Phishing: Welche Rechte haben Opfer?

Verbraucheranwalt · . Anmeldungsdatum: 22.06.2004 Beiträge: 221 Wohnort: Berlin

Kontoauszüge sind oft unerfreulich. Aber manchmal führt die Lektüre auch zum Schock: Ohne jeden Auftrag sind Beträge an völlig unbekannte Empfänger überwiesen worden. Hinter den angemaßten Transaktionen stecken versierte Täter, die sich die technischen Unzulänglichkeiten des Internet zu Nutze machen. Ist Onlinebanking wirklich sicher? Die Banken behaupten dies beharrlich. Die jüngeren Entwicklungen geben aber zu der Vermutung Anlass, dass die Banktransfers am privaten Rechner ganz erhebliche Sicherheitsrisiken mit sich bringen. Denn in zunehmendem Maße gelingt es Tätern, vertrauliche Kontodaten wie Zugangspasswörter, Geheimnummer (PINs) und Transaktionsnummern (TANs) herauszufinden und sie zu ihren Gunsten zu nutzen.

Dies geschieht zum einen im Wege so genannter „Phishing-Mails“. Dies sind gefälschte E-Mails, die dem Empfänger vorspiegeln, sie seien von seiner Hausbank versendet worden. In ihnen werden die Bankkunden aufgefordert, vertrauliche Kontodaten preiszugeben. Wer der Anweisung folgt, macht sich zum klassischen Betrugsopfer: Mit den Daten nehmen die Täter eigene Transaktionen auf dem Konto des Verbrauchers vor. Die Beträge werden an Drittkonten im Ausland überwiesen und dort vereinnahmt. In der Vergangenheit sind zahlreiche Verbraucher auf die an sich plumpe Masche hereingefallen. In jüngerer Zeit häufen sich Fälle, die durch eine wesentlich subtilere und perfidere Vorgehensweise der Betrüger gekennzeichnet sind. Der Kontodatenklau erfolgt im Wege so genannter Trojaner-Mails, die den Bankkunden nicht zu einer wissentlichen Preisgabe seiner Daten veranlassen. Vielmehr werden E-Mail-Anhänge mit Virenprogrammen gespickt, die sämtliche vertraulichen Daten wie Passwörter und Geheimnummern erkennen. Selbst ohne Öffnung eines derartigen Anhangs nisten sich die Viren unbemerkt auf der Festplatte des Rechners ein und torpedieren die nächste elektronische Transaktion des Users: Sobald er die persönlichen Angaben eingetragen und das Überweisungsformular ausgefüllt hat, fragt ihn der Bankserver nach einer gültigen TAN. Ist diese eingegeben und per Mausklick bestätigt, fängt das Virus die TAN ab und macht sie sich für eine eigene, von den Tätern bereits programmierte Überweisung zu Nutze. Der User bemerkt zunächst nicht, dass er in Wahrheit eine völlig andere Transaktion, als die eigentlich von ihm eingegebene veranlasst hat. In der Regel werden die Fehlanweisungen erst bei späterer Lektüre des Kontoauszugs bemerkt. Im Normalfall veranlassen die Betrüger Überweisungen von maximal etwa 1.000 bis 2.000 Euro, um den Deckungsrahmen eines durchschnittlichen Verbraucherkontos nicht zu sprengen oder das Misstrauen der Bank zu wecken. Es gehört zu den Vorgehensweisen der Täter, die Geldflüsse zu verschleiern, noch bevor die Ermittlungsbehörden ihre Tätigkeit aufgenommen haben. In der Regel werden so genannte Finanzagenten angeworben, die gegen eine Beteiligung die Empfängerkonten zügig kündigen und die Beträge ins Ausland transferieren. Bevorzugt werden Unternehmen wie Western Union eingeschaltet; weder Absender noch Empfänger benötigen einen festen Wohnsitz oder ein Girokonto.
