Hackerangriff 2024: Bankkonten von Kunden der Sparkasse und der Deutschen Kreditbank AG (DKB AG) geplündert

Bei ilex Rechtsanwälte häufen sich seit mehr als drei Jahren Anfragen von Bankkunden, die über Fälle des erfolgreichen Abgreifens von Bankzugangsdaten im Online-Banking berichten, die auf einen IT-Hackerangriff mit gleichgelagertem Muster hindeuten. Das Ausmaß ist noch unklar. Betroffen sind Kunden der Sparkassen Finanzgruppe oder solche Bankkunden, die an das Online Banking System der Deutschen Kreditbank AG angebunden sind. Beide Banken bieten ein app-basiertes Online-Banking-System an, dass von dem gleichen Software/IT-Dienstleister entwickelt wurde. Offenbar stellt die mit der EU-Zahlungsdiensterichtlinie (PSD2) für den Europäischen Wirtschaftsraum 2018 verpflichtend eingeführte Zwei-Faktor-Autorisierung (2FA) kein technisches Hemmnis für die teilweise unbekannten Straftäter dar, die in einer Kombination aus sozialer Manipulation mit Hilfe gefälschter Webseiten sowohl den Bankkunden hereingelegt haben, als auch gezielt Sicherheitsschwächen des konkreten Online-Banking-Systems ausgenutzt haben könnten. ilex Rechtsanwälte bildete deshalb die Task Force "Prävention Cypercrime" und hat die Fälle nach der Auswertung einer Vielzahl von Ermittlungsakten bereits auf gleichgelagerte Muster abgeklopft.

Was ist den Tätern gelungen?

Mit der europaweit verpflichtenden Einführung der zwei Faktor-Autorisierung (2FA) im Bereich des Online-Bankings durch die EU-Zahlungsdiensterichtlinie (Payment Services Directive2, kurz PSD2) im Jahre 2018 ist es zunächst ruhiger geworden, um die altbekannte Thematik des Abgreifens von Bankzugangsdaten im Online Banking und dem damit einhergehenden Abräumen von Konten durch fremde Straftäter, die dem Server der Bank eine nichtautorisierte Zahlungsanweisung des Bankkunden vorspiegeln, nachdem sie zuvor erfolgreich Autorisierungsdaten abgegriffen haben.

Tatsächlich hat die Umsetzung der PSD2 die Sicherheit im Zahlungsverkehr zunächst erhöht. Es dauerte eine Weile bis hochkriminelle Täter ihre Hackerangriffe auf die erhöhten Sicherheitsanforderungen umgestellt haben. Doch tot geglaubte stehen offenbar früher wieder auf, als gedacht. Inzwischen scheinen die Täter einen Weg gefunden zu haben, wie man selbst die zwei Faktor-Autorisierung (2FA) aushebelt.

Es beginnt mit einer Vorfeldaufklärung des Bankkunden

Bereits seit gut einem Jahr, beginnend  2021, erreichen uns vermehrt Fälle von Hackerangriffen, bei denen Täter den Bankservern eine nichtautorisierte Zahlungsanweisung vorgespielt haben, die von dem Bankkunden nicht autorisiert worden ist. Dabei stellt sich die Frage, wie die Täter an die Autorisierungsdaten gekommen sind? Die Tathandlung beginnt meist im Vorfeld mit einer professionellen Abklärung der Zielperson/des Bankkunden; etwa durch eine gezielte Vorfeldaufklärung im Internet und in den Sozialen Medien.

Dies ermöglicht es den Tätern, die Zielperson sehr konkret anzusprechen. Wissen die Täter beispielsweise auf welchem Mail-Kanal und in welchem Postfach und in welchem Layout der Bankkunde üblicherweise Nachrichten von seiner Bank empfängt, könnten Sie eine bankseitige Nachricht besser fälschen (Phishing-Mail). Außerdem können sie den Bankkunden gezielt in der Weise ansprechen, wie dies üblicherweise auch die echte Bank tut.

Die neue Form: Spear-Phishing

Erst danach folgt die Phishing-Nachricht, die derzeit vermehrt auf Bankkunden abzielt, deren Hausbank eine Bank ist, die das Kernbankensystem des Sparkassenverbundes nutzen (Sparkassen, Deutsche Kreditbank AG, BW-Bank). Inzwischen existiert auch eine neuere Version der altbekannten Phishing-Mails, das sogenannte Spear-Phishing. Gemeint ist damit ein deutlich verfeinertes Phishing mit einem gezielten persönlichen Ansatz („spear“ steht für Sperr). Das funktioniert aber oft nur dann, wenn die Täter im Vorfeld eine gezielte „Social Engineering-Operationen“ tätigten, d. h. eine professionelle Vorfeldaufklärung der Zielperson/des Bankkunden durch Auswertung des Internets und der Sozialen Medien, so dass man den geschädigten Bankkunden gezielt ansprechen und sein Verhalten manipulieren kann, ohne das er dies bemerkt.

In den aktuellen Fällen wird der Kunden insbesondere namentlich angesprochen. Man nimmt Bezug auf ein aktuelles Ereignis (etwa die Corona-Pandemie), um den Vorgang glaubwürdig zu machen. Die übrige Phishing-Masche ist hinreichend bekannt: Um den Kunden vor potenziellen Schäden zu schützen, sei ein Datenabgleich über die beigefügte Schaltfläche nötig. Klickt der Bankkunde diese Mail an, landet er auf einer täuschend echt nachgeahmten Webseite seiner Hausbank.

