Hendrik Verst: Ziel des Phishings ist es, vertrauenswürdige Kommunikation vorzutäuschen

Hendrik Verst ist wissenschaftlicher Mitarbeiter in der Kanzlei BRANDI Rechtsanwälte Partnerschaft mbB in Bielefeld. Mit ihm sprechen wir über neue Ausmaße von Betrugsmethoden, Trickbetrug sowie Ziel des Phishings.

Hendrik Verst

Betrugsmethoden nehmen neue Ausmaße an. Die Methode Phishing ist dabei vielen ein Begriff. Doch was ist unter dem neuen Begriff Vishing zu verstehen?

Hendrik Verst: Vishing ist, wie andere Formen des Phishings, eine Form des Trickbetrugs. Das Wort setzt sich zusammen aus „Voice“ und „Phishing“. Wie es der Name schon andeutet, kommt es hier entgegen den anderen bekannten Versionen des Phishings zur Nutzung von Spracherkennungssystemen. Im Rahmen dieser Masche werden die Opfer dazu veranlasst mündlich – regelmäßig also per Telefon – sensible Daten wie Passwörter, Kreditkartennummern, TANs oder andere Authentifizierungsmerkmale preiszugeben. Neuerdings geht es auch vermehrt um persönliche Daten wie Alter, Geschlecht, Namen und ähnliches, um Computerkennungen mit Personendaten zur Profilbildung zu verbinden.

Das Vishing betrifft dabei nicht nur Privatpersonen, auch Unternehmen werden zunehmend angegriffen. Das FBI warnt angesichts der Auslagerung von Arbeitsleistungen ins Home Office vor Vishing-Angriffen. Es gibt gezielte Angriffe auf Mitarbeiter von Unternehmen mit dem Ziel, Anmeldedaten für unternehmensinterne Netzwerke zu erlangen.

Die Schäden, die durch die Vishing-Methode entstehen, sind bisweilen beträchtlich. Nach Angaben von BBC entstanden im Rahmen des Kreditkartenbetruges durch Vishing im Jahr 2015 bereits Schäden von rund einer Milliarde Euro. Dies bezieht sich dabei allein auf den Kreditkartenbetrug. Zu anderweitigen Betrugsschäden durch Vishing finden sich keine Angaben.  In Deutschland sind etwa bereits Fälle bekannt geworden, in welchen vermeintliche Bankmitarbeiter Kunden angerufen haben, um Onlinebankingzugangsdaten wie PIN, TAN und Kontonummer zu erfragen, um anhand dieser Angaben betrügerische Überweisungen durchzuführen.

Die Betrugsmethoden sind also nun um einen Begriff reicher. Was ist also der Unterschied zwischen Phishing, Smishing und Vishing, und welche davon ordnen Sie als am gefährlichsten ein?

Hendrik Verst: Das Phishing lässt sich in diesem Fall als Oberbegriff kennzeichnen, während das Smishing und das Vishing zwei unterschiedliche „Spielarten“ dieser Betrugsmasche darstellen.

Ziel des Phishings ist es, eine vertrauenswürdige Kommunikation vorzutäuschen, um am Ende an persönliche Informationen zu gelangen, etwa mit dem Ziel des Identitätsdiebstahls, der Kontoplünderung oder aber auch der Installation von Schadsoftware. Die unterschiedlichen Varianten unterscheiden sich dabei vorwiegend anhand des Mediums, das zum Vortäuschen der vertrauenswürdigen Kommunikation genutzt wird.

Im Rahmen des klassischen Phishings erfolgt das Vortäuschen der vertrauenswürdigen Kommunikation klassischerweise durch das Versenden von täuschungsechten E-Mails oder das Aufspielen gefälschter Websites.

Beim Smishing hingegen werden täuschend echte SMS versendet, etwa mit Abholbestätigungen und dem Verweis zu einer Internetseite. An dieser Stelle findet sich auf der Internetseite oftmals ein Trojaner, mittels dessen der Nutzer durch den Betrüger ausgespäht werden kann.

