Wie Phishing funktioniert und sich die Rechtslage gestaltet

Mehr zum Thema:

Bankrecht Rubrik, Phishing, Online-Banking, mTAN, iTAN, Schadsoftware

4,89 von 5 Sterne
Bewerten mit: 5 Sterne 4 Sterne 3 Sterne 2 Sterne 1 Stern
9

Das Abgreifen von Bankzugangsdaten im Online-Banking

Rund 35 Mio. Konten werden in Deutschland online geführt. Das haben auch Kriminelle inzwischen mitbekommen, die sich die Finger nicht mehr schmutzig machen, sondern allenfalls die Tasten an ihrem Computer. Beim Abgreifen von Kontozugangsdaten im Online-Verkehr machen sich die Täter gezielt die Anonymität der Internets zu Nutze, um mit Hilfe des Massenkommunikationsmittels ihre Tathandlungen zu verschleiern. Damit bleiben die Täter zumeist von den Opfern unerkannt. Die jeweiligen Kriminalitätsphänomene scheinen im Bereich des Internets wie Wellen von begrenzter Dauer daherzukommen. Sobald ein gewisser Grad an Sensibilisierung zu einem bestimmten Kriminalitätsphänomen vorhanden ist, verschwinden die Tatvarianten nach wenigen Jahren wieder, um später in einer nur leicht veränderten Variante erneut hervorzubrechen. Dahinter steckt das zeitlos gültige Phänomen, dass Kriminalität sich stets neue Erscheinungsformen sucht. Auf eine Phishing-Attacke folgt alsbald oft schon die nächste.

Der Anfang: „Nigeria-Connection“

Ältere Internetnutzer erinnern sich noch an die ominösen e-Mails der so genannten „Nigeria-Connection", die ab den 1990iger Jahren als Kriminalitätswelle auch Deutschland erreicht hatte und den Empfängern der Mails große Summen Geldes (Provisionen) versprach, wenn sie vermeintlichen afrikanischen Geschäftsleuten behilflich seien, riesige Dollarbeträge außer Landes zu schaffen. Jedoch baten diese dubiosen Geschäftsleute zunächst um einen Vorschuss und sobald man dieser Bitte entsprach, hörte man nichts mehr von ihnen. Die Geschichten, die in diesen Mails erzählt wurden, waren nicht nur abenteuerlich, sondern auch in einem radebrechenden deutsch verfasst. Wohl aus diesem Grund dienen die Mails der „Nigeria-Connection" im Wesentlichen zur Erheiterung der Leserschaft in diversen Internet-Foren.

Ulrich Schulte am Hülse
seit 2010 bei
123recht.net
Rechtsanwalt
Fachanwalt für Bank- und Kapitalmarktrecht
14469 Potsdam
Datenschutzrecht, Kapitalmarktrecht, Kapitalanlagenrecht, Wirtschaftsrecht

Das klassische Abfangen sensibler Daten

Doch die Internet-Kriminalität beschränkt sich schon lange nicht mehr auf die Fälle, die eher als gewollt, aber nicht als gekonnt einzustufen sind. Als Abfischen bezeichnet man die vielfältigen Versuche, an die Passwörter und Zugangsdaten für das Online-Banking zu gelangen, um auf diese Weise das Bankkonto eines Internetnutzers leerzuräumen. Im Englischen wurde für dieses Phänomen ein eigener Begriff geschaffen: „Phishing", ein Wortspiel, das sich aus „password fishing" (Passwörter fischen) zusammensetzt.

Die klassische Variante ist dadurch gekennzeichnet, dass der Nutzer bzw. das spätere Opfer auf eine für ihn vertrauenswürdig erscheinende Internetseite geleitet wird. Hierzu werden von den Tätern so genannte Massen-e-Mails generiert, in denen sich für den Nutzer weitestgehend unsichtbar ein Link verbirgt, der ihn auf eine gefälschte und vom Täter präparierten Internetseite umleitet. Der Inhalt dieser Massen-e-Mails unterscheidet sich im Tenor nur unwesentlich: „Sehr geehrter Herr XY, aufgrund von aktuellen Sicherheitsproblemen bitten wir Sie, sich in das Online-System Ihrer Hausbank einzuloggen. Folgen Sie dazu einfach unserem Link unter (…)". Fällt der Internetnutzer auf diesen Link herein, öffnet sich eine neue Seite, die äußerlich eine Kopie der Internetseite der eigenen Hausbank abbildet.

