Ilja Ruvinskij: Neue Betrugsmaschen

Ilja Ruvinskij ist Rechtsanwalt und Partner der KRAUS GHENDLER RUVINSKIJ Anwaltskanzlei in Frankfurt am Main. Mit ihm sprechen wir über Betrug im Bereich Online-Banking, Vishing sowie neuartige Betrugsmethoden.

Ilja Ruvinskij

Die Welt des Betrugs im Bereich von Online-Banking und Kreditkarten ist durchsetzt von immer neuen Begrifflichkeiten. Wie machen sich Betrüger das Online-Banking-Prinzip zu nutzen?

Ilja Ruvinskij: Denken Sie zunächst an die Selbstverständlichkeit, mit der Menschen Onlinebanking, Onlineshopping oder das kontaktlose Bezahlen via Smartphone benutzten. Und setzen Sie dann die Zahl von rund 18 Millionen Opfern von Cyberkriminalität im Jahr 2020 dieser Selbstverständlichkeit entgegen. So sehr die Sicherheitsbehörden und die Unternehmen im Bereich der Abwehr von Angriffen und Aufklärung der Benutzenden besser werden, je besser bzw. affiner werden Täter*innen. Gerade in Bezug auf Online-Banking gibt es vor allem die bekannte Methode des „Phishing-Betruges“. Dabei werden u.a. verlockende E-Mail- oder Textnachrichten mit Links zu Dateien oder Webseiten versendet, die mit Malware infiziert sind. Folge dieses Betruges sind u.a. Kontobelastungen oder Identitätsdiebstahl.  

„Vishing“, mit dem Sie sich im Rahmen von Banken und deren Sicherheitslücken auseinandersetzen, ist eine Unterart des bekannten Phishing-Betruges. „Vishing“ setzt sich zum Verständnis aus den beiden Wörtern „Voice“ und „Phishing“ zusammen. Dabei kontaktiert ein Betrüger/eine Betrügerin das vermutliche Opfer per Telefon oder Sprachnachricht, um die persönlichen Daten zu erfragen und so an Geld oder andere Leistungen zu gelangen. Insbesondere wird per automatisierten Telefonanrufen versucht, den Empfänger in die Irre zu führen und zur Herausgabe von Zugangsdaten, Passwörtern, Kreditkartendaten usw. zu bewegen. In Bezug auf Bankkonten, geht es bei „Vishing“ darum, dem Opfer zu vermitteln, dass das Konto von „unberechtigten Dritten“ ausgespäht oder manipuliert wurde und dieser nunmehr sein Geld zum Schutz von dem vermeintlich unsicheren Konto, auf ein „Sicheres“ überwiesen soll. Alternativ fragt der Anrufende nach den Anmeldedaten zum Bankkonto des Opfers, um dann für diesen das Problem, als Art Service „zu behebt“. Im Ergebnis des erfolgreichen „Vishing“ ist der finanzielle Schaden des Opfers. Beiden Arten, also dem klassischen „Phishing“ und dem neueren „Vishing“, gemein ist, dass es sich um Formen des Social Engineering handelt, bei denen die Gutgläubigkeit des Opfers ausgenutzt wird, das heißt, die Betrügenden nutzen die natürlichen menschlichen Instinkte wie Hilfsbereitschaft, Angst, Gier und Vertrauen aus.  

Um auf die Ausgangsfrage zurückzukommen: Bankkunden glauben gerade in diesem Bereich durch die 2-Faktor-Autorisierung, gut geschützt zu sein und werden so auf Grund ihres Vertrauens in die Institution Bank „leichtsinniger“.

Experten denken sich immer neue Begriffe für Betrugsmaschen aus. Warum gibt es in diesem Bereich dauernd neuartige Betrugsmethoden?

Ilja Ruvinskij: Im Bereich des Onlinebankings kommen neben dem Verlust der Zugangsdaten (PIN, TAN durch Phishing-Mails, Preisgabe von persönlichen Daten am Telefon durch Vishing) vor allem auch Angriffe auf Computersoftware der Kunden in Betracht, dort erfolgt der Angriff durch Malware, Keylogger, „Pharming“ bzw. „DNS-Spoofing“. Im Jahr 2021 lag der Anteil der Personen in Deutschland, die das Internet für Banking-Aktivitäten genutzt haben, bei 50 Prozent. Das ist Grund genug für Betrüger*innen. sich immer neue Betrugsmaschen einfallen zu lassen. Außerdem darf nicht vergessen werden, dass IT-Infrastrukturen in den letzten zwei Jahren der Pandemie auf Grund von Homeoffice und Homeschooling neue Tatgelegenheiten für Cyberkriminelle geschaffen haben. Aber lassen sie sich nicht täuschen, fern ab der Onlinewelt gibt es unterschiedliche Namen für das gleiche Ergebnis. Am Ende haben die Betroffenen einen finanziellen oder immateriellen Schaden und fühlen sich unsicher bzw. verletzbar. Es kommt also nicht auf die neuen Begrifflichkeiten an, sondern auf das Ergebnis.  

