Betrugsmethoden nehmen neue Ausmaße an. Die Methode Phishing ist dabei vielen ein Begriff. Doch was ist unter dem neuen Begriff Vishing zu verstehen?
Dr. Nadim Kashlan: Das ist vollkommen richtig. Betrugsmethoden und Cyberangriffe generell betreffen immer mehr Personen und Unternehmen. Nach Umfragen der Bitkom (Branchenverband der deutschen Informations- und Telekommunikationsbranche) waren nahezu 90% der Unternehmen von Cyberangriffen mit einem geschätzten Schaden von mehr als 220 Milliarden € betroffen. Dabei gibt es viele Formen von möglichen Angriffen. Eine davon ist das sog. „Vishing“. Vishing ist eine Abkürzung der zusammengesetzten Begriffe „voice“ und „fishing“. Damit ist eine Form des Telefonbetrugs mittels meist Voice over Internet Protocol (VoIP)– deshalb „voice“ – gemeint, bei der eine angerufene Person dazu verleitet wird, vertrauliche persönliche Daten wie Bankdaten preiszugeben.
Die Betrugsmethoden sind also nun um einen Begriff reicher. Was ist also der Unterschied zwischen Phishing, Smishing und Vishing, und welche davon ordnen Sie als am gefährlichsten ein?
Dr. Nadim Kashlan: Auch wenn es sich um einen neuen Begriff handelt, so handelt es sich letztlich um einen Betrug, der nur in einer modernen Form begangen wird. Die Begriffe „Phishing, Smishing und Vishing“ haben alle den Grundsatz des fishings gemein, da bei Ihnen nach Passwörtern und sensiblen Daten gefischt wird. Die zusammengesetzten Begriffe bezeichnen dann jeweils eigene besondere Formen. Phishing ist das gezielte Erschleichen von Passwörtern (Password und fishing). Smishing ist der Vorgang, bei dem Phishing (SMS und Fishing) mittels einer SMS-Nachricht begangen wird. Ein Beispiel hierbei sind die Nachrichten, bei denen angeblich ein Paket geliefert wurde und ein Link angeklickt werden soll. Beim Vishing (Voice und fishing) werden die Personen über Telefon bzw. VoIP angerufen.
Können Sie uns den Ablauf von typischen Vishing-Betrügern erklären?
Dr. Nadim Kashlan: Es gibt hier zwei häufig angewandte Muster. Bei dem sog. Enkeltrick werden meist vorrecherchierte Personen angerufen, denen vorgespielt wird, ein naher Verwandter bräuchte Geld und hierzu würden nur kurz die Daten abgefragt. Aus dieser psychischen Drucksituation soll die angerufene Person bewogen werden, schnell mal Hilfe zu leisten und gerät so erst selbst in die Notlage. Bei der moderneren Variante werden Personen zunächst automatisiert über VoIP massenhaft angerufen. Dieses Muster ist aufgrund der allgegenwärtigen Spam-Nachrichten weit bekannt. Anrufe erfolgen meist flächendeckend beispielsweise auf ein Unternehmen oder Nummerngebiet bezogen. In der automatischen Nachricht werden den Angerufenen meistens irgendeine Art von Problemen vorgespielt, für die eine Lösung bereitsteht, sofern nur die Nummer zurückgerufen wird. Bei dem Rückruf wird dann häufig eine Person antworten und sich als Mitarbeiter eines bekannten Unternehmens oder eben der Hausbank ausgeben, die an einer Sicherheitslücke arbeiten, TANs zu Korrekturzwecken oder einen bestimmten Zahlungsauftrag brauchen oder Probleme beim Kundenkonto bemerkt haben wollen. Die Opfer sollen so zu finanziellen Transaktionen oder der Herausgabe von Daten verleitet werden. In Unternehmen gibt hier oftmals noch den CEO-Fraud, bei dem einem Mitarbeiter ein Vorgesetzter vorgespielt wird, der schnell eine Überweisung autorisiert haben möchte. Verfeinert werden die Betrügereien dadurch, dass oftmals weitere Informationen zu den Betroffenen genutzt werden, die von diesen auf Social-Media-Kanälen verfügbar gemacht werden. Bei diesem Social Engineering werden diese weiteren Informationen ausgenutzt, um den Nutzer gezielter ansprechen zu können und ein tatsächliches „Kennen“ vorzugaukeln. Haben die Betrüger die Daten einmal erlangt, werden Gelder abgezogen oder auch Geräte mit Schadsoftware infiltriert.
Auf Bankkunden werden also übers Telefon gezielt Druck ausgeübt, um diese zur Preisgabe von TANs oder anderen Authentifizierungsinstrumenten zu bewegen. Dabei ergeben sich rechtliche Probleme. Verletzen Kunden dabei grob fahrlässig ihre Pflichten?
Dr. Nadim Kashlan: Das kommt auf den Einzelfall des jeweiligen Betrugsvorgangs an. Aus den Bedingungen der Banken ergeben sich Verpflichtungen hinsichtlich der Vertraulichkeit von personalisierten Sicherheitsmerkmalen. Eine grobe Fahrlässigkeit kann naheliegen, wenn der Angerufene so signifikant von den üblichen Vorgängen abweicht, dass ein aufmerksamer Nutzer diese als regelwidrig hätte bemerken können. Außerdem müsste die Bank in den Vertragsvereinbarungen und auch sonst die üblichen Vorgänge erläutern, damit der Kunde ein Abweichen vom Regelfall bemerken kann. Interessant wird es jedenfalls dann, wenn ein Schaden entstanden ist und der Kunde einen Geldverlust erlitten hat. Grundsätzlich haftet die Bank, wenn sie einen Auftrag ausführt, den der Kunde nicht autorisiert hat. Allerdings haftet ein Bankkunde den Schaden grob fahrlässig herbeigeführt hat (§ 675v Abs. 3 Nr. 2 BGB). Hiervon gibt es allerdings wieder Rückausnahmen, wenn z.B. keine starke Kundenauthentifizierung verlangt wird, da die Bank auch technisch abgesicherte Systeme vorhalten muss.
Für Betrüger ergeben sich stetig neue Möglichkeiten. Umso wichtiger wird der Schutz der Bankkunden. Gibt es einen Schlüssel zur erfolgreichen Vishing-Prävention?
Dr. Nadim Kashlan: Eigentlich gilt hier am besten der allgemeine Grundsatz des gesunden Misstrauens. Banken und seriöse Unternehmen werden nicht nach Zugangs- oder Kreditkartendaten am Telefon fragen. Ebenfalls sollten übersandte Links nicht befolgt werden. Nicht überrumpeln lassen und nicht auf zeitlichen Druck reagieren. Wer am Telefon Druck aufbaut, ist unseriös. Im Zweifelsfall lieber auflegen und einen eigenen Rückruf bei der Bank starten – ganz wichtig! – mit selbst recherchierten Nummern. Den Fall sollte man dann auch der Bank melden.
Falls dennoch etwas passiert ist, gilt es schnell zu handeln. Kreditkarten sperren, Bank informieren und Zugangsdaten sofort ändern.