0
Gefällt Ihnen der Artikel? Bewerten Sie ihn jetzt:

Wie funktioniert Phishing und wie ist die Rechtslage?

Rund 35 Mio. Konten werden in Deutschland online geführt. Das haben auch Kriminelle inzwischen mitbekommen, die sich die Finger nicht mehr schmutzig machen, sondern allenfalls die Tasten an ihrem Computer. Beim Abgreifen von Kontozugangsdaten im Online-Banking, d.h. bei Tathandlungen im Internet, bekommen sich Täter und Opfer dank der Anonymität des Internets selten zu Gesicht und die Täter setzten gezielt die Möglichkeiten von Massenkommunikationsmitteln ein. Die jeweiligen Kriminalitätsphänomene scheinen im Bereich des Internets wie Wellen von begrenzter Dauer daherzukommen. Sobald ein gewisser Grad an Sensibilisierung zu einem bestimmten Kriminalitätsphänomen vorhanden ist, Verschwinden die Tatvarianten nach wenigen Jahren wieder, um später in einer nur leicht veränderter Variante, erneut hervorzubrechen. Dahinter steckt das zeitlos gültige Phänomen, dass Kriminalität sich stets neue Erscheinungsformen sucht. Hinter jeder vorbeigerauschten Phishing-Welle wird meist schon die nächste sichtbar.

Inhalt

Als alles begann: „Nigeria-Connection“

Ältere Internetnutzer erinnern sich noch an die ominösen e-Mails der sogenannten „Nigeria-Connection“, die ab den 1990iger Jahren als Kriminalitätswelle auch Deutschland erreicht hat und den Empfängern der Mails große Summen Geldes (Provisionen) versprach, wenn sie vermeintlichen afrikanischen Geschäftsleuten behilflich seien, riesige Dollarbeträge außer Landes zu schaffen. Allerdings wurde zur Geschäftsabwicklung erst einmal ein kleiner Vorschuss erbeten und sobald der eingezahlt war, hörte man nie wieder etwas von den Absendern. Die Geschichten, die in diesen Mails erzählt wurden, waren nicht nur abenteuerlich, sondern auch in einem radebrechenden deutsch verfasst. Wohl aus diesem Grund dienen die Mails der „Nigeria-Connection“ im Wesentlichen zur Erheiterung der Leserschaft in diversen Internet-Foren.

Die klassische Variante des Abfangens sensibler Daten

Doch die Internet-Kriminalität beschränkt sich schon lange nicht mehr auf die Fälle, die eher als gewollt, aber nicht als gekonnt einzustufen sind. Als Abfischen bezeichnet man die vielfältigen Versuche, an die Passwörter und Zugangsdaten für das Online-Banking zu gelangen, um auf diese Weise das Bankkonto eines Internetnutzers leerzuräumen. Im Englischen wurde für dieses Phänomen ein eigener Begriff geschaffen: „Phishing“, ein Wortspiel, welches sich aus „password fishing“ (Passwörter fischen) zusammensetzt.

Die klassische Variante zeichnet sich dadurch aus, den Nutzer auf eine vertrauenswürdige Internetseite zu locken. Dazu wurden und werden Massen-e-Mails generiert und in ihnen ein Link eingebaut, der auf eine gefälschte und präparierte Internetseite verweist. Der Inhalt dieser Massen-e-Mails unterscheidet sich im Tenor nur unwesentlich: „Sehr geehrter Herr XY, aufgrund von aktuellen Sicherheitsproblemen bitten wir Sie, sich in das Online-System Ihrer Hausbank einzuloggen. Folgen Sie dazu einfach unserem Link unter (…)“. Fällt der Internetnutzer auf diesen Link herein, öffnet sich eine neue Seite, die äußerlich eine Kopie der Internetseite der eigenen Hausbank abbildet. Dort soll der Internetnutzer seine Zugangsdaten und möglichst auch eine oder gleich mehrere unverbrauchte TAN-Nummern preisgeben. Im Anschluss wird dann das Konto des Bankkunden abgeräumt. Damit der Nutzer keinen Verdacht schöpft, ist der Betrüger darauf angewiesen Vertrauen zu schaffen. Häufig weisen die Mails die Leitfarbe der jeweiligen Bank auf (rot für die Sparkasse, blau für die Deutsche Bank oder die Citibank etc.). Die Täter nutzen dabei die Möglichkeiten des Massenversandes von e-Mails. Im Idealfall generiert der Computer in der Anredezeile sogar den Familiennamen des Empfängers, sofern dieser aus der e-Mail-Adresse hervorgeht. Eine persönliche Anrede schafft Vertrauen und so wundert es nicht, dass unter den derart geprellten fast alle Bevölkerungskreise zu finden sind, Akademiker wie Nichtakademiker.

