Phishing: "Es gibt immer noch genügend Opfer"

futurezone: Herr Schwarz, was kann ich machen, wenn ich Phishing-Opfer geworden bin?Olaf Schwarz: Kontaktieren Sie Ihre Bank. Wir können versuchen, das Geld wieder zu bekommen. Zusätzlich haben wir dann auch die Chance zu reagieren und können andere Kunden warnen und prüfen, ob es weitere Betroffene gibt. Sie sollten auch eine Anzeige bei der Polizei machen. Damit sie tätig werden und gegen die Kriminellen vorgehen kann.

In welchen Fällen ersetzt die Bank den Schaden? In den meisten Fällen wird der Schaden ersetzt. Wenn man jedoch beispielsweise Kreditkartendaten samt Sicherheitscodes auf Facebook veröffentlicht hat, kann man nicht damit rechnen, dass die Bank für einen daraus entstandenen Schaden einsteht. Generell wird geprüft, ob der Kunde seine Sorgfaltspflichten für den Umgang mit dem Zahlungsinstrument eingehalten hat. Zu diesen Sorgfaltspflichten gehört es, die personalisierten Sicherheitsmerkmale, wie z.B. PIN Codes, vor unbefugten Zugriff zu schützen, sowie den Verlust, den Diebstahl, oder jegliche missbräuchliche Verwendung des Zahlungsinstruments unverzüglich seiner Bank zu melden.

Wie viele Fälle gibt es, bei denen tatsächlich Schaden entsteht?Es zahlt sich für die Kriminellen weiterhin aus, also gibt es immer noch genügend Opfer. Der klassische Phishing-Angriff ist auch relativ einfach. Millionen von E-Mails zu verschicken, kostet nicht viel. Man darf nicht vergessen, dass Bankkunden ein Spiegelbild der Gesellschaft sind. Manche kennen sich bereits sehr gut aus und erkennen Betrugsversuche, andere tun sich schwerer und fallen auf solche E-Mails herein.

Wie kann ich mich schützen? Es gibt die Klassiker, etwa die Software auf den Geräten aktuell zu halten, auch Antivirenschutz hilft. Software sollte auch nur von vertrauenswürdigen Quellen bezogen werden. Technik kann aber nur einen gewissen Teil leisten.

Der Rest? Man sollte, wie im richtigen Leben auch, ein gewisses Misstrauen an den Tag legen. Ich vergleiche durchschnittliche Phishing-E-Mails gerne mit einem Menschen, der mit einem T-Shirt mit Bank-Logo in der Fußgängerzone steht und Passanten auffordert, ihm ihre Zugangsdaten zu geben. Das wird vermutlich nicht funktionieren. Eine Phishing-Mail ist im Prinzip nichts anderes. Man sollte die gesunde Skepsis nicht abschalten, nur weil man online ist.

Phishing-Warnungen von Banken gibt es fast jeden Tag. Werden sie überhaupt noch gelesen? Die tausendste Warnung wird ignoriert werden. Die Leute haben gelernt, dass sie auf ok klicken müssen, damit eine Dialogbox verschwindet. Wir müssen uns andere Wege überlegen, wie wir die Kunden trotzdem erreichen können.

Zum Beispiel? In dem ich dem Kunden helfe, sich selbst zu helfen. Etwa ihm zu zeigen, wie man sichere Passwörter erstellt oder wie man Passwort Manager nutzt. Im Endeffekt entscheidet der Kunde, was er tut. Wir können ihm nur Ratschläge zur Selbsthilfe geben.

Bankgeschäfte verlagern sich zunehmend aufs Smartphone. Die ING-DiBa Austria bietet am Handy einen fünfstelligen an das Gerät gebundenen Code zur Authentifizierung an. Gab es bereits Angriffe beziehungsweise Betrugsfälle? Bisher noch nicht. Einen fünfstelligen gerätegebundenen Code zu umgehen ist schwieriger und rechnet sich für Kriminelle aktuell weniger als Millionen Leuten eine Phishing-Mail zu schicken. Sicherheit bleibt ein Katz- und Maus-Spiel zwischen den Angreifern und den Verteidigern. Wir sind mit unserer Lösung auf einem guten Stand, das bedeutet aber nicht, dass wir uns darauf ausruhen und nicht genau verfolgen was um uns herum passiert. Unabhängig davon bleibt es aber wichtig, dass die bereits angesprochene gesunde Skepsis nicht abgelegt wird.

Mit welchen Betrugsmethoden haben Sie noch zu tun? Phishing und Trojaner, mit denen Zugangsdaten abgefangen werden, sind auf Kundenseite die wesentlichen Angriffe. Betrug geht aber natürlich viel weiter. Etwa wenn jemand vorgibt etwas zu verkaufen und sich nicht mehr meldet, sobald das Geld überwiesen wurde. Die Frage ist, wie weit die Bank da unterstützend eingreifen kann, um die Überweisung beispielsweise proaktiv zu verhindern.

Wenn eine Überweisung getätigt wurde, wie viel Zeit habe ich, um sie rückgängig zu machen? Das ist schwierig vorherzusagen. Bei solchen Betrugsmethoden sind viele Konten dazwischengeschaltet. Je schneller das Geld von dem Konto, auf das ich überwiesen habe, verschwunden ist, desto schlechter sind die Chancen, es wieder zu bekommen.

Welche aktuellen Trends sehen Sie in der Cyberkriminalität? Es wird professioneller. Das ist gut und schlecht. Natürlich ist es in erster Linie schlecht, wenn die Professionalität der Angreifer steigt, da es schwieriger wird sich zu verteidigen. Auf der anderen Seite bedeutet es aber auch, dass dort Leute sitzen, die gewissen Routinen und Gewohnheiten haben, das hilft uns Muster zu erkennen und ihnen auf die Schliche zu kommen. Immer wieder ist es so, dass die Techniken professioneller werden, aber nicht die durchführenden Personen, dies führt zu Fehlern auf der Angreiferseite.

Wie werden Konten in Zukunft abgesichert? Der Trend geht in Richtung Betrugserkennung. Wir wissen, was der Kunde mit seinem Konto üblicherweise macht, wohin er überweist, mit welcher IP-Adresse er auf sein Konto zugreift und welchen Computer oder welches Smartphone er dabei verwendet. Auf Basis solcher Informationen können wir einschätzen, wie wahrscheinlich es ist, dass der Kunde eine bestimmte Transaktion selbst getätigt hat. Solche Sicherheitsmaßnahmen sind wesentlich schwieriger anzugreifen, als ein neues technisches Log-in-Verfahren, bei dem es garantiert eine Schwachstelle gibt.

Disclaimer: Dieser Artikel entstand im Rahmen einer Kooperation mit der ING-DiBa. Die redaktionelle Verantwortung obliegt alleine der futurezone-Redaktion.