Das Vishing hingegen arbeitet wie beschreiben mit Mitteln der Spracherkennung. Hierbei setzen Betrüger auf das günstige Mittel der Internettelefonie. Die Nutzer werden hierbei im Rahmen eines Telefongesprächs- insbesondere durch die Anwendung von Überrumpelungstaktiken und den Aufbau von Druck –  zur Preisgabe sensibler Daten bewegt.

Da im Rahmen eines Telefonats eine unmittelbare Kommunikation mit den Betrügern besteht und hierbei oftmals auch ein immenser Druck auf die Opfer ausgeübt oder umgekehrt das Vertrauen der Opfer ausgenutzt wird und diese der Situation oftmals schlecht ausweichen können, halte ich die Gefahr beim Vishing für die Betroffenen für am höchsten. Bei dem Erhalt von E-Mails oder Kurznachrichten hat man Zeit, sich über die Authentizität der Nachrichten Gedanken zu machen, oder man kann sie auch getrost ignorieren. Bei der telefonischen Konfrontation mit Betrügern hat man diese Zeit nicht und der einfache Abbruch der Kommunikation wird durch den Druckaufbau durch die Täter für die Betroffenen erheblich erschwert.

Können Sie uns den Ablauf von typischen Vishing-Betrügen erklären?

Hendrik Verst: Oftmals bekommt man im Rahmen von Vishing-Attacken Kurznachrichten mit der Bitte, eine bestimmte Telefonnummer anzurufen. In dem Telefonat bedienen sich die Betrüger der Mittel des sog. Social Engineerings, verunsichern die Betroffenen also mittels Überrumpelungstaktiken, des Aufbaus von Druck oder des Missbrauchs von Vertrauen. Sie geben oftmals an, Experten zu sein und täuschen Situationen der Dringlichkeit vor, um die potenziellen Opfer zur Preisgabe sensibler Daten zu bewegen.

Denkbar sind auch Fälle, in denen mittels Trojaner der Bildschirm des Nutzers gesperrt wird. Auf dem Sperrbildschirm befindet sich dann eine Telefonnummer eines vermeintlichen Technikers unter der Angabe, dass dieser den Bildschirm wieder entsperren könne. Der vermeintliche Techniker wird das Opfer dann im Rahmen des Telefonats um die Herausgabe persönlicher Informationen bitten.

Vermehrt rufen Betrüger aber auch bei potenziellen Opfern direkt an und geben sich als fachkundige Experten oder Mitarbeiter eines Unternehmens aus, um persönliche Informationen des Opfers zu erfragen. Eine weitere Masche ist die des vermeintlich gewonnenen Gewinnspiels. Hierbei wird dem Opfer mitgeteilt, dass es bei einem Gewinnspiel gewonnen habe und seine Kontodaten für den Versand des Gewinns benötigt werden.

Ein klassischer Fall des Vishings besteht darin, dass vermeintliche Bankmitarbeiter Bankkunden angerufen haben, um Onlinebankingzugangsdaten wie PIN, TAN und Kontonummer zu erfragen, um anhand dieser Angaben betrügerische Überweisungen durchzuführen.

Auf Bankkunden werden also übers Telefon gezielt Druck ausgeübt, um diese zur Preisgabe von TANs oder anderen Authentifizierungsinstrumenten zu bewegen. Dabei ergeben sich rechtliche Probleme. Verletzen die Kunden dabei grob fahrlässig ihre Pflichten?

Hendrik Verst: Kommt es im Rahmen des Vishings zur Preisgabe von Onlinebankingdaten und damit verbunden zu betrügerischen Überweisungen, sind die in diesem Rahmen stattfindenden Verfügungen nicht vom Kunden autorisiert, so dass die Bank dann die taggleiche Wiedergutschrift schuldet.