Welche Rechte haben die Opfer? Allgemein gilt: Wer durch nicht veranlasste Transaktionen um seine Gutschriften gebracht wird, hat einen Anspruch auf Rückerstattung der abgebuchten Beträge gegen die Bank, wenn und soweit er den Schaden nicht durch eigene Fahrlässigkeit verursacht hat. Im Bereich des Onlinebanking verwenden die meisten Banken standardisierte AGB; die allgemein übliche Klausel enthält zum Pflichtenkatalog des Nutzers nur vage Aussagen: Er muss dafür Sorge tragen, dass keine andere Person Kenntnis der ihm übersandten PIN oder der verwendeten TAN erlangt. Insbesondere dürfen PINs und TANs nicht elektronisch gespeichert oder in anderer Form notiert werden, die TAN-Liste ist sicher zu verwahren und bei Eingabe von PIN und TAN ist sicherzustellen, dass diese nicht durch Dritte ausgespäht werden können. Was bedeutet das konkret für Phishing- und Trojaner-Mails? Bislang sind nur strafrechtliche Entscheidungen der Gerichte ergangen. So hat das LG Darmstadt mit Urteil vom 11. Januar 2006 (212 Ls 360 Js 33848/05) das Phishing mit anschließendem Auslandstransfer als gewerbsmäßige Geldwäsche nach § 261 IV StGB angesehen. Regelmäßig machen sich die Täter auch des Computerbetruges (§263a StGB) und des Ausspähens von Daten (§ 202a StGB) strafbar. In zivilrechtlicher Hinsicht kommt es für eine Erstattungspflicht der Bank letztlich auf Art und Umstände der Täuschung an. Je schwieriger die Fälschung der Fishing Mail zu entdecken war, desto weniger wird dem Kunden eine Sorgfaltspflichtverletzung vorgeworfen werden können. Dies gilt insbesondere im Falle einer Trojaner-Mail, die praktisch nicht als solche erkannt werden kann. Die Banken haben auf die neue Bedrohung bislang nicht durch Änderung ihrer AGB reagiert, sondern nur Empfehlungen abgegeben, wie derartige Attacken zu vermeiden sind. Hierzu gehört, Dateianhänge von unbekannten E-Mails nicht zu öffnen, das Betriebssystem regelmäßig durch Updates zu aktualisieren und die Festplatte mit einer Firewall auszustatten. Eine Nichtbeachtung dieser Empfehlungen wird aber nicht ohne weiteres eine Sorgfaltspflichtverletzung des Kunden darstellen. Vielmehr müssten die Banken bestimmte Vorkehrungen vertraglich vorgeschreiben. Ob damit zukünftig zu rechnen ist, bleibt abzuwarten. Jedenfalls dürften zu hohe Anforderungen an die Computersicherheit oder eine grundsätzliche Abwälzung des Kriminalitätsrisikos unangemessene Benachteiligungen des Bankkunden darstellen. Einige Banken haben zwischenzeitlich durch Einführung des indizierten TAN-Verfahrens reagiert. Bei diesem Verfahren wird der Bankkunde aufgefordert, eine nach dem Zufallsprinzip ausgewählte, unverbrauchte TAN aus seiner Liste einzugeben. Diese TAN-Nummer ist dann an den Überweisungsvorgang gebunden und kann nur in diesem Zusammenhang verwendet werden. Wird die angeforderte TAN für einen anderen Vorgang verwendet – etwa weil der Kunde die Transaktionsdaten korrigiert hat – so wird sie durch den Server der Bank automatisch entwertet. Dieses Verfahren soll sicherstellen, dass die TAN nicht durch Trojaner-Mails für betrügerische Zwecke verwendet werden kann. Teil des neuen, indizierten TAN-Verfahrens ist es auch, dass die TAN-Anfrage eine Gültigkeit von nur sieben Minuten hat. Wenn der Kunde innerhalb dieses Zeitraumes die Anfrage nicht beantwortet, wird die angeforderte Nummer automatisch verbraucht. Allerdings wird durch diese Maßnahmen lediglich ein Sicherheitsvorsprung im Internet geschaffen.
Vorläufiges Fazit: Erste zivilgerichtliche Urteile zum manipulierten Onlinebanking stehen noch aus. Nach unserer Einschätzung darf sich die Bank im Falle einer durch eine Phishing- oder Trojaner-Mail veranlassten Fehlüberweisung dem Rückerstattungsanspruch des Kunden nicht ohne weiteres entgegenstellen, sondern muss plausibel darlegen, worin die Sorgfaltspflichtverletzung des Nutzers bestanden haben soll. Außerdem ist es höchstwahrscheinlich nur eine Frage der Zeit, bis sich die professionellen Passwortdiebe auch auf das indizierte TAN-Verfahren eingestellt haben.
_________________
RAe Dr. Thomas Schulte & Kollegen
Kurfürstendamm 42

