Betrugsmethoden nehmen neue Ausmaße an. Die Methode Phishing ist dabei vielen ein Begriff. Doch was ist unter dem neuen Begriff Vishing zu verstehen?
Dr. Klaus Lodigkeit: Das Bundesamt für Sicherheit in der Informationssicherheit bezeichnet die IT-Sicherheitslage als angespannt. Die Betrugsmethoden nehmen deutlich zu. Denn die technischen Möglichkeiten auch mittels Künstlicher Intelligenz täuschend echte Kommunikation zu imitieren, werden immer besser. Hintergrund dieser Methode ist das Ausnutzen menschlicher Schwächen wie Obrigkeitsdenken, Angst und blindes Vertrauen, Methoden des sog. Social Engineerings. Ziel der Kriminellen ist es, vertrauliche Informationen durch Täuschung hinsichtlich der Absicht und der Identität des Täters generieren. Strafrechtlich kann es sich dabei insbesondere um einen Betrug gemäß § 263 StGB oder um Computerbetrug § 263a StGB oder um Fälschung beweiserheblicher Daten gemäß § 269 StGB oder um eine strafbare Marken- oder Urheberrechtsverletzung handeln.
Sicher ist Phishing bereits vielen bekannt. Er stellt einen Oberbegriff dar, welcher auf „phreaking“ (also phone and freak) und „fishing“ zurückgeht. Darunter wird der Versuch verstanden, über bestimmte technische Methoden und die Täuschung von vermeintlich vertrauenswürdigen Quellen an Passwörter von Usern zu gelangen, um beim „Anglerjargon“ zu bleiben: es wird nach Passwörter „gefischt“. Dabei werden vertrauliche Informationen beispielsweise über die Formular-Funktion einer gefälschten Website oder einer gefälschte Mail oder durch die Installation von Malware gewonnen, welche die Passwörter ausspäht.
Vishing ist ein Unterfall vom Phishing, synonym Phone Phishing. Es geht auf die Zusammensetzung von voice und phishing zurück. Hierbei werden vertrauliche Daten durch Telefonate generiert oder Produkte beworben. Es wird zwischen einzelnen und massenhaften Anrufen unterschieden. Bei Letzteren wird auch von Spam over Internet Telephony gesprochen. Die Vishing-Angriffe konzentrieren sich auf betrügerischer Anrufe bei denen über eine falsche Identitäten beispielsweise von amtliche Stellen, technischem Support und Bankinstitute getäuscht wird. Als weitere Unterform wird noch das Whaling in der Literatur genannt. Dort werden von „große Fischen“ beispielsweise sensible Daten von Vorstände von Unternehmen „gefischt“.
Die Betrugsmethoden sind also nun um einen Begriff reicher. Was ist also der Unterschied zwischen Phishing, Smishing und Vishing, und welche davon ordnen Sie als am gefährlichsten ein?
Dr. Klaus Lodigkeit: Phishing ist – wie bereits oben beschrieben– als Oberbegriff zu verstehen. Dabei wird nach vertraulichen Informationen, insbesondere nach Passwörtern „gefischt“. Smishing und Vishing ist sozusagen die Art und Weise, wie nach vertraulichen Informationen gewonnen werden.
Smishing ist wiederum ein Unterfall zum Phishing. Dabei wird über SMS versucht, an vertrauliche Informationen zu gelangen. Beim Vishing wird über Telefonanrufe versucht, vertrauliche Informationen zu erhalten.
Jegliche Betrugsmethode ist gefährlich. Wenn vertrauliche Daten in „falschen Hände“ gelangen, besteht eine Gefahr für Persönlichkeitsrechte und für Vermögenschäden. Eine Risikobewertung der verschiedenen Arten von Phishing kann daher nicht vorgenommen werden.
Können Sie uns den Ablauf von typischen Vishing-Betrügen erklären?
Dr. Klaus Lodigkeit: Der Ablauf verläuft idealtypisch in folgenden sieben Schritten.
1. Im ersten Schritt werde um die Opfer zu kontaktieren, verschiedenste Quelle wie Telefonbücher oder elektronische Verzeichnisse genutzt. So werden die Telefonbücher nach bestimmten Kategorien gefiltert, beispielsweise nach „alten Namen“.
2. Im nächsten Schritt werden die Opfer kontaktiert.
4. Zunächst wird über eine falsche Identität im Rahmen eines Anrufs oder eines automatisierten Systems getäuscht und häufig auch unter einem falschen Vorwand.
5. Im weiteren Schritt werden dabei persönliche Daten erfragt, um Vertrauen zu erlangen, beispielsweise Geburtsdatum oder ähnliches.
6. Danach werden weitere Daten abgefragt. So wurde beispielsweise versucht über vermeintliche Probleme mit Kreditkarten an Passwörter zu gelangen.
7. Im letzten Schritt werden die erlangten Daten verwendet, um den Opfern zu schaden. So können beispielsweise die Passwörter genutzt werden, um die Kreditkarten zu verwenden.
Auf Bankkunden werden also übers Telefon gezielt Druck ausgeübt, um diese zur Preisgabe von TANs oder anderen Authentifizierungsinstrumenten zu bewegen. Dabei ergeben sich rechtliche Probleme. Verletzen Kunden dabei grob fahrlässig ihre Pflichten?
Dr. Klaus Lodigkeit: Zunächst habe ich die strafrechtlichen Folgen der Täter kurz dargestellt. Im Verhältnis zwischen Bankkunden und Bank stellt sich die zivilrechtliche Frage, ob die Bankkunden für die Herausgabe von Passwörtern aus § 675 u Abs. 3 Nr. 2 BGB bzw. aus §§ 280 Abs. 1, 241 Abs. 2 BGB haften müssen. Dabei muss der Kunde grob fahrlässig handeln. Ob ein solches Handeln vorliegt, muss im Einzelfall entschieden werden. Zwar hat das Landgericht Nürnberg-Fürth (Urteil vom 17.07.2020, Az. 6 O 5935/19) einen solchen Anspruch abgelehnt, weil die Kausalität zwischen Pflichtverletzung und Schaden verneint wurde. Allerdings ist nicht davon auszugehen, dass jegliche Weitergabe folgenlos bleibt. Ein höchstrichterliche Entscheidung steht dazu noch aus.
Für Betrüger ergeben sich stetig neue Möglichkeiten. Umso wichtiger wird der Schutz der Bankkunden. Gibt es einen Schlüssel zur erfolgreichen Vishing-Prävention?
Dr. Klaus Lodigkeit: Grundsätzlich sollten keinen sensiblen Daten per Telefon bekannt gegeben werden. Sie müssen keine ungebetenen Telefonate annehmen. Melden Sie die Rufnummer der Bundesnetzagentur.
Wir hoffen, dass dadurch Vishing-Fälle vermieden werden.