Bei grob fahrlässigem Verhalten der Kunden hätte die Bank einen Schadensersatzanspruch nach § 675v Abs. 3 Nr. 2 BGB gegen den Bankkunden.

Es muss sich dabei um ein grob fahrlässiges Verhalten der Kunden, ein auch in subjektiver Hinsicht unentschuldbares Fehlverhalten handeln, das ein gewöhnliches Maß deutlich übersteigt. Nach dem allgemeinen zivilrechtlichen Haftungsmaßstab liegt eine grobe Fahrlässigkeit vor, wenn die verkehrserforderliche Sorgfalt in besonders schwerem Maße verletzt wird, in dem schon einfachste, ganz naheliegende Überlegungen nicht angestellt werden sowie Umstände nicht beachtet werden, die jedem hätten einleuchten müssten.

Ein solcher schwerwiegender Verstoß gegen die Sorgfaltspflichten dürfte bei einem Vishing-Betrug wohl nicht vorliegen. Selbst wenn man bei einem besonders dilettantisch durchgeführten Betrugsversuch eine grobe Fahrlässigkeit des Opfers annehmen würde, läge wohl immer noch zumindest ein Mitverschulden der Bank vor. Um auf der sicheren Seite zu sein, sollte die Bank in Verdachtsfällen jedenfalls unverzüglich kontaktiert werden.

Ein grob fahrlässiger Verstoß gegen die Kundenpflichten liegt somit nur bei besonders plumpen Vishing-Angriffen, die für jedermann leicht durchschaubar sein sollten, vor. Anderenfalls ist eine Haftung des Kunden gegenüber der Bank nicht zu befürchten.

Für Betrüger ergeben sich stetig neue Möglichkeiten. Umso wichtiger wird der Schutz der Bankkunden. Gibt es einen Schlüssel zur erfolgreichen Vishing-Prävention?

Hendrik Verst: Einen allgemein gültigen Schlüssel gibt es wohl nicht. Die erfolgreiche Prävention von Vishing setzt zunächst bei den Bankkunden selbst an.

Bei unbekannten Nummern empfiehlt es sich, zunächst die Nummer zu recherchieren, um dann ggf. zurückzurufen.

Auf Seiten des Betroffenen ist es ratsam, stets misstrauisch zu sein, wenn per Telefonat persönliche Informationen preisgegeben werden sollen. Das Gegenüber sollte zunächst stets gebeten werden, sich zu identifizieren. Wenn der Anrufer die zur Identifikation erforderlichen Informationen nicht bereitstellen kann oder will, ist er wohl stets als unseriös zu bezeichnen und das Telefonat kann getrost beendet werden. Auch ein Druckaufbau auf den Betroffenen und das Suggerieren von Dringlichkeit kann ein Anzeichen von Vishing sein.

Generell empfiehlt es sich, Telefonate, bei denen nach persönlichen Informationen gefragt wird, zunächst zu beenden, und sich bei der betreffenden Firma zu erkundigen, ob tatsächlich eine entsprechende Anfrage vorliegt und ob das Telefonat authentisch war. Im Rahmen eines Telefonats sollten sensible Informationen, wie beispielsweise Zugangsdaten, niemals preisgegeben werden. Kein seriöses Unternehmen fragt Kunden nach deren Zugangsdaten, da diese Informationen ohnehin beim Unternehmen gespeichert sein sollten.

Ein Mittel der Prävention sollte sein, dass die Banken ihre Kunden im großen Rahmen aufzuklären, dass persönliche Informationen nicht im Rahmen eines Telefonats abgefragt werden, sondern dass dies stets ein Anzeichen für die fehlende Vertrauenswürdigkeit des Telefonats ist. Nur so kann die Bevölkerung für die Betrugsmasche ausreichend sensibilisiert werden.

Es sollte im Bankenrecht generell weitgehend ausgeschlossen sein, dass zu einem Austausch sensibler Bankdaten im Rahmen eines Telefonats kommt.

Herr Verst, vielen Dank für das Gespräch!