Cyberkriminellen auf der Spur

Phishing: Wenn IT-Risiken schlagend werden


Phishing: Wenn IT-Risiken schlagend werden News

Sie sehen täuschend echt aus – und können für Internetnutzer zur bösen Falle werden: Mit gefälschten Webseiten versuchen Internet-Betrüger immer wieder beim Online-Banking Kontodaten und Passwörter abzufischen. Nach Angaben der Verbraucherzentrale Nordrhein-Westfalen (VZ NRW) nutzen Cyberkriminelle dafür eine in die Millionen gehende Anzahl von Internetadressen für ihre Zwecke. Laut Bundeskriminalamt liegt der Schaden aller mit der Computerkriminalität erfassten Delikte bei rund 36 Mio. Euro jährlich. Das Abfischen von Kontozugangsdaten, das in der Kriminalstatistik nicht gesondert ausgewiesen wird, bildet dabei einen Brennpunkt. Damit andere Internetnutzer möglichst schnell und aktuell vor betrügerischen E-Mails gewarnt werden, können Verbraucher Phishing nun über eine spezielle E-Mail-Adresse oder ein offenes Forum ("Phishing-Radar") direkt an die VZ NRW melden. Die Verbraucherschützer überwachen das Forum und verbreiten Warnungen vor den Phishing-Mails, unter anderem über den Micro-Blogging-Dienst Twitter. Zudem kontaktiert die Verbraucherzentrale auch die betroffenen Banken.

Die kriminellen Hintermänner sitzen meist im Ausland und sind für die Behörden in der Regel nicht greifbar. Phishing ist eine Form der Wirtschaftskriminalität, bei der Betrüger über das Internet Bankdaten ausspähen und Verbraucher bewusst schädigen. Dabei werden meist E-Mails unter dem Namen einer Bank verschickt und Nutzer dazu aufgefordert, ihre für das Online-Banking benötigten PIN- oder TAN-Nummern einzugeben. Ein Beispiel aus der Praxis sieht so aus: 2010 meldeten sich zwei aus Riga stammende Frauen beim Bürgercenter in der Gelsenkirchener Innenstadt an. Beide gaben an, ab sofort unter der Anschrift "Luitpoldstraße 49" zu wohnen, wo sie nach Angaben der Hausverwaltung aber niemals wohnhaft gewesen sind. Nachdem die Anmeldung vollzogen war, eröffneten sie bei verschiedenen Kreditinstituten Girokonten. In der Folgezeit holten die Frauen dann die EC-Karten in den jeweiligen Geschäftsstellen der Banken ab. Mittels Phishing beim Online-Banking wurden unberechtigt Geldbeträge auf die Konten der Frauen transferiert, die unmittelbar nach Geldeingang abgehoben wurden. Die Schadenssumme beträgt schon jetzt mehrere zehntausend Euro. Bislang haben aber noch nicht alle Geschädigten eine Strafanzeige erstattet. An einem Geldautomat wurden die Abholer von der Videoüberwachung aufgezeichnet, sodass die Chance besteht, die Täter zu identifizieren.

Doch meist bleiben Banken und ihre Kunden auf den Schäden sitzen. Im schlechtesten Falle wird dadurch auch noch die Bank-Kunden-Beziehung nachhaltig gestört. Der für das Bankrecht zuständige 26. Zivilsenat des Kammergerichtes in Berlin hatte erst jüngst entschieden, dass eine Bank 70 % des einem Bankkunden entstandenen Schaden zu erstatten hat, wenn es Straftätern gelingt, das Konto im Online-Banking leerzuräumen und die Bank dabei ein veraltetes und unsicheres Online-Banking-System anwendet. Im konkreten Streitfall ging es um das als relativ unsicher geltende PIN/TAN-Verfahren ohne indizierte TAN-Nummern. Das Urteil kann hier im Volltext abgerufen werden.

Dieses von Ilex Rechtsanwälte & Steuerberater erwirkte Urteil hat Grundsatzcharakter, da erstmals durch ein Obergericht rechtlich geklärt worden ist, dass Haftungsfolgen drohen, wenn der Systemanbieter Bank ein nicht dem Stand der Technik entsprechend sicheres Online-Banking-System bereithält. Dies gilt selbst dann, wenn der Bankkunde den Straftätern im Rahmen der Täuschungshandlung vier unverbrauchte Transaktionsnummern (TAN) preisgibt. Hat nämlich sowohl der Bankkunde einen Fehler gemacht (hier Preisgabe der TAN), als auch die Bank (Bereithalten eines unsicheren Systems), bemisst sich die Frage der Haftung nach den jeweiligen Mitverschuldensanteilen. Im konkreten Streitfall wertete das Kammergericht den Haftungsanteil der Bank aufgrund des Bereithaltens des veralteten PIN/TAN-Verfahren mit 70 % und damit höher als der Mitverschuldesanteil des Bankkunden.


[Bildquelle: iStockPhoto]

Kommentare zu diesem Beitrag

fred /03.01.2011 09:08
das groesste risiko ist jedoch in der regel nicht darin zu sehen, dass die bank eine veraltete technik anbietet, sondern dass der user voellig blauaeugig mit dem medium internet umgeht. so zeigen studien auf, dass mehr als 1/3 aller rechner, auf denen eine antiviren-software installiert ist, trotzdem mit malware verseucht ist. daher: die bekämpfung von cyberkriminellen beginnt beim user ...
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.