10719 Berlin (Charlottenburg)

E-Mail: Dr.Schulte@dr-schulte.de
Webseite: http://www.dr-schulte.de

Struckischreck · * Consulter * Anmeldungsdatum: 27.04.2005 Beiträge: 1975 Wohnort: Bayern

@Verbraucheranwalt,

vielen Dank für die ausführliche Info.

Nur mal so 'nen Tipp nebenbei: Wenn Sie den Text mit Absätzen mehr strukturieren würden, dann könnte man ihn wesentlich leichter lesen.

Struckischreck

ger1294 · Newbie Anmeldungsdatum: 19.01.2006 Beiträge: 9 Wohnort: Gilching, Bayern

Hallo,

immer wieder werden technische Unzuöänglichkeiten genannt. Ich kann dem nicht zustimmern. Wir nutzen sowohl privat als auch in der Firma seit 6 Jahren Onlinebanking, ohne dass es je zu einer Unstimmigkeit gekommen wäre.

Das Problem ist eigentlich nicht fehlende Sicherheit, sondern die BLÖDHEIT der Leute. Wer auf Phishing-Mails reinfällt, welche oft schon ganz simple, erkennbare Fehler aufweisen, ist eigentlich selbst schuld.
Genauso, wenn man seine PIN für die EC Karte auf einen Zettel schreibt oder gar auf die Karte und einem dann die Brieftasche geklaut wird.

Wenn sich die Nutzer die Unterlagen Ihrer Bank besser verinnerlichen würden und sich an die dort gemachten Vorgaben halten würden, dann gäbe es auch nicht so viele Probleme und Mißbrauchsfälle. Dazu gehört, dass man nur die offiziell und schriftlich mitgeteilten Zugänge (z.B. www.postbank.de bei der Postbank) verwendet und nicht irgendetwas anderes, was einem zurch zweifelhafte Mails mitgeteilt wird.

Wenn ich einen 500 Euro Schein auf die Parkbank lege, kann ich mich hinterher schließlich auch nicht beschweren, dass er nicht mehr da ist. Kriminalität ist in unserer Gesellschaft nun einmal da und unser Staat, der von Industrielobbyisten gelenkt wird, wird dazu noch beitragen, dass diese Kriminalität immer mehr wird, denn je weiter die Schere aufgeht, desto mehr Menschen sehen oft keine andere Wahl mehr, um überhaupt überleben zu können.

Aber Schrottunternehmen wie T-Com, Deutsche Bank, Allianz, Siemens, die Tausende Arbeitsplätze ohne Not (bei Milliardengewinnen) VERNICHTEN, werden in unserem schönen Land ja auch noch gefeiert !!!

Rickenbacker · Newbie Anmeldungsdatum: 02.03.2006 Beiträge: 11

@ger1294

100% Zustimmung!!!

rolfleonhard · Specialist Anmeldungsdatum: 05.11.2005 Beiträge: 104 Wohnort: im "Ländle"

das ist zwar alles längst bekannt und schon zigmal in rundfunk-, fernsehen und presse durchgekaut worden. trotzdem kann man nicht oft genug darauf hinweisen.

wer immer noch auf diese miesen internet-tricks reinfällt, dem kann man wirklich nicht mehr helfen....

allerdings habe ich es bis dato noch nicht geschafft, eine festplatte mit einer firewall zu versehen, dafür aber das betriebssystem mit internetzugang und den davorgeschalteten router.

und dass ein aktiver und aktueller virenchecker einen trojaner nicht erkennt, gehört wohl in den bereich der computermärchen.

na ja, technik ist halt nicht anwalts liebling.

