Phishing und Quishing – Wie gehen Täter vor und welche Ansprüche hat der Kontoinhaber gegenüber der Bank?
In der digitalen Welt, in der immer mehr Transaktionen und Kommunikation online stattfinden, sind Phishing und Quishing zu weit verbreiteten Bedrohungen geworden: Betrüger versuchen auf verschiedenste Weise, Zugriff auf sensible Daten wie Kontonummern, Passwörter und Kreditkartennummern zu erlangen, um diese anschließend zu missbrauchen.
Phishing: Methodik und Vorgehensweise der Täter
Beim Phishing versuchen die Täter über gefälschte E-Mails, Websites oder unter einer falschen Telefonnummer, sensible Informationen der Nutzer zu erlangen. Dabei geben sich die Betrüger häufig als vertrauenswürdige Institutionen wie Banken oder bekannte Unternehmen aus und gewinnen so das Vertrauen ihrer Opfer.
Die Methoden sind mannigfaltig:
- Gefälschte E-Mails und Websites
Phishing E-Mails (oder SMS) sind häufig so gestaltet, dass sie täuschend echt wirken, indem sie dieselben Firmenlogos, Schriftarten, Layouts und Formulierungen der Banken oder Unternehmen übernehmen. Der Empfänger wird in der E-Mail dazu aufgefordert, auf einen Link zu klicken, der zu einer gefälschten Website führt. Diese sieht zwar authentisch aus, ist aber darauf ausgelegt, Anmeldedaten zu stehlen.
Ein typisches Bespiel wäre eine E-Mail von „Deiner Bank“, die behauptet, dass dein Konto aus Sicherheitsgründen gesperrt wurde und dich auffordert, dich mit deinen Login-Daten oder deiner Transaktionsnummern für dein Onlinebanking anzumelden, um deine Daten zu prüfen. Diese Informationen werden dann an die Betrüger übermittelt und dazu missbraucht, das Konto zu plündern.
- Gefährliche Anhänge
Phishing Mails enthalten häufig auch Anhänge, die Viren oder Malware enthalten. Wird der Anhang geöffnet, kann er das System des Opfers infizieren und schadhafte Software installieren, die etwa die Tastatureingaben aufzeichnet und so Passwörter und persönliche Daten erfasst.
- Neuere Methoden
„Man-in-the-Middle-Angriffe“
Die Phishing Methoden haben sich weiterentwickelt und nutzen fortschrittliche Schadprogramme, wie beispielsweise trojanische Pferde, für sog. „Man-in-the-Middle-Angriffe“, bei denen Daten direkt zwischen Bankkunden und Bank abgegriffen werden, ohne dass der Kunde es merkt. Dadurch wird der bisherige Umweg über das Versenden einer E-Mail, die den Kunden zur Preisgabe seiner Daten verleitet, umgangen. Diese moderne Form des Abgreifens von Zugangsdaten, ermöglicht es den Betrüger, auch fortschrittliche Systeme wie das iTAN-Verfahren mit indizierten Transaktionsnummern zu überlisten.
Spear-Phishing
Spear-Phishing ist eine neue Form des Phishings, bei dem die Angreifer ihre E-Mails speziell auf den Empfängerkreis zuschneiden. Beispielsweise senden sie E-Mails von einer lokalen Bank an die Mitglieder lokaler Vereine oder Hochschulen, wobei die Wahrscheinlichkeit hoch ist, dass die Empfänger tatsächlich ein Konto bei dieser Bank haben. Die „Trefferquote“ ist entsprechend deutlich höher. Eine Untervariante des Spear-Phishings ist das Whaling, bei dem die Angreifer sich speziell auf hochrangige Führungskräfte konzentrieren.
Quishing: Ein Sonderfall des Phishing
Quishing setzt sich zusammen aus „QR“ und „Phisching“ und beschreibt eine Form des Phishing-Angriffs, in der die Angreifer geschickt QR-Codes einsetzen und ihre Opfer so dazu verleiten, bösartige Websites zu benutzen. Diese QR-Codes werden sowohl in E-Mails, in der Briefpost als auch an öffentlichen Orten eingesetzt.
