Das Bundeskriminalamt (BKA) hat im Juli sein jährliches Bundeslagebild zur Entwicklung auf dem Gebiet des Cybercrime veröffentlicht und zieht darin Bilanz für das Jahr 2015. Unter anderem wird in diesem Bundeslagebild des BKA das Abgreifen von Zugangsdaten zum Online-Banking thematisiert: Phishing. Der Bericht zeigt, das „Abfischen“ von Kontozugangsdaten im Online-Banking ist und bleibt trotz der für das Jahr 2015 zu konstatierenden erstmals seit zwei Jahren wieder rückläufigen Fallzahlen hoch aktuell.

Übersicht

1. Wie erfolgreich wurden im Jahr 2015 Bankkonten leer „gefischt“?
2. Wie lässt sich der Rückgang der Fallzahlen erklären?
3. Was ist zukünftig im Bereich Phishing zu erwarten?

Wie erfolgreich wurden im Jahr 2015 Bankkonten leer „gefischt“?

Laut Angaben des Bundeskriminalamtes (BKA) wurden im Jahr 2015 im Rahmen des polizeilichen Meldedienstes insgesamt 4.479 Sachverhalte im Bereich Phishing gemeldet. 2014 waren es noch 6.984 erfasste Fälle. Dies bedeutet einen Rückgang der Fallzahlen um fast 36 % zumindest im Vergleich zum Vorjahr. Dennoch ist Vorsicht geboten, denn die Fallzahlen waren in 2014 so hoch wie noch nie seit 2006. 2006 betrugen die Anzahl der registrierten Phishing-Fälle 3.500, 2007 waren es 4.164, 2008 waren es 1.778, 2009 waren es 2.923, 2010 schon 5.331, 2011 waren es 6.422, 2012 waren es 3.440, 2013 waren es 4.096 Fälle. Insofern lässt sich feststellen, dass die Fallzahlen im Bereich Phishing von einem sehr hohen Niveau in 2014 erstmals seit wieder signifikant gefallen sind. Sie liegen aber immer noch deutlich über dem Niveau der Jahre 2006-2009 und 2012-2013. Die seit Jahren dokumentierte Entwicklung im Phishing-Bereich zeigt, dass es bereits des Öfteren derartige Rückgänge gegeben hat. Jedenfalls in der Vergangenheit zeigte sich schon bald darauf ein Anstieg der Fälle, so dass die Entwicklungen der vergangenen Jahre mit einem permanenten auf und ab verbunden ist.

Wie lässt sich der Rückgang der Fallzahlen erklären?

Dass derzeit ein Rückgang der Fallzahlen zu verzeichnen ist, hängt in erster Linie mit den Bemühungen der Banken zur technischen stetigen Verbesserung verschiedenster Schutzmaßnahmen zusammen. Vor allem im Bereich des Online-Banking haben die Banken zumindest teilweise auf die Angriffe der Täterseite reagiert und verstärkt an der Verbesserung der technischen Sicherheitsstandards durch teilweise Einführung besserer Online-Banking-Systeme gearbeitet. Die Erfahrung der vergangenen Jahre zeigt, dass wenn Banken in neue, zumindest derzeit nur erschwert angreifbare Banksysteme investieren, also die Technik verbessern, die Fallzahlen dann kurz darauf tatsächlich rückläufig sind. So ergaben sich in der Vergangenheit bereits sinkende Fallzahlen im Jahre 2008 als Folge der damaligen Einführung des iTAN-Verfahrens und im Jahre 2012 u. a. als Folge der Einführung des mTAN-Verfahrens und anderer neuer Online-Banking-Verfahren. Allerdings hielt der Trend der sinkenden Fallzahlen in der Vergangenheit jeweils nur ein Jahr an und es gelang den Tätern offenkundig mühelos, die Verbesserungen bei den Online-Banking-Systemen kurz darauf wieder zu überwinden. Darauf lassen die steigenden Fallzahlen in den Jahren 2009-2011 und 2013-2014 schließen. Insofern reagieren auch die Täter auf neue Sicherheitsvorkehrungen, entwickeln ihre Software und Angriffsmöglichkeiten dementsprechend weiter und passen sich an. Aktuell stehen die sogenannten Echtzeitangriffe mit Hilfe einer Schadsoftware bei den Tätern hoch im Kurs, bei denen etwas das iTAn-Verfahren oder das SMS-TAN- oder mobile-TAN-Verfahren (mTAN) längst als leicht zu überwindende Hürde für technisch versierte Straftäter gilt. Im Rahmen dieser Echtzeitmanipulationen schleusen die Täter in die Kommunikation zwischen Bankkunde und dem Rechenzentrum der Bank eine Schadsoftware ein und manipulieren die gesendeten Datensätze. All dies wird vom Kunden natürlich nicht bemerkt. Zunehmend setzen die Täter aber auch auf das Social Engineering, d. h. auf eine soziale Manipulation (z.B. durch die Fälle des sogenannten "Rücküberweisung-Trojaners"). Dabei wird der Kunde dazu verleitet, selbst seine Daten preiszugeben.

Was ist zukünftig im Bereich Phishing zu erwarten?

Das Bundeskriminalamt (BKA) macht deutlich, dass das Phishing ein besonders lukratives Betätigungsfeld für Täter bietet. Die durchschnittliche Schadenssumme betrug rund 4.000 Euro pro Fall. Dies ergibt einen Gesamtschaden von 17,9 Millionen Euro für das Jahr 2015. In der Regel beschränken sich Täter aber nicht auf einen Angriff, sondern im Zuge eines Angriffes werden häufig mehrere Bankkonten angegriffen. ilex Rechtsanwälte hat in den vergangenen Jahren eine Vielzahl solcher Rechtsfälle begleitet und mitgewirkt die damit verbundenen zivilrechtlichen Rechtsfragen einer Lösung zuzuführen. Dies geschah sowohl auf der Seite von vielen geschädigten Bankkunden, als auch für Versicherungsgesellschaften, als auch für Bankhäuser. In jedem Einzelfall wurden dazu Ermittlungsakten ausgewertet. Für die Täter erscheinen die Tathandlungen des Phishing offenbar derart lukrativ zu sein, dass auch in der Zukunft damit gerechnet werden muss, dass auch in den nächsten Jahren von Seiten der Täter der Versuch unternommen werden könnte, die neueren Online-Banking-Systeme wieder zu überwinden.

Mit unserer spezialisierten Ausrichtung auf das Bank- und Kapitalmarktrecht sind wir der richtige Ansprechpartner im Bereich Phishing.