Teilweise sollen sogar bestehende, strukturelle Sicherheitslücken seitens der Banken einen Betrug begünstigen bzw. erleichtern. Von welchen Sicherheitslücken sprechen hier die Experten?

Ilja Ruvinskij: Mit der Einführung der zwei Faktor-Authentisierung im Bereich des Online-Banking war es im Jahr 2018 ruhiger geworden, aber leider nur kurzfristig. Denn auch Betrüger müssen sich zunächst erneut auf Gegebenheiten einstellen. Täter*innen haben seit 2021 einen neuen Weg gefunden, den Bankservern eine nichtautorisierte Zahlungsanweisung vorzuspielen, die allerdings von den Berechtigten nie autorisiert wurde. IT-Systeme im Bankenwesen werden der hohen Bedrohungslage, die es weltweit gibt, nicht gerecht. Bestes Beispiel ist u.a. das Secure-Coding, das bedeutet, Sicherheitssoftware so zu entwickeln, dass sie von Hackern nicht angreifbar ist. Das würde nämlich bedeuten, dass den Entwicklern die bestehenden, aber auch zukünftige Angriffsmöglichkeiten durch Dritte bekannt sind. Auch die globale Vernetzung der Banken ist ein Sicherheitsrisiko, denn auf der Welt finden unterschiedliche Sicherheitsstandards Anwendung und somit müsste eigentlich der höchste Standard Anwendung finden. Aber in unterschiedlichen Ländern der Welt arbeiten unterschiedliche Teams an der Sicherheit für eine Bank, dadurch entstehen Sicherheitslücken. Das sind, wenn man so will, dann selbst geschaffene Verhältnisse. Bei medial bekannt gewordenen Sicherheitslücken ist der Fall von Mastercard im Jahr 2019 ein anschauliches Beispiel. In diesem Fall wurden persönliche Nutzerdaten von 90.000 Betroffenen in Deutschland im Internet auf Grund eines Sicherheitsleaks der Bank zugänglich gemacht. Ein solcher Datenverlust führt bei Banken unweigerlich zum Vertrauensverlust, insoweit leidet das Image und zweifellos ist dies ein wirtschaftlicher Schaden. Dies führt oft zu weiteren Schäden, denn die Nutzerdaten können anderweitig genutzt werden. Eine besondere Folge kann das Phänomen des „Schläferbetrugs“ (sleeper fraud) sein. Ein Krimineller verwendet gültige Identitätsinformationen, die von echten Personen gestohlen wurden. Die Konten werden dann normal über Monate und Jahre unauffällig geführt. Weder der Verbraucher noch die Bank wissen, dass persönliche Informationen verwendet wurden, um ein betrügerisches Konto zu eröffnen. Später wird das zulässige Kreditlimit durch die Täter ausgenutzt, dann mit der Zahlung oder dem Kredit in Verzug zu geraten. Der Herausforderung, dass Änderungen auf einem Konto mit der Wahrscheinlichkeit in Verbindung stehen, dass betrügerische Aktivitäten im Spiel sind, sind die betroffenen Banken nicht gewachsen. Dieses Problem ist ein globales und noch medial Unbekannteres. Bekannter ist dagegen die Sicherheitslücke, die sich hinter „Log4j“ versteckt. Dahinter verbirgt sich eine verbreitete Protokollierungsbibliothek für Java-Anwendungen. Dieses Softwarebaustein ist oft tief in der Architektur von Softwareprodukten verankert. Das BSI (Bundesamt für Sicherheit in der Informationstechnik) stuft die kritische Schwachstelle auf Gelb ein, das heißt, es handelt sich um eine geschäftskritische Bedrohung. Laut BSI sei mittlerweile ein regelrechter Wettlauf zwischen Angreifern und Verteidigern entstanden. Dabei ist bekannt, dass die Erpressergruppe Conti die Sicherheitslücke für sich nutzen, indem Sie Ransomware (auch Erpressungssoftware oder Verschlüsselungstrojaner genannt) einrichten. Diese damit geschaffenen Zugänge werden dann weiterverkauft. Verbraucherinnen sind zwar noch nicht betroffen, aber der Finanzsektor ist stark gefährdet, von innen heraus angegriffenen zu werden.  

Rechtlicher Kernpunkt der Auseinandersetzung mit Banken ist im Betrugsfall fast immer die Frage einer groben Fahrlässigkeit. Wie handelt die Justiz gemäß §675u Satz 2 BGB?

