Mit Ankunft des neuen Jahrtausends kam auch der Trend der Digitalsierung auf. Die Globalisierung 2.0, wie sie auch genannt wird, sollte auch das bis dahin altmodische Bank- und Finanzdienstleistungssystem aufwerten und für den Verbraucher vereinfachen.
Das Online-Banking (wahlweise auch Electronic-Banking, E-Banking, Home Banking oder das elektronische Bankgeschäft) ist die Umsetzung dieser Grundidee und bezeichnet die Tätigung von Bankgeschäften via Datenleitungen. Dafür werden Computer, Laptops oder aktuell Smartphones genutzt.
Laut einer 2013 durchgeführten Studie des Bundesverbands deutscher Banken verwenden fast jeder 2. Bürger/in in Deutschland diese Mittel, um seine/ihre Bankgeschäfte zu erledigen.
Doch wie alle Neuerungen handelt es sich beim Online-Banking um ein zweischneidiges Schwert. Einerseits steht die Vereinfachung der Geschäfte, zum Anderen lädt es vielerorts Kriminelle dazu ein, sich an den Transaktionen gutgläubiger Nutzer zu beteiligen und sich daran zu bereichern.
Obwohl sämtliche Bankhäuser seit Einführung des Online-Bankings Sicherungsmaßnahmen zum Schutz der Kunden zur Verfügung stellen und versuchen, rechtzeitige Aufklärung vor den neuesten Betrugsmaschen zu betreiben, scheinen die Betrüger immer bereits einen Schritt voraus zu sein. Jedoch verwendet dieser Personenkreis die immer gleichen Grundideen, um ihre infamen Pläne in die Tat umzusetzen, zum größten Teil die Strategien des sogenannten „Phishing“ und dem daraus entstandenen „Pharming“.
1. Was ist Phishing?
Unter Phishing (angelehnt an das englische Wort „fishing“ – das Angeln) versteht man den Versuch eines Betrügers, an die persönlichen Daten von Personen zu gelangen, um so einen Identitätsdiebstahl vorzunehmen und beispielsweise eine Kontoplünderung bei den Betroffenen zu ermöglichen. Die Arglistigkeit dabei gründet sich auf die Art und Weise der Durchführung – es wird die Gutgläubigkeit des Verbrauchers ausgenutzt.
In der Regel lässt sich Phishing als solches nur schwer erkennen, auch wenn die Banken oft davor warnen, dabei setzen die Täter grundsätzlich auf die selbe Vorgehensweise.
Wie erkennen Sie „Phishing“?
Beim Phishing tritt der Betrüger in Kontakt mit seinem Opfer. Oft sind Sie, der Verbraucher, kein direktes Ziel, sondern eines von vielen, die gleichzeitig angegriffen werden. In der Regel erhalten Sie die E-Mail eines Bankinstituts, im schlimmsten Fall sogar von dem Ihren.
Diese E-Mail, die meistens gleich in Massen von den Betrügern versandt werden, um möglichst viele Personen auszuspionieren, sieht einer E-Mail von Ihrem Bankhaus zum Verwechseln ähnlich. Es werden das offizielle Logo, das korrekte Seitenlayout und oftmals sogar die gleiche Schriftart wie in den üblichen Benachrichtigungen durch Ihre Bank verwendet.
Diese E-Mails erwecken den Anschein, einen wichtigen Inhalt zu enthalten, indem man Ihnen suggeriert, es handele sich um dringende Angelegenheiten. Z. Bsp.:
– „Wichtige Sicherheitsüberprüfung“
– „Bestätigung der persönlichen Daten erforderlich“
– „Re-Aktivierung Ihres Kontos“
– „Bitte verifizieren Sie Ihre Kreditkartendaten“
– „Sie haben einen hohen Geldbetrag auf Ihrem Konto, überprüfen Sie Ihre Transaktion“
– „Ihre Kontoangaben müssen erneuert werden“
– „Ihr Konto wurde gesperrt“
In der Nachricht wird Ihnen ein plausibel klingender Grund genannt, weshalb Sie dringend ihre persönlichen Daten mitteilen müssen, da Ihnen ansonsten eine Sperrung droht oder wichtige Abwicklungen angeblich nicht getätigt werden können.
Dabei müssen Sie wissen, dass Banken darauf verzichten, persönliche Daten über den E-Mail-Verkehr zu übersenden.
Denn inzwischen gibt es noch viel weiter entwickelte Ausspähverfahren, bei denen Internetbetrüger Ihr Endgerät mit sogenannter Malware infizieren und die Datenübertragung zwischen Ihnen und der Bank abfangen, d.h.:
a. Die Daten würden niemals zu Ihrer Bank gelangen
b. Die Daten würden in die Hände Dritter gelangen
Die betrügerische E-Mail, die Sie erhalten, fordert Sie im Fließtext dazu auf, die angebliche Seite Ihrer Bank aufzusuchen und bietet Ihnen freundlicherweise gleich einen Link dazu an.
