eRecht24 - Portal zum Internetrecht von Rechtsanwalt Sören Siebert

Online-Banking: Kein Schadensersatz für Phishing-Opfer bei TAN-Eingabe auf gefälschter Seite

Betrüger wenden allerlei Tricks an, um an fremde Bankdaten zu gelangen. Bekannt sind E-Mails mit der Aufforderung auf einen Link zu klicken, um auf einer gefälschten Webseite die Bankdaten samt Passwort einzugeben. So kommen Betrüger im Nu an etliche Bankdaten und problemlos an das Geld anderer Leute.

Korrekte Internetadresse auf Betrüger-Webseiten

Der Sicherheitsexperte vom IT-Branchenverband, kurz Bitkom, meint jedoch, dass diese Betrüger-E-Mails mittlerweile ein Auslaufmodell sind, denn nicht nur die Internet-Nutzer lernen dazu, sondern auch die Betrüger. Eine Weiterentwicklung der schlichten Phishing-Tricks war bereits, dass nach dem Klick auf den Link in der E-Mail, eine richtige Internet-Adresse einer Bank im Browser angezeigt wurde. Durch eine technische Manipulation war zwar die Adresse korrekt, aber es handelte sich trotzdem um die Webseite eines Betrügers. Diese Methode nennt sich DNS-Spoofing oder Pharming.

Rentner muss für Schaden selbst aufkommen

Ein Opfer von DNS-Spoofing ist ein Rentner. Dieser Fall wurde am letzten Dienstag vom Bundesgerichtshof in Karlsruhe diskutiert. Das Urteil fiel nicht zu Gunsten des Rentners aus. Der Bundesgerichtshof entschied, dass Bankkunden, die auf gefälschten Webseiten ihren TAN (Transaktionsnummer) eingeben, für jeglichen Schaden, der durch Betrüger entsteht, selbst aufkommen müssen. 5000 Euro hatten die Betrüger vom Konto des Rentners nach Griechenland überwiesen. Möglich war dies, da der Rentner 10 mal verschiedene TANs (Transaktionsnummern) auf der gefälschten Seiten eingegeben hatte.

2010 sind etwa 5300 Anzeigen wegen Phishing gestellt worden, so das Bundeskriminalamt. Somit waren es 82 Prozent mehr Anzeigen wie in den Jahren davor. Ab 2011 liegen noch keine Angaben vor.

Neue Betrüger-Methoden

Da Phishing-Betrüger mittlerweile nicht mehr so einfach an die Transaktionsnummer kommen, verwenden sie eine neue Methode, um Nutzernamen und Passwörter zu erhalten. Dazu hacken sie Webseiten, die nur einen Zugriff erlauben, wenn die Zugangsdaten für das Online-Banking eingegeben werden. Betroffene Webseiten sind vor allem PayPal, Webseiten von Online-Kasinos sowie soziale Netzwerke wie Twitter und Facebook. Mittlerweile sollen 4,5% aller Spam-Mails sogenannte Phishing-Mails sein, so eine Studie von Microsoft.

Noch umfangreicher sind die Schäden, die durch Hilfe von Trojanern, Drive-By-Attacken und Keylogger-Software erreicht werden. Die Betrüger haben beispielsweise über eine Keylogger-Software, die über infizierte Webseiten kommen, die Möglichkeit jede Eingabe in die Tastatur zu protokollieren. Oft werden die Zugangsdaten dann an andere Cyberkriminelle weiterverkauft.

Trojaner, auch genannt als „Man in the Middle“, haben bei SSL-verschlüsselten Webseiten keine Chance, erklärt Benzmüller, Experte bei der Sicherheits-Software-Firma G Data. Anders bei Trojanern, die als „Man in the Browser“ (MITB) bezeichnet werden. Diese werden auf den Computer des Opfers eingeschleust und können dort die Zugangsdaten für das Online-Banking manipulieren, solange diese noch nicht verschlüsselt wurden oder nicht mehr sind. Das bedeutet, dass der Trojaner auf eine Verbindung mit der Bank-Webseite abwartet, um manipulierte Inhalte sofort auf diese einzuschleusen. In der Regel erhält der Bankkunde eine Nachricht, dass ihm fälschlicherweise Geld überwiesen wurde. Die Überweisung wird dann tatsächlich durch den manipulierten Inhalt sichtbar. Anschließend wird der Bankkunde aufgefordert, das Geld zurück zu überweisen, das dann auf das Konto des Betrügers landet.

Der Bausatz für diese Schadsoftware wird auf dem Schwarzen Markt für Cyberkriminalität für 5000-8000 Euro gehandelt.

Lesen Sie mehr zum Thema "Betrug im Internet: Phishing, Pharming und Spoofing"