, dass er gar nicht daran denkt, dass er auch einfach auflegen könnte. Deshalb machen das die meisten Opfer von Vishing eben auch nicht. Diese fehlende Möglichkeit der Überprüfung, was da eigentlich vor sich geht, macht Vishing so gefährlich.

Können Sie uns den Ablauf von typischen Vishing-Betrügen erklären?

Maria-Urania Dovas: Vishing läuft typischerweise so ab, dass der Betroffene entweder direkt angerufen wird oder eine Sprachnachricht erhält, sich mit „seiner Bank“ unter einer bestimmten Nummer in Verbindung zu setzen, oftmals die Nummer anzurufen, von der die Sprachnachricht stammt. Die Telefonnummer haben die Betrüger oftmals im Wege einer klassischen Phishing-E-Mail abgegriffen, in der die potentiellen Opfer in einer täuschend echt aussehenden E-Mail, die vermeintlich von ihrer Bank stammt, auf eine täuschend echte Website weitergeleitet werden, auf der sie persönliche Daten und Angaben zu ihrem Konto machen sollen. Oftmals sollen sie auch ihre Telefonnummer angeben. In dem sich anschließenden Gespräch wird dem Betroffenen entweder eine besondere Gefährdungssituation für sein Geld (zB Daten wurden gehackt und es muss eine Kontrolle der TANs des Kunden durch die Bank erfolgen, für die sie die Zugangsdaten des Betroffenen benötigt, etwa PINs und TANs) oder für seine Kreditkarte (zB angeblich gestohlene Kreditkartendaten) vorgespiegelt oder aber es wird ein besonders lukratives Angebot angepriesen, für das der Betroffene aber erst einmal eine Überweisung vornehmen muss. Es kann aber auch sein, dass sich der Gesprächspartner als Vertreter einer Behörde ausgibt, der vermeintliche Steuerschulden auf der Stelle im Wege einer Überweisung durch den Betroffenen eintreiben will. Der Betroffene wird einem starken Druck ausgesetzt und kommt in dieser Zwangslage den Forderungen nach, insbesondere auch, weil er nicht die Zeit hat, die Behauptungen zu überprüfen und weil die Betrüger die Überrumpelungssituation zu ihren Gunsten nutzen. Dabei gibt er beispielsweise TANs preis, mit denen dann sofort und zwar oft schon während des Gesprächs Überweisungen getätigt werden. Dabei bleiben die Betrüger natürlich auch unter dem Betrag, den sie für das Tageslimit halten, wobei das aber auch vierstellige Beträge sein können.

Auf Bankkunden werden also übers Telefon gezielt Druck ausgeübt, um diese zur Preisgabe von TANs oder anderen Authentifizierungsinstrumenten zu bewegen. Dabei ergeben sich rechtliche Probleme. Verletzen Kunden dabei grob fahrlässig ihre Pflichten?

Maria-Urania Dovas: Es gibt tatsächlich eine Reihe von Gerichtsurteilen, in denen davon ausgegangen wird, dass die Kunden grob fahrlässig gehandelt haben. Die Gerichte sind der Meinung, dass die Kunden die erforderliche Sorgfalt außer Acht gelassen haben und sich ihnen hätte aufdrängen und auch der Allgemeinheit einleuchten müssen, dass es sich um Daten handelt, deren Weitergabe nach den einschlägigen Regelungen des BGB und auch nach vertraglichen Bedingungen nicht zulässig ist. Das bringt eben aus Sicht der Gerichte die Gefahr mit sich, dass die Daten für die Durchführung von missbräuchlichen Überweisungen genutzt werden. Und dies müsste den Kunden eigentlich schon in dem Moment klar sein, in dem sie die Tans etc. weitergeben. So jedenfalls die Theorie. Dass es in der Praxis ganz anders aussehen kann, zeigt schon die Vielzahl der Urteile, die in einem Zeitraum von 10 Jahren schon ergangen sind. Das sind ja nicht alle Fälle von Phishing, Smishing, Vishing etc. Die Folge für die Kunden ist aber, dass kein Anspruch gegen die Bank besteht, den entstandenen Schaden zu ersetzen. So bleiben die Kunden auf dem Schaden sitzen, denn in den meisten Fällen kann das Geld nicht mehr zurückgeholt werden und ist dann unwiederbringlich weg.

Für Betrüger ergeben sich stetig neue Möglichkeiten. Umso wichtiger wird der Schutz der Bankkunden. Gibt es einen Schlüssel zur erfolgreichen Vishing-Prävention?

Maria-Urania Dovas: Tatsächlich ist es so, dass die Masche eigentlich immer die gleiche bleibt, die Form der Durchführung aber leicht variiert. Letztlich wird immer eine besondere Vulnerabilität, also zB eine (zuvor von Betrügern erst geschaffene) Drucksituation oder aber Leichtgläubigkeit oder aber auch fehlende Vertrautheit mit technischen Vorgängen ausgenutzt. Das ist auch der Grund dafür, dass der sogenannte „Enkeltrick“, der ja so ähnlich aufgebaut ist, aber komplett „analog“ durchgeführt wird, immer noch erstaunlich gut funktioniert, trotz der breiten medialen Aufmerksamkeit. Durch die Bindung an das Gespräch ist es für den Kunden schwer, seinerseits erst einmal Nachprüfungen vorzunehmen. Man muss also früher ansetzen, um solchen Angriffen vorzubeugen. Den einen Schlüssel als Patentlösung gibt es aber nicht. Es handelt sich meistens nur um Hilfestellungen. Die Angriffe sind so breit gestreut, dass immer mal wieder jemand aus Unvorsichtigkeit darauf hereinfällt. Die Banken versuchen dem entgegenzusteuern, indem sie ihren Kunden mitteilen, dass sie niemals Daten wie PINs und TANs telefonisch abfragen würden. Allerdings werden solche Meldungen von eiligen Online-Banking-Nutzern weggeklickt und nicht gelesen. Am Ende hilft wahrscheinlich nur eine gesunde Portion Misstrauen und die Sensibilisierung von Kunden für einen verantwortungsvollen Umgang mit den eigenen persönlichen Daten. Wichtig ist, dass die Kunden das, was sie gerade vorhaben, kritisch hinterfragen. Das kann man aber nur, wenn man diese Betrugsmaschen kennt und in der Folge auch erkennen kann, beispielsweise durch entsprechende Informationen auch in den Medien. Aber auch das ist leichter gesagt als getan, denn so geistesgegenwärtig muss man in dieser Situation erst einmal sein. Ärgerlich ist natürlich, dass alle diese Maßnahmen zur Prävention vom Kunden ausgehen müssen und er damit gewissermaßen allein in der Pflicht ist. Und in Zeiten von Direktbanken und Online-Banking kann man ja kaum davon ausgehen, dass Kunden nur noch Schriftverkehr mit ihrer Bank vereinbaren und telefonischen Kontakt vollständig ausschließen. Das sind Szenarien, die an der Realität vorbeigehen. Auch seitens der Banken wäre es aber sinnvoll, sich Gedanken über bessere Schutzmechanismen zu machen, denn die vorhandenen genügen offensichtlich nicht immer.

Frau Dovas, vielen Dank für das Gespräch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.