Ilja Ruvinskij: Der Bankkunde hat, wie ihre Frage schon vermuten lässt, gegen die Bank dem Grunde nach einen Anspruch auf Schadensersatz, dass ergibt sich aus § 675 u Satz 2 BGB. Danach ist der Zahlungsdienstleister (z.B. Kreditinstitut) bei einem nicht autorisierten Zahlungsvorgang verpflichtet, dem Zahlungsdienstnutzenden (z.B. Kunde, Zahler) den entwendeten Zahlungsbetrag unverzüglich zu erstatten (Alt. 1) oder dessen Konto wieder auf den Stand zu bringen (Alt. 2), auf dem es sich ohne die nicht autorisierte Zahlung befunden hätte. Die Autorisierung des Zahlungsvorgangs im Sinne von § 675 j Abs. 1 Satz 1 BGB liegt dann vor, wenn der Zahlende diesem zugestimmt hat. Gerade bei „Phishing“ liegt aber regelmäßig eine solche Zustimmung des Zahlenden nicht vor. Das Risiko einer nicht autorisierten Zahlung liegt damit zumeist beim Zahlungsdienstleister. Es sei denn, die Bank kann dem Bankkunden aufgrund seines Verhaltens eine grobe Fahrlässigkeit nachweisen (§ 675v Abs. 3 Nr. 2 BGB), dann nämlich kann die Bank mit einem eigenen Schadensersatzanspruch gegen den Bankkunden aufrechnen. Das heißt für den betroffenen Verbraucher, dass er nichts bekommt, ergo auf dem entstandenen Schaden sitzen bleibt. Ob ein Fall grober Fahrlässigkeit vorliegt, sollte ein Gericht entscheiden und ist eben vom Einzelfall abhängig. Eine pauschale Beantwortung, wie die Justiz handelt, verbietet sich daher. Insoweit ist den Opfern zu empfehlen, sich schnellstmöglich rechtlichen Rat zu suchen, denn Banken werden oft versuchen, das Problem auf das Opfer abzuwälzen. Im Bereich des „Vishing“ und der Alternative, dass die betroffene Person das Geld selbstständig auf ein vermeintlich sicheres Konto überweist, wurde der Zahlungsauftrag mit den korrekten Daten selbst veranlasst. Ein Schadensersatzanspruch aus § 675 u Satz 2 BGB wird augenscheinlich nicht in Betracht kommen. Anders sieht das allerdings aus, wenn der Bankkunde durch die zweite Alternative des „Vishing“ auf Grund von Vertrauen seine Bankdaten freiwillig an eine dritte Person übermittelt und dieser das Vertrauen zu seinen Gunsten missbraucht. In diesem Fall stellt sich die Frage des Aufwendungsersatzanspruchs bzw. Wiedergutschriftsanspruch gemäß § 675 u Satz 2 BGB. Zwar spricht der Anschein zunächst gegen den Kunden, aber entscheiden werden die Beweislastgrundsätze. Die Bank trägt die Beweislast für die Autorisierung der Überweisung durch den Kunden. Allein die Verwendung der richtigen PIN und TAN schneidet dem Bankkunden rechtlich nicht die Möglichkeit ab, einen Missbrauch/Betrug geltend zu machen – der Bankkunde muss dann aber auch ausreichend Umstände vortragen, die die ernsthafte Möglichkeit einer solchen Tat nahelegen.

Was raten Sie Opfern eines Betrugsfalles, um eine erfolgreiche Erstattung der Schäden durch Onlinebetrug durchzusetzen?

Ilja Ruvinskij: Gehen Sie zur Polizei und bringen Sie den Vorfall zur Anzeige. Um Straftaten im Internet wirksam zu bekämpfen und am Ende verhindern zu können, müssen die Sicherheitsbehörden über ein klares und aktuelles Bild der Lage, der Täterstrukturen und der Tatbegehungsweisen verfügen. Nur so können die Sicherheitsbehörden auf neue Strategien der Betrüger hingewiesen werden und diesen Einhalt gebieten. Darüber hinaus ist es wichtig, dass Sie bei der Bank den Schaden melden, die Karte sperren zu lassen und wenn möglich den Pin ändern. Neben der Strafrechtlichen Komponente ist es wichtig, das sollte die Bank den Anspruch aus § 675 u S. 2 BGB nicht anerkennen, sich umgehend um einen rechtlichen Beistand zu kümmern, der ihnen hilft, diesen Anspruch gerichtlich durchzusetzen. Der Bankkunde ist nicht schutzlos. Auch wenn Banken oft zunächst versuchen, das Problem schulterzuckend abzuwälzen. Die Frage, wer den Schaden aus dem Betrug zu tragen hat, ist rechtlich geregelt.

Herr Ruvinskij, vielen Dank für das Gespräch!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.