Verbraucheranwalt · . Anmeldungsdatum: 22.06.2004 Beiträge: 221 Wohnort: Berlin

Sehr geehrte User,

wir stimmen Ihnen ja darin zu, dass nicht alle Zeitgenossen die cleversten sind. Nur ist uns aufgefallen, dass einige Banken trotz massiver Sicherheitshinweise und allgemeiner Aufklärung in der Bevölkerung nach wie vor stillschweigend regulieren. Warum nur? Sicher nicht aus Nächstenliebe. Vielmehr sind offenbar die Systeme nicht so sicher, wie gelegentlich behauptet wird. Das ist unser Verdacht, denn anderenfalls hätten die Banken nicht die mindeste Scheu, ihre Software von einem Sachverständigen begutachten zu lassen. Das soll offenbar vermieden werden.

Wer hier Erfahrungswerte hat, darf sich gerne bei uns melden!
_________________
RAe Dr. Thomas Schulte & Kollegen
Kurfürstendamm 42

10719 Berlin (Charlottenburg)

E-Mail: Dr.Schulte@dr-schulte.de
Webseite: http://www.dr-schulte.de

GM&P Info · . Anmeldungsdatum: 18.01.2006 Beiträge: 2947

"Phishing oder das Passwort-abfischen wird man nicht völlig ausrotten können, das ist ähnlich wie bei der Rauschgiftkriminalität", sagt Mirko Manske, Kriminalhauptkommissar in der Abteilung Schwere und Organisierte Kriminalität (SO) beim Bundeskriminalamt (BKA). Der Beamte ist von Wiesbaden nach Hamburg gereist, um vor dem Hightech-Presseclubs zu erklären, wie es um die Internetkriminalität bestellt ist. Sein Arbeitsschwerpunkt: Phishing.

lesen Sie hier >> weiter - mm

Moderator GM&P · . Anmeldungsdatum: 21.01.2006 Beiträge: 5913

Mit einer gefälschten E-Mail - angeblich vom Bundeswirtschaftsministerium - versuchen Betrüger derzeit an die Kreditkartendaten unbedarfter Nutzer heranzukommen. Dabei widerspricht diese "alte" Methode des sogenannten Phishing eigentlich dem allgemeinen Trend.

Eine Mail mit der Betreffzeile "Anmerkung - bitte lesen Sie das" versucht derzeit, Surfer auf eine gefälschte Internetseite zu locken. Wie das Ministerium mitteilte, scheint die elektronische Post vom Absender "[E-Mail anzeigen]" zu kommen. Das Ministerium hat Anzeige gegen Unbekannt gestellt und das BKA eingeschaltet. Nach ersten Ermittlungen steht der Server, auf dem die Webseite gespeichert ist, in den USA. Die Behörden versuchen nun, den Serverbetreiber dazu zu bewegen, die Seite zu sperren.

Versprochen wird den Ahnungslosen, dass ihnen 170 Euro Steuern zurück erstattet werden, wenn sie auf der Seite ihre Kreditkartendaten hinterlassen. "Das ist einfach ganz blöd gemacht", urteilt der Sprecher des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Matthias Gärtner, über den Angriff.
Zum einen kann das Wirtschaftsministerium keine Steuern zurückerstatten. Außerdem sei die Attacke schlecht koordiniert: In der Regel würden solche Mails freitags verschickt, damit während des Wochenendes nicht so schnell gewarnt werden kann. Auch der versprochene Betrag von 170 Euro sei bei weitem nicht hoch genug, um viele Nutzer die Vorsicht völlig vergessen zu lassen, sagte der BSI-Sprecher.

Unter dem Begriff Phishing verstehen Experten das unrechtmäßiege Auskundschaften persönlicher Daten auf dem PC. Besonders begehrt bei den virtuellen Dieben sind Daten und Passwörter für das Onlinbanking sowie Kreditkartennummern. Aber auch Ausweisnummern, Adressen und Geburtsdaten lassen sich auf dem Schwarzmarkt verkaufen.

Georg Borges von der unabhängigen Arbeitsgruppe Identitätsschutz im Internet sieht in dem aktuellen Trick ein neues "Geschäftsmodell" der Betrüger. Bisher seien sie hauptsächlich auf Pin- und Tan-Nummern fixiert gewesen. "Aber das ist im Endeffekt eine neue Form des Kreditkartenbetrugs", beurteilt der Bochumer Professor die Masche.
Wie genau die Initiatoren die gewonnenen Daten nun aber nutzen wollen, ist Borges noch nicht klar. Denn mit der Kreditkartennummer kann zwar eingekauft werden, Überweisungen funktionieren damit aber nicht. Wie die Betrüger dann trotzdem an Bargeld kommen könnten, müsse nun mit dem BKA und den Banken geklärt werden.