Beim Quishing machen sich die Betrüger gezielt die Schwächen von IT-Sicherheitslösungen zunutze. Während diese E-Mails zwar auf Verdächtige URLs und Anhänge scannen, erkennen sie einen QR-Code nur als Bild und deshalb sehen die Sicherheitsprogramme in einem QR-Code kein Risiko. So gelangen die Phishing-Nachrichten mit QR-Codes ungehindert in die E-Mail-Postfächer der Nutzer.
Wer haftet?
Ist ein Phishing- oder Quishing-Angriff erfolgreich, stellt sich die Frage, wer für einen finanziellen Schaden haftet. Häufig ist es schwer, von den Betrügern selbst das Geld wiederzuerlangen, da diese im Ausland sitzen oder unter falschem Namen handeln. Die Opfer können jedoch einen Schadensersatzanspruch gegenüber der Bank geltend machen.
- Haftungsnormen des Kontoinhabers gegen die Bank
Die Haftung ist gesetzlich in § 675 u BGB geregelt. Gem. § 675 u BGB hat der Zahlungsdienstleister (die Bank) im Fall eines nicht autorisierten Zahlungsvorgangs keinen Anspruch auf die Erstattung seiner Aufwendungen gegen die Zahler (Kontoinhaber). In der Regel liegt keine gültige Genehmigung des Kontoinhabers vor, wenn eine betrügerische Transaktion ausgelöst wird.
Zudem hat die Bank eine Sorgfaltspflicht einen sicheren Zugang zum Online-Banking zu gewähren, etwa durch Zwei-Faktor-Authentifizierung, die zusätzliche Sicherheitsebenen bietet. Reichen die Sicherheitsvorkehrungen nicht aus, kann die Bank auch deshalb in Haftung genommen werden.
- Gegenansprüche der Bank
In der Regel muss die Bank haften und Phishing-Opfern ihr Geld zurückzahlen. Gegenansprüche der Bank kommen jedoch in Betracht, wenn die Bank nachweisen kann, dass der Kontoinhaber grob fahrlässig mit seinen Daten umgegangen ist und so den Betrug ermöglicht hat. Das ergibt sich aus § 675 v BGB und wurde vom BGH im Urteil vom 26.01.2016, XI ZR 91/14 ausgeführt.
Grob fahrlässig handelt, wer die im Verkehr erforderliche Sorgfalt in besonders hohem Maße verletzt. Das setzt nach ständiger Rechtsprechung einen objektiv schwerwiegenden und subjektiv schlechthin unentschuldbaren Sorgfaltspflichtverstoß voraus. Im Fall eines Pishing- oder Quishing-Betrugs handelt der Kontoinhaber etwa grob fahrlässig, wenn er seine TAN an Fremde weitergibt oder auf dem PC kein Antiviren-Programm installiert hat.
Dann bekommen Phishing- oder Quishing-Opfer kein Geld zurück.
Fazit
Phishing und Quishing sind zunehmend raffinierte Bedrohungen, die auf das Vertrauen der Opfer abzielen. Wird man Opfer eines solchen Angriffs, muss sorgfältig geprüft werden, wer für den Vorfall haftet, wobei sowohl die Fahrlässigkeit des Opfers als auch die (mangelnden) Sicherheitsvorkehrungen der Banken ins Gewicht fallen. Ein Anwalt im Bank- und Kapitalmarktrecht kann Ihren Fall eingehend prüfen und die Erfolgsaussichten einschätzen.
Daneben gibt es noch eine Vielzahl anderer perfiden Methoden, wie Konten und Sparguthaben leergeräumt werden.
Wir vertreten bundesweit geschädigte Kontoinhaber gegen Banken (u.a. Postbank, DKB Bank Deutsche Kreditbank AG und viele anderen mehr) sowie Sparkassen.