Dr. Baran Kizil: Eine gesunde Skepsis ist stets angebracht

Dr. Baran Kizil ist Rechtsanwalt und Partner der Kanzlei LTMK Rechtsanwälte und Steuerberater PartmbB in Köln. Mit ihm sprechen wir über Vishing, Vorgehen von Trickbetrügern sowie neue Betrugsmethoden.

Betrugsmethoden nehmen neue Ausmaße an. Die Methode Phishing ist dabei vielen ein Begriff. Doch was ist unter dem neuen Begriff Vishing zu verstehen?

Dr. Baran Kizil: Hinter dem Kunstwort „Vishing“ steht eine besondere Form des Abgreifens persönlicher Informationen wie Kreditkartendaten, TAN, Passwörter usw. zum Zwecke der Begehung von Straftaten. Der Begriff setzt sich zusammen aus den Worten „Voice“ und „Fishing“, und wie die englischen Worte erahnen lassen, geht es dabei um das „Abfischen“ von Informationen, die eine Person mündlich mitteilt. In der Regel erfolgen die von Trickbetrügern ausgehenden Angriffe bzw. Abfischungen per Telefon. Dabei geben die anrufenden Betrüger am Telefon etwa vor, Mitarbeiter der einer Bank, einer Versicherung oder eines sonstigen Dienstleisters zu sein, um den Opfern Informationen zu entlocken. Die Anrufe erfolgen oft gezielt und nach einer vorherigen Recherche zu der Person des Opfers. Dabei bedienen sich die Betrüger beispielsweise den von Opfern in sozialen Netzwerken (wie zum Beispiel Instagram, Facebook etc.) veröffentlichten Informationen. Die Betrugsmasche über das Telefon ist seit der vergünstigten Möglichkeit der Internet-Telefonie sehr stark verbreitet und erfolgt oftmals über deutschsprechende Call-Center, die im Ausland sitzen. Ein bekanntes Beispiel für das telefonische Abgreifen von Daten ist der sog. „Enkeltrick“, bei dem der Anrufer dem Opfer ein bestehendes Verwandtschaftsverhältnis vorspiegeln, um an sensible Bankdaten zu gelangen oder die Opfer zu einer Zahlung zu veranlassen. Es kommt auch vor, dass Betrüger per E-Mail oder SMS-Nachrichten unter Vorgabe eines vertrauenswürdigen Absenders (zum Beispiel Hausbank des Opfers) mit der Aufforderung versenden, sich telefonisch zu melden. Wenn sich die Empfänger der Nachrichten dann telefonisch melden, werden sie (oftmals von einer Computerstimme) aufgefordert, beispielsweise ihre Bank- bzw. Kreditkartendaten mitzuteilen. Das gesprochene Wort wird gespeichert bzw. mitgehört und dann für kriminelle Zwecke verwendet.

Die Betrugsmethoden sind also nun um einen Begriff reicher. Was ist also der Unterschied zwischen Phishing, Smishing und Vishing, und welche davon ordnen Sie als am gefährlichsten ein?

Dr. Baran Kizil: Allen drei Begriffen ist gemein, dass es um das Abgreifen (Abfischen) von persönlichen bzw. vertraulichen Daten zum Zwecke der Begehung von Straftaten geht. Unter „Phishing“ versteht man das Abgreifen von Passwörtern, wobei die Täter zum Beispiel Nutzer von Online-Banking per vertrauenswürdig erscheinender E-Mail dazu auffordern, auf einer von den Tätern erstellten Fake-Webseite ihre Bankdaten in eine vorgefertigte Maske einzugeben. „Smishing“ ist eine Unterkategorie des Phishings und meint das Abgreifen von Daten via SMS-Einsatz. Es werden SMS-Nachrichten verschickt, die Links enthalten, auf die der Empfänger der SMS unter einem Vorwand angelockt werden soll. Diese SMS enthalten beispielsweise fingierte Abobestätigungen oder Paketankündigungen. Für Unternehmen sind nach wie vor Phishing-Attacken als am gefährlichsten einzustufen. In der Praxis kommen Angriffe auf Firmennetzwerke sehr häufig vor, wobei die Angreifer unter anderem die Mail-Korrespondenz einsehen, um sensible Daten abzugreifen.

