Vorsicht beim Online-Banking - Phishing als neue Betrugsform
von Rechtsanwalt Dr. Volker Herrmann
Immer wieder tauchen im Internet neue Formen der Kriminalität auf. Ein besonders sensibler Bereich ist dabei das Online-Banking. Die meisten Bankkunden führen heute ihre Konten online und sind den Umgang mit PIN und TAN seit langem gewöhnt.
Nur äußerst selten lassen die Kreditinstitute einmal etwas über Missbrauchsfälle verlauten und in der Werbung wird das Online-Banking stets als sehr sicher dargestellt. Eine neue Form des Internet-Betrugs hat jetzt aber einige Banken dazu gezwungen, an die Öffentlichkeit zu gehen und vor einer besonders miesen Betrugsmasche zu warnen.
Es handelt sich um das so genannte Phishing. Kunden verschiedene Banken und Kreditkartenhäuser, darunter die Postbank und die Deutsche Bank, erhielten dabei E-Mails, die den Eindruck erweckten, als handele es sich um Nachrichten ihrer jeweiligen Hausbank. Im Falle der Postbank waren die E-Mails dreisterweise sogar noch als „Sicherheitsaktualisierung“ deklariert. Die Kunden werden aufgefordert ihr Konto zu überprüfen, indem Sie einem Link in der E-Mail folgend eine angebliche Website der Bank aufrufen. Dort soll man dann Kontonummer, PIN und (!) TAN eingeben.
Es handelt sich aber sowohl bei den E-Mails, als auch bei den täuschend echt aussehenden Internetseiten, um dreiste Fälschungen. Eine Verbindung mit den jeweiligen Banken besteht nicht. Zwar handelt es sich um Internet-Adressen wie „postbanks.info“ oder „deutsche-bnk.info“, jedoch fällt dieser Unterschied zu den richtigen Adressen zumeist nicht auf, da der Benutzer weiterhin seine gewohnte Adresse im Browser sieht. Dem Kunden wird auf diese Weise eine falsche Adresse vorgegaukelt. Auch das Zeichen für eine gesicherte Verbindung wird von den Betrügern gefakt.
Mit den auf diese Weise erworbenen PIN und TAN können die Betrüger sogleich das Konto abräumen und der Kunde guckt in die Röhre. Es wird schwierig sein, das Geld zurückzubekommen. Die Banken werden zumeist auf ihre allgemeinen Geschäftsbedingungen verweisen. Dort wird so manches Sicherheitsrisiko auf die Kunden abgewälzt. Dann wird der Geschädigte auf die Kunst der Staatsanwälte vertrauen müssen, welche die Betrüger ermitteln müssen.
Aus Sicht der Banken ist zu erwarten, dass diese dem Phishing nicht tatenlos zuschauen, sondern immer dann, wenn neue gefälschte E-Mails und Webseiten bekannt werden, aktiv dagegen vorzugehen, um ihre Kunden zu schützen. Abgesehen davon, dass die Phishing-Täter diverse Straftaten begehen, dürfte das Nachahmen der Original-Webseiten auch nach marken- und namensrechtlichen Grundsätzen rechtswidrig sein. Je nach Lage der Dinge ist dabei an ein Vorgehen gegen den Domaininhaber, aber auch den jeweiligen Provider, zu denken.
Die Banken waren jedenfalls davor, den Links in den Phishing-E-Mails überhaupt zu folgen. Und auf eine gefakte Seite kann nicht geraten, wer die Adresse seiner Bank per Hand eingibt. Wer aber einem solchen Link folgt, muss damit rechnen, dass seine geheimen Daten in die falschen Hände geraten. Password fishing wird dies in England genannt, oder auch kurz einfach nur „Phishing“.
Vgl. zum Thema auch den Beitrag von Herrn Terhaag.