Wie funktioniert das Abgreifen mit Hilfe von Trojanern?

Heute verwenden Täter häufig kleine Computerprogramme („Trojaner“). Das Amtsgericht Hamm hatte diese Tatvariante bereits 2005 in einem Strafverfahren beschrieben: Zunächst wird ein „Trojaner“ auf dem Computer des Geschädigten installiert, den dieser sich beim „surfen“ im Internet oder durch den Empfang einer „Spam-e-Mail“ eingefangen hat. Sobald der Geschädigte eine Internetverbindung zu seiner Bank herstellt, liest das Programm unerkannt auch die für eine Transaktion notwendige PIN und eine oder mehrere TAN mit, indem der Trojaner sich unbemerkt zwischen die Datenverbindung des Kunden und seiner Bank schaltet.

Die Art und Weise der Datenmanipulation mittels Trojaner unterscheidet sich im Einzelfall. In einer Variante wird der Kunde mit Hilfe des Schadprogrammes von vornherein auf eine gefälschte Internetseite geleitet, die derjenigen der eigenen Hausbank täuschend ähnlich sieht. Technisch wird dabei die „Übersetzung“ von Domainnamen zu numerischen IP-Adressen manipuliert (sog. Pharming oder DNS-Spoofing). Der Namensserver wird mit Hilfe der „malware“ derart verändert, dass selbst bei Eingabe der richtigen URL nicht mehr die echte IP-Adresse (die Internetseite der eigenen Hausbank) ermittelt, sondern der Nutzer direkt zu der IP-Adresse einer gefälschten Internetseite geleitet wird. Scheinbar gibt der Kunde seine Transaktionsdaten nun im geschützten Bereich seiner Bank ein. Tatsächlich landen alle Daten bei den Tätern. Aus der Kundensicht findet die Tathandlung statt, wenn sich der Bankkunde gerade seinen Zugang zum Online-Banking aktiviert oder einen Überweisungsauftrag abschließt. In diesem Augenblick öffnet sich ein neues Fenster, welches in den Leitfarben der eigenen Bank gehalten und mit deren Logo ausgestattet ist. Dem Kunden wird mitgeteilt, der Login sei nicht erfolgreich verlaufen oder die letzte Überweisung habe nicht abgeschlossen werden können. Deshalb wird gebeten, eine neue, unverbrauchte TAN zur Authentifizierung einzugeben. In einer anderen Variante wird der Trojaner so programmiert, dass er die Tastatureingaben protokolliert (sog. „Keylogger“).

Kann man das iTAN-Verfahren ausspähen?