Der aktuelle Angriff widerspricht mit dem Locken auf eine gefälschte Site auch dem Trend. Nach Beobachtung des BSI arbeiten die Betrüger zunehmend häufiger mit sogenannten Trojanischen Pferden. Dabei handelt es sich um kleine Programme, die sich unbemerkt auf dem Computer einnisten und ihn ausspähen.
Die Programme würden außerdem immer ausgefeilter. So seien sie in der Zwischenzeit modular aufgebaut: Der eigentliche Trojaner ist darauf ausgelegt, möglichst lange unbemerkt auf dem Computer zu überleben. Zudem lädt er nach und nach andere Schadprogramme herunter, die etwa alle Tastatureingaben mitlesen und übermitteln oder den Rechner fernsteuern können und ihn in ein sogenanntes Bot-Netzwerk integrieren. Mit Hilfe dieser "Zombie-Rechner" werden dann weitere Websites oder Mail-Postfächer attackiert.

"Die Tendenz geht ganz klar weg von den gefälschten Webseiten, hin zu Trojanischen Pferden", sagte Gärtner. Nach einer Aufstellung des BSI sinkt der Anteil der Angriffe mit gefälschten Webseiten seit Februar 2006 kontinuierlich. Für 2007 hat das Amt zwar noch keine Statistik, "der Trend geht aber ganz klar in Richtung 100 Prozent Phishing per Trojaner."

Im bisher letzten Großangriff waren Ende Januar angeblich Mails vom BKA mit der Benachrichtigung über ein eingeleitetes Strafverfahren verschickt worden. Nach eigenen Angaben wurde das Wirtschaftsministerium dagegen im aktuellen Fall zum ersten Mal Opfer eines solchen Namensklaus. Aufmerksam auf die Mail gemacht wurden das Ministerium übrigens von einer kleinen Firma: Sie faxte das Schreiben an die Behörde.
Quelle: FTD

dagobert111 · Newbie Anmeldungsdatum: 26.11.2005 Beiträge: 7

Ich bekomme auch öfters solche Phishingmails und auch schon Mails von angeblichen Behörden wie Kriminalamt und ähnliches.

Das wird sofort alles Gelöscht ohne Irgendwo drauf zu Klicken oder zu beachten.

Egal welche Bank/ Geldinstitut, keines fordert von seinen Kunden per Mail auf sich einzuloggen.

Ich mache nun auch schon seit 1998 Online-Banking und hatte noch nie Probleme damit.

Auch wenn sich das Bundeskriminalamt oder sogar der Bundeskanzler per Mail an mich wendet mit einem Anhang, würde ich den Anhang nicht öffnen und diese Mail komplett Löschen.

Denn im Anhang sind meinstens die Vieren,Troijaner und was es alles noch so gibt. Das alles sollte eigentlich schon allen bekannt sein die Online- Banking machen.

Deshalb im Zweifel. Immer gleich Löschen.

GM&P Info · . Anmeldungsdatum: 18.01.2006 Beiträge: 2947

Watergate · Newbie Anmeldungsdatum: 11.04.2007 Beiträge: 3

Ich habe das Spiel vor einem Jahr (mit aller Vorsicht) ausprobiert, um den Ermittlungsbehörden Material zu liefern und evtl die Urheber zu finden.

Die Betrüger kamen aus Russland und haben bei ebay eine sehr wertvolle E-Gitarre angeboten. Ich bekam ca. 1.700,- € auf mein Konto, die ich sofort zurücküberwiesen habe.

Die Kripo hat zwar recherchiert, nach drei Monaten wurde das "Verfahren gegen Unbekannt" eingestellt, weil die Verursacher nicht zu ermitteln waren.

Also geht es lustig weiter - wie meine aktuellen email-Eingänge tagtäglich beweisen... Anscheinend ist der Staat machtlos.

Es müsste noch viel mehr Aufklärung erfolgen! - Schön, dass Sie das Thema aufgenommen haben. Meines Erachtens sollten die Provider noch mehr Warnhinweise geben.