Was tun bei Phishing? RBB-Experten-Interview mit ilex Rechtsanwälte

Bereits seit Monaten beobachtet ilex Rechtsanwälte einen sprunghaften Anstieg des erfolgreichen Abgreifens von Bankzugangsdaten im app-basierten Online Banking. Bankkunden wird unerwartet das Konto leergeräumt und ohne Tageslimit auf dem Bankkonto können schnell erhebliche Schadensbeträge auflaufen und dies nicht selten durchaus fünf- oder sechsstellig. Deshalb hat ilex Rechtsanwälte die Arbeitsgruppe Prävention Cybercrime ins Leben gerufen, deren Aufgabe es ist, Haftungsfragen für den Bankkunden zu klären, Ermittlungsakten einzusehen und Tatmuster wissenschaftlich auszuwerten. Im Rahmen einer Reportage von SUPER.MARKT, dem Verbrauchermagazin des rbb, welches über diesen Fall berichtete, wurde Dr. Ulrich Schulte am Hülse von ilex Rechtsanwälte als Cybercrime-Experte interviewt. Auf anwalt.de sehen Sie das Interview in der ungekürzten und vollen Länge, denn wir durften bei dem Dreh mit einer eigenen Kamera mitfilmen.

Wie läuft die Tathandlung gegenwärtig ab?

Der Fall, von dem der rbb berichtet hatte, lässt sich in folgendem Satz zusammenfassen: Eine klug gestaltete Mail, ein verhängnisvoller Download und schon waren 4.000 Euro weg. So erging es einem gemeinnützigen Verein. Ein Vorstandsmitglied hatte eine täuschend echte Phishing-Mail erhalten, die vorgab, von der Bank zu sein. In der Mail wurde er aufgefordert – auf Grund von Sicherheitslücken – die Sicherungs-App der Volksbank zu aktualisieren, die sich als manipulierte App herausstellte. Erst im Nachhinein bemerkt er den Betrug, das Geld war abverfügt.

Wer haftet beim Online Banking?

Für nichtautorisierte Zahlungsweisungen haftet grundsätzlich die angewiesene Bank; d. h. der Zahlungsdienstleister des Bankkunden. Voraussetzungen ist, dass die Zahlungsanweisung von einem Dritten (dem Straftäter) autorisiert wurde. Das wäre bei einem Hacking-Angriff auf das Online Banking der Fall, bei dem die Täter das Online Banking übernehmen und selbst Zahlungsanweisung an Dritte anweisen.

Welche Bankkunden sind besonders betroffen?

Von der aktuellen Hacking-Welle besonders betroffen sind Bankkunden, die ein App-basiertes Online Banking nutzen. Ein App-basiertes Online Banking wird von fast allen Banken inzwischen angeboten. Es trägt beispielsweise bei den Sparkassen den Namen S-pushTAN, bei den Volksbanken und Raiffeisenbanken trägt es den Namen VR SecureGo plus bzw. Secure2Go und bei der Postbank BestSign. Darüber hinaus sind im Markt die Dienste von Apple Pay, Paypal, Venmo, Amazon oder Coinbase bekannt.

Zahlungsdienste dieser Art sind übereinstimmend davon geprägt, dass man Online Banking grundsätzlich auf dem Smartphone oder dem Tablet-PC betreiben kann. Auch junge Zahlungsdienstleister bieten Zahlungsabwicklungen per Smartphone oder dem Tablet an, weil der Kunde sein Smartphone meist mit sich führt und man dem Bankkunden so die Möglichkeit offerieren möchte, überall und jederzeit Zahlungsabwicklungen durchführen zu können. Zahlungsdienstleister sehen in dem Umstand der Mobilität und der jederzeitigen Verfügbarkeit des Gerätes eine hohe Nutzeraffinität, so dass es kaum einen Zahlungsdienstleister gibt, der sich dem Angebot eines App-basierten Online Banking entziehen kann.

Welche Besonderheiten weist das App-basierte Online Banking auf?

Das S-pushTAN-, das VR SecureGo plus oder das BestSign-Banking ist übereinstimmend von der Besonderheit geprägt, dass sich bei einer Nutzung des Smartphones oder des Tablett-PC als Hardware, sowohl die Online Banking App, als auch die zur Authentifizierung von Zahlungsvorgängen notwendige TAN-App meist auf dem gleichen Gerät befinden. Deshalb spricht man von einem sogenannten Ein-Wege-TAN-Verfahren. Im Unterschied dazu ist das Zwei-Wege-TAN-Verfahren davon geprägt, dass auch auf der Hardware-Ebene zwingend zwei getrennte Wege zur Autorisierung einer Zahlungsanweisung zur Verfügung stehen. Diese Trennung ist beim app-basierten TAN-Verfahren aufgehoben, da die Banking-App und die TAN-App prinzipiell auf dem gleichen Gerät ausgeführt werden können und die „Mobilität“, wonach man Zahlungsvorgänge überall durchführen kann, auch aus diesem Grund beworben wird.

Wie hebeln Kriminelle die Zwei-Faktor-Authentifizierung (2FA) aus?

Kriminelle versuchen entweder mit Hilfe von Bots die Zwei-Faktor-Authentifizierung (2FA) von Diensten wie Apple Pay, Paypal, Venmo, Amazon, Coinbase und vieler Banken auszuhebeln. Dem Onlinemagazin Motherboard präsentierte ein Krimineller eine entsprechende Software. Demnach werden die Bots immer beliebter, um an Konten zu gelangen, die mit einem zweiten Faktor geschützt sind.

Doch bei der aktuellen Hacking-Welle hat ilex Rechtsanwälte Banksysteme ausgewertet, die nicht einmal über die für den Login vorgeschriebenen starken Kundenauthentifizierung verfügten, die schon seit 2018 vorgeschrieben ist. Maßgeblich sind hier die Vorgaben und Normen des Zahlungsdiensteaufsichtsgesetzes (kurz ZAG). Das erleichtert die Haftungsfreistellung des Bankkunden nach aktueller Rechtslage erheblich.

Wo findet man das Experteninterview mit dem rbb?

Die SUPER.MARKT Reportage zu diesem Fall war unter dem Titel «Phishing: täuschend echt» bis zum 07.02.2023 in der ARD Mediathek verfügbar. In voller und ungeschnittener Länge finden Sie Interview oben bei anwalt.de.