Inzwischen ist diese Methode derart verfeinert worden, dass sie auch bei den „indizierten TAN-Verfahren“ (iTAN) funktioniert. Dies funktioniert mit Hilfe eines Trojaners auf dem Rechner, der sich zwischen Bank und dem Computer des Bankkunden schaltet (sog. „Man-in-the-Middle-Angriff“) beispielswiese wie folgt: der Bankkunde, der sich in das Online-Banking eingeloggt hat, tippt einen Überweisungsauftrag über 10 € an X ein und sendet die Daten an seine Bank. Noch bevor das Datenpäckchen per SSL verschlüsselt und durch das Internet gesendet wird, fängt der Trojaner es ab und verändert die Daten in eine Überweisung in Höhe von 10.000 Euro an Y. Nur dieser manipulierte Überweisungsauftrag wird verschlüsselt an die kontoführende Bank gesendet. Die Bank verlangt vom Bankkunden als Rückfrage zur Authentifizierung: „Bitte bestätigen Sie die Überweisung in Höhe von 10.000 € an Y mit der iTAN Nr. 37“. Nachdem die Rückfrage am Computer des Bankkunden angekommen ist und entschlüsselt wurde, aber noch bevor sie auf dem Bildschirm des Bankkunden angezeigt wird, fängt der Trojaner die Daten erneut ab, verändert sie und zeigt dem Bankkunden am Bildschirm als Rückfrage lediglich an: „Bitte bestätigen Sie die Überweisung in Höhe von 10 € an X mit der iTAN Nr. 37“. Sobald der Kunde seine unverbrauchte iTAN Nr. 37 eingegeben hat, gibt der Trojaner diese an die Bank für die vom Bankkunden nicht gewollte Überweisung an Y weiter. Die Bank überweist nun 10.000 € an Y. Wenn der Trojaner professionell programmiert wurde, überprüft er vor dem Angriff den Verfügungsrahmen des Bankkunde und zeigt dem Bankkunden nach dem Angriff noch einige Tage lang in der Kontoübersicht eine tatsächlich nicht existente Überweisung in Höhe von 10 € an X an.

Ist HBCI-Banking sicher?

Von privaten Bankengruppen wurde die Einführung des Online-Banking mittels des sog. HBCI-Verfahren angepriesen. Zwar ist das HBCI-Verfahren, bei dem der Bankkunde ein Chipkartenlesegerät, eine HBCI-taugliche Software und eine Chipkarte benötigt, deutlich sicherer, als das herkömmliche iTAN-Verfahren. Auch diese Hürde ist jedoch überwindbar. Unter anderem gelang es Hackern im Auftrag der ARD-Sendung „Ratgeber Technik“ bereits im September 2001, den HBCI-Server der Münchner Hypo-Vereinsbank zu manipulieren und im Mai 2005 gelang dies im Auftrag der HR-Sendung „Trends“ mit dem HBCI-Server der Dresdner Bank.

Beim HBCI-Verfahren wird ein Einmalschlüssel erzeugt, mit dem die Transaktion verschlüsselt wird. Zusätzlich wird jede Transaktion digital unterschrieben. Praktisch läuft dies so ab, dass der private Schlüssel des Kunden, der nur auf der Chipkarte hinterlegt ist, eine Signatur erzeugt, sprich ein Zahlencode, dessen Echtheit die Bank mit Hilfe des öffentlichen Schlüssels, den der Kunde bereits bei der erstmaligen Initialisierung überspielt hatte, überprüfen kann.

Insbesondere berichtete die Frankfurter Allgemeine Zeitung im September 2009 von der Möglichkeit, des Abgreifens und Manipulierens dieses Schlüssels mit Hilfe von Trojanern. Verschlüsselt die HBCI-Software nämlich die Überweisungsdaten des Bankkunden mit Hilfe eines öffentlichen Schlüssels der Bank, sei es „ganz entscheidend, wo dieser öffentliche Schlüssel gespeichert“ würde. „Wenn das Speichermedium, auf dem der Bankschlüssel hinterlegt wurde“, nämlich „ein Wechseldatenträger“ sei, könnten „Trojanern (…) den öffentlichen Schlüssel der Bank einfach austauschen oder manipulieren“. Auch beim HBCI-Verfahren könne das „verwendete Homebanking-Programm von Computerviren befallen sein, so dass die manipulierte Software statt des angezeigten Kundenauftrags einen ganz anderen Überweisungsauftrag an die Bank schickt“. Der Bankserver würde auch in diesem Fall „den erteilten Überweisungsauftrag nicht in Frage stellen, weil er ja korrekt signiert“ worden sei (FAZ v. 08.09.2009, S. T2).