Leeren des Kontos in Echtzeit

Sobald der Bankkunde die täuschend echt nachgeahmte Webseite angeklickt hat und sich auf der Online-Banking Webseite seiner Bank wähnt, werden von ihm Zugangsdaten- und Autorisierungsdaten abgefragt. Inzwischen reicht es dazu völlig aus, dass der Bankkunde ein oder maximal zwei Autorisierungsdaten für eine Transaktion eingibt. Während der Bankkunde glaubt, er würde diese Autorisierungsdaten für eine Sicherheitsprüfung eingeben, wird das Autorisierungsdatum für eine völlig andere Transaktion genutzt, die unbemerkt vom Bankkunden im Hintergrund läuft. Dies kann beispielsweise die nicht vom Bankkunden autorisierte Überweisung auf ein fremdes Bankkonto sein, die unbemerkt in Echtzeit im Hintergrund läuft.

Manchmal sind aber auch Zwischenschritte erforderlich. Beispielsweise kann das Autorisierungsdatum auch in einem Zwischenschritt für einen vom Bankkunden ebenfalls nicht autorisierten Wechsel des Online-Banking-Verfahrens genutzt werden, wenn eine Bank mehrere Online-Banking-Verfahren anbietet und eines davon sicherheitsanfälliger ist, als das vom Bankkunden festgelegte. Dann erfolgt die nichtautorisierte Verfügung erst nach Absolvierung dieser Zwischenschritte.

Wie ist den Tätern die Anonymisierung des Zahlungsflusses gelungen?

In den aktuellen Fällen ist dies tatsächlich unterschiedlich.

In einem Fall scheint es sich so zugetragen zu haben, dass die Täter die nichtautorisierten Überweisungen dazu genutzt haben, um damit von Ihnen ausgelöste Warenbestellungen bei dem Internetversandhändler Cyberport zu bezahlen. Cyberport ist ein deutsches E-Commerce-Unternehmen mit Sitz in Dresden. Es wurde 1998 gegründet, startete als Onlineshop für Apple-Computer und entwickelte sich zu einem der größten Einzelhändler von Consumer Electronics in Deutschland. Über die Warenzustellung, die auch an eine DHL-Packstation erfolgen kann, verliert sich dann oftmals die Spur der Täter.

In einer anderen Variante wurde ein sog. Finanzagent dazwischen geschaltet, der das Geld dann von seinem Konto in bar abhebt und per Western Union oder per MoneyGram meist ins Ausland zu den Tätern bugsiert, deren Spur sich dann verliert.

Wie ist die Rechtslage für geschädigte Bankkunden?

Grundsätzlich haftet für eine nichtautorisierte Zahlungsanweisung die anweisende Bank (§ 675u BGB) und nicht der Bankkunde, es sei denn, die Bank kann dem Bankkunden aufgrund seines Verhaltens eine grober Fahrlässigkeit nachweisen (§ 675v Abs. 3 Nr. 2 BGB). Dann kann die Bank mit einem eigenen Schadensersatzanspruch gegen den Bankkunden aufrechnen.

Liegt jedoch ein Fall der groben Fahrlässigkeit vor, worüber im Zweifel ein Gericht entscheiden muss, ist es ratsam, so früh wie möglich die Haftpflichtversicherung des Bankkunden zu involvieren, die dann ggf. für den Schaden aufzukommen hat. Die Tücke steckt allerdings im Detail. Insbesondere stellen Banken die Haftungsfrage eher streitig und bei der gerichtlichen Klärung bedarf es auf Bankkundenseite eines detaillierten Vortrages zum konkreten Sachverhalt. Auch die Klärung gegenüber der Haftpflichtversicherung ist alles andere als einfach. Oft wird die Deckung mit dem Argument abgelehnt, es liege angeblich nur ein Eigenschaden vor. Dies beruht jedoch auf einer falschen rechtlichen Einschätzung. Dabei empfiehlt es sich, die Haftpflichtversicherung direkt in die gerichtliche Klärung mit der Bank einzubeziehen und sie in Form der Streitverkündung an dem Rechtsstreit zu beteiligen.

Ferner empfiehlt es sich häufig, die strafrechtliche Ermittlungsakte auszuwerten. ilex Rechtsanwälte empfiehlt geschädigten Bankkunden sich so früh wie möglich nach dem Schadenseintritt einer fachanwaltlichen Hilfe zu bedienen.

Was hat es mit der Arbeitsgruppe „Prävention Cybercrime 2021“ auf sich?

ilex Rechtsanwälte vertritt bereits seit vielen Jahren geschädigten Bankkunden im Bereich Cybercrime und hat deshalb für die aktuellen Hackerangriffe im Interesse der Geschädigten eine kanzleieigene Arbeitsgruppe unter dem Arbeitsnamen „Prävention Cybercrime 2021“ gegründet. Ziel ist es, durch Auswertung der strafrechtlichen Ermittlungsakten, die aus unterschiedlichen Bundesländer stammen, im Interesse der Geschädigten genauer abzugleichen, ob den verschiedenen Fällen ein einheitliches Tatmuster zugrunde liegt, was ggf. auf die gleichen Täter schließen lässt.

Auch soll anhand von Fragebögen/Checklisten und der Zusammenführung der Ergebnisse durch Befragung näher aufgeklärt werden, wie die Täter konkret die technischen Sicherheitshürden des Online-Bankings im Detail überwinden konnten, um Informationen darüber zu gewinnen, welche Sicherheitslücken existieren und wie diese zu schließen sind bzw. um sachgerechte Verhaltensempfehlungen für die geschädigten Bankkunden zu entwickeln.