Können Sie uns den Ablauf von typischen Vishing-Betrügen erklären?

Dr. Baran Kizil: Der Anrufer meldet sich telefonisch bei dem Opfer und gibt vor, Bankmitarbeiter oder Mitarbeiter eines Unternehmens zu sein, mit dem der Angerufene geschäftlich verbunden ist. Der Anrufer erweckt das Vertrauen des Opfers, in dem er die ihm über das Opfer (anderweitig erlangten) Informationen mitteilt. Während des Gesprächs wird der Angerufene unter Vorgabe falscher Tatsachen dazu aufgefordert, seine sensiblen Daten (zum Beispiel Kreditkartendaten, Passwörter, TAN etc.) mitzuteilen oder eine Transaktion durchzuführen. Dabei setzen die Betrüger die Opfer regelmäßig unter dem Vorwand, es handele sich um eine sehr dringliche Angelegenheit unter Zeitdruck. Dabei drohen die Betrüger zum Beispiel mit der Sperrung des Kontos, mit Zusatzkosten oder gar einem Schufa-Eintrag zum Nachteil des Opfers.

Auf Bankkunden werden also übers Telefon gezielt Druck ausgeübt, um diese zur Preisgabe von TANs oder anderen Authentifizierungsinstrumenten zu bewegen. Dabei ergeben sich rechtliche Probleme. Verletzen Kunden dabei grob fahrlässig ihre Pflichten?

Dr. Baran Kizil: Die Frage, ob eine grob fahrlässige Pflichtverletzung des Bankkunden vorliegt, wenn dieser Opfer eines Vishing-Angriffs wurde, ist entscheidend dafür, ob die Bank einen Schadensersatzanspruch Höhe des abgegriffenen Betrages gemäß § 675v Absatz 3 Nr. 2 Bürgerliches Gesetzbuch (BGB) gegen den Kunden geltend machen kann. Grob fahrlässig ist ein Verhalten des Kunden, wenn ein Verstoß gegen die verkehrsübliche Sorgfalt in „besonders schwerem Maße“ vorliegt. Dies muss in jedem Einzelfall geprüft werden und lässt sich pauschal nicht beantworten. Es wird sich im Einzelfall die Frage stellen, ob es für den Kunden ersichtlich sein musste, dass die Daten an einen nicht berechtigten Dritten weitergegeben werden. Eine Rolle spielt dabei unter anderem, ob die Bank ihre Kunden über mögliche Betrugsversuche gewarnt hatte. Es dürfte aber anzunehmen sein, dass vernünftigerweise jedem Kunden einleuchten müsste, dass die Preisgabe von Bankdaten am Telefon gegenüber unbekannten Personen zumindest gefährlich ist.

Für Betrüger ergeben sich stetig neue Möglichkeiten. Umso wichtiger wird der Schutz der Bankkunden. Gibt es einen Schlüssel zur erfolgreichen Vishing-Prävention?

Dr. Baran Kizil: Eine gesunde Skepsis gegenüber unbekannten Anrufern ist stets angebracht. Bankmitarbeiter fragen von den Kunden in der Regel telefonisch keine sensiblen Daten ab. Am effektivsten ist es, die Preisgabe sensibler Zahlungsdaten über das Telefon gänzlich zu vermeiden. Hilfreich und wichtig ist es auch, stets aktuelle Sicherheitssoftware auch auf Smartphones zu verwenden. Unternehmen sind gut beraten, wenn sie ihre IT-Infrastruktur, zu der auch die Telefonie gehört, auf dem neuesten Stand halten und regelmäßig kontrollieren lassen. Eine sinnvolle Maßnahme ist auch die Schulung von Mitarbeitern zu den möglichen Risiken des Vishings und verwandten Betrugsformen.

Herr Dr. Kizil, vielen Dank für das Gespräch!