Welche Gefahren lauern außerhalb von Online-Banking?

Eine andere hochaktuelle Kriminalitätswelle besteht darin, nicht bloß Zugangsdaten im Online-Banking, sondern auch andere Zugangsdaten abzugreifen, etwa den Zugang zu Online-Versandhäusern, Internet-Auktionshäusern oder webbasierter Onlineberatung. Die meisten dieser Systeme bieten den Vorteil ihrer Anfälligkeit, weil sie häufig noch nicht einmal die Sicherheitsmerkmale eines i-TAN-Systems aufweisen, wie es im Online-Banking praktiziert wird. Auch ist es häufig nicht erforderlich, den Betrogenen durch eine geschickt gestaltete e-Mail zur Preisgabe seiner Zugangsdaten zu bewegen, denn das schaffen die Trojaner, die im Hintergrund agieren.

Wie ist die Rechtslage?

Die zivilrechtlichen Möglichkeiten der unmittelbaren Inanspruchnahme des oder der Täter scheitern in der Rechtspraxis häufig weil es dem Opfer an Informationen zu den Tätern fehlt. Regelmäßig dauert es Wochen, wenn nicht sogar Monate bis er erfährt oder diese Information auf dem Rechtsweg durchgesetzt hat, auf wessen Konto sein Geld geflossen ist. Ein weiteres praktisches Problem ergibt sich daraus, dass die Täter häufig „Strohmänner“ zwischenschalten, die nicht selten im Internet oder auf der Straße angesprochen und gefunden werden, gelegentlich ahnungslos sind oder sich so generieren, fast immer aber vermögenslos sind.

In diesem Fall verbleibt nur der Weg, eine Anspruchsgrundlage gegenüber dem Plattformbetreiber, sei es die kontoführende Bank oder das Internet-Auktionshaus etc. zu prüfen. Erfolglos braucht die Inanspruchnahme heute nicht mehr zu sein, denn seit dem 31.10.2009 gilt durch Umsetzung der Sepa-Richtlinie in nationales Recht ein neues Haftungsrecht. Vom Grundsatz her haftet die Bank. Die Bank kann sich jedoch entlastet, falls dem Bankkunden der Vorwurf der groben Fahrlässigkeit gemacht werden kann. In der anwaltlichen Beratung ist es erforderlich sehr sorgsam die genauen Umstände des Einzelfalles zu rekonstruieren und die nötigen Schritte einzuleiten.

Autor

Dr. Ulrich Schulte am Hülse

Publikationen:

Veröffentlichungsliste Dr. Schulte am Hülse (PDF)

Auswahl (Sonderdrucke als PDF)

Das Abgreifen von Zugangsdaten zum Online-Banking, in: MMR 7/2016, S. 435-440.

Umfang des Auskunftsanspruches gegen die Schufa-Scorewerte, in: NJW 17/2014, S. 1235-1239

Der Anscheinsbeweis bei missbräuchlicher Bargeldabhebung an Geldautomaten mit Karte und Geheimzahl, in: NJW 18/2012, S. 1262-1266.

Das Abgreifen von Bankzugangsdaten im Online-Banking, in: MMR, 2010, S. 84-90.

Weitere Sonderdrucke auf Anfrage

ilex Rechtsanwälte – Berlin & Potsdam Yorckstraße 17, 14467 Potsdam Hohenzollerndamm 123, 14199 Berlin

Telefon +49 331 9793750
Telefax +49 331 97937520

E-Mail: schulte@ilex-recht.de
Internet: ilex-bankrecht.de

Verwandte Themen

Zurück

Sie haben Fragen? Gleich Kontakt aufnehmen!

Medienpräsenz

Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
Chip Online
Frankfurter Allgemeine
Merkur
Berliner Morgenpost
Sat1
Der Spiegel
ZDF
ilex Rechtsanwälte hat 4,99 von 5 Sternen 84 Bewertungen auf ProvenExpert.com