Dieser führt Sie anschließend auf eine Internetseite, die der Internetpräsenz einer Bank zum Täuschen ähnlich sieht.
Dort werden Sie nun aufgefordert, verschiedenste Daten einzugeben.
Die Betrüger verlangen mit dieser Masche häufig:
– IBAN & BIC, Kontonummern, Bankleitzahlen
– PIN-Codes
– Geburtsdatum & Geburtsort
– Adressen
– TAN-Nummern
Statt diese Daten allerdings der Bank mitzuteilen, geben Sie diese direkt an den Betrüger weiter. Der wiederum reibt sich sprichwörtlich die Hände, denn nun hat er Zugriff auf Ihr Konto und kann sich an Ihren Einkünften zu schaffen machen. Der Betrug ist gelungen.
2. Was ist „Pharming“?
Unter „Pharming“ (abgeleitet aus dem Englischen „Farm“, da sich die Betrüger hinter sogenannten Server-Farmen verbergen) versteht sich, ähnlich wie beim Pharming, das Ausspähen von privaten Daten, um mit diesen in das Konto des Betroffenen einzudringen.
Anders als beim Phishing wendet der Täter sich nicht per E-Mail oder durch eine andere Benachrichtigung beim Kontoinhaber. In der Regel ermöglicht der Kunde selbst das Pharming, indem er sein zum Banking genutztes Endgerät mit einer Malware wie einem Virus oder einem trojanischen Pferd infiziert.
Hat sich eine solche Pharming-Malware auf der Festplatte eingenistet, so nimmt sie Veränderungen an dem sogenannten DNS-Server vor, dieser steuert die ausgehende Verbindung eines Computers auf eine Internetseite, indem er die IP-Adresse der angerufenen Seite konfiguriert und zugänglich macht. Ist der DNS-Server manipuliert worden und Sie suchen die Homepage ihrer Bank auf, so leitet die Infektion Sie auf eine Fremdadresse um, die dem Original zum Verwechseln ähnlich sieht.
Der Unterschied zum Phishing ist also, dass sie keinen Köder ausgelegt bekommen, sondern Ihre Bankdaten auf der gefälschten Homepage des Instituts eingeben und somit direkt in die Datenbank des Betrügers einspeisen.
Wie erkennen Sie Pharming?
Zu erkennen gibt sich das „Pharming“ kaum. Die gefälschte Internetseite des Kreditinstituts verlangt von Ihnen, so wie ihr Vorbild, dass sie sich wie gewohnt einloggen. Damit geben Sie bereits wichtige Daten preis, die den Hackern Zugang zu Ihrem Online-Banking-Konto gibt. Haben Sie diesen Schritt ausgeführt, leitet Sie die Seite erneut weiter – auf eine weitere, schädliche Fälschung. Ab diesem Punkt variiert die Ausführung stark, so können Sie beispielsweise dazu aufgefordert werden, sämtlichen Ihrer TAN-Nummern einzugeben, sodass sich der Datensatz für Ihr Konto auf Seiten der Betrüger komplettiert: Nun hat er nicht nur Zugriff auf Ihr Konto durch Eingabe der Log-In-Daten, sondern kann anhand der TAN-Nummern Überweisungen veranlassen und eine Kontoplünderung vornehmen.
Wie ist die rechtliche Lage?
Falls das Konto eines Bankkunden durch eine Überweisung belastet wird, die der Kunde nicht eigenständig veranlasst hat, liegt ein nicht autorisierter Zahlungsvorgang vor. Die Bank ist somit gemäß § 675 u BGB verpflichtet, den belasteten Betrag an den Kunden zu erstatten.
Es gibt jedoch auch den Fall, dass diese Verpflichtung erlischt. Der Kontoinhaber hat kein Anrecht auf die Erstattung eines solchen Zahlungsbetrages, wenn dieser den Schaden vorsätzlich oder grob fahrlässig herbeigeführt hat, so bestimmt es der § 675 v BGB.
Eine nach in dem Gesetz definierte, grobe Fahrlässigkeit besteht dann, wenn die erforderliche Sorgfalt in besonders schwerem Maß nicht berücksichtigt wurde.
Der Großteil der Opfer sind Laien, wodurch sich die grobe Fahrlässigkeit dadurch revidiert, dass Ihnen diese gar bewusst ist. Geben Sie beispielsweise Ihre TAN-Nummern, unabhängig vom gewählten Verfahren, weiter, verhalten Sie sich fahrlässig, allerdings nicht grob. In der Regel sind die gefälschten Internetseiten täuschend echt gestaltet.
Jeder Fall von Pharming oder Phishing muss dennoch einzeln und unter Einbeziehung sämtlicher Umstände geprüft werden.
Sind auch Sie Opfer eines solchen Betruges geworden?
Dann empfehlen wir Ihnen eine fachkundige fachanwaltliche Unterstützung.
Gern beraten wir Sie bei der Prüfung Ihrer Ansprüche.