Der Nutzer wird nun aufgefordert, Zugangsdaten und TAN-Nummern einzugeben, die dann für den Täter ersichtlich werden. So kommen die Kriminellen an die auf dem Konto vorhandenen Geldbeträge und können über diese verfügen. Damit der Nutzer keinen Verdacht schöpft, ist der Betrüger darauf angewiesen, Vertrauen zu schaffen. Häufig weisen die Mails die Leitfarbe der jeweiligen Bank auf (rot für die Sparkasse, blau für die Deutsche Bank oder die Citibank etc.). Die Täter nutzen dabei die Möglichkeiten des Massenversandes von e-Mails. Im Idealfall generiert der Computer in der Anredezeile sogar den Familiennamen des Empfängers, sofern dieser aus der e-Mail-Adresse hervorgeht. Eine persönliche Anrede schafft Vertrauen und so wundert es nicht, dass unter den derart Geprellten fast alle Bevölkerungskreise zu finden sind, Akademiker wie Nichtakademiker.

Wie das Abgreifen mit Hilfe von Trojanern funktioniert

Derzeit werden von den Tätern häufig kleinere Computerprogramme („Trojaner") verwendet. Hierzu beschrieb das Amtsgericht Hamm bereits in einem Strafverfahren: Zunächst wird ein „Trojaner" auf dem Computer des Geschädigten installiert, den dieser sich beim „Surfen" im Internet oder durch den Empfang einer „Spam-e-Mail" eingefangen hat. Sobald der Geschädigte eine Internetverbindung zu seiner Bank herstellt, liest das Programm unerkannt auch die für eine Transaktion notwendige PIN und eine oder mehrere TAN mit, indem der Trojaner sich unbemerkt zwischen die Datenverbindung des Kunden und seiner Bank schaltet.

Die Ausgestaltung der Datenmanipulation mit Hilfe von Trojanern unterscheidet sich im Einzelfall. Beispielsweise wird der Kunde in einer Variante mit Hilfe des Schadprogrammes zunächst auf eine gefälschte Internetseite geleitet, die der tatsächlichen Internetseite der Hausbank täuschend ähnlich sieht. Technisch wird dabei die „Übersetzung" von Domainnamen zu numerischen IP-Adressen manipuliert (sog. Pharming oder DNS-Spoofing). Der Namensserver wird mit Hilfe der „malware" derart verändert, dass selbst bei Eingabe der richtigen URL nicht mehr die echte IP-Adresse (die Internetseite der eigenen Hausbank) ermittelt, sondern der Nutzer direkt zu der IP-Adresse einer gefälschten Internetseite geleitet wird. Scheinbar gibt der Kunde seine Transaktionsdaten nun im geschützten Bereich seiner Bank ein. Tatsächlich landen alle Daten bei den Tätern. Aus der Kundensicht findet die Tathandlung statt, wenn sich der Bankkunde gerade seinen Zugang zum Online-Banking aktiviert oder einen Überweisungsauftrag abschließt. In diesem Augenblick öffnet sich ein neues Fenster, welches in den Leitfarben der eigenen Bank gehalten und mit deren Logo ausgestattet ist. Nun wird dem Kunden mitgeteilt, entweder sei der Login oder die Transaktion nicht erfolgreich gewesen und daher nicht abgeschlossen worden. Daher solle der Nutzer eine weitere, noch nicht verbrauchte TAN eingeben. In einer anderen Variante ist der Trojaner derart programmiert, dass er die Tastatureingaben direkt protokolliert (sog. „Keylogger“).

Wie verlässlich ist das iTAN-Verfahren?

Mittlerweile sind diese Methoden auch bei den „indizierten TAN-Verfahren" (iTAN) funktionsfähig. Dabei schaltet sich der Trojaner zwischen den Computer des Bankkunden und seiner Bank (sog. „Man-in-the-Middle-Angriff"). Dies funktioniert beispielsweise wie folgt: der Bankkunde, der sich in das Online-Banking eingeloggt hat, tippt einen Überweisungsauftrag über 20 € an A ein und sendet die Daten an seine Bank. Noch bevor das Datenpäckchen per SSL verschlüsselt und durch das Internet gesendet wird, fängt der Trojaner es ab und verändert die Daten in eine Überweisung in Höhe von 20.000 Euro an B. Allein dieser manipulierte Überweisungsauftrag über 20.000 Euro wird verschlüsselt an die kontoführende Bank gesendet. Die Bank verlangt vom Bankkunden als Rückfrage zur Authentifizierung: „Bitte bestätigen Sie die Überweisung in Höhe von 20.000 € an B mit der iTAN Nr. 51“.

Nachdem die Rückfrage am Computer des Bankkunden angekommen ist und entschlüsselt wurde, aber noch bevor sie auf dem Bildschirm des Bankkunden angezeigt wird, fängt der Trojaner die Daten erneut ab, verändert sie und zeigt dem Bankkunden am Bildschirm als Rückfrage lediglich an: „Bitte bestätigen Sie die Überweisung in Höhe von 20 € an A mit der iTAN Nr. 51". Sobald der Kunde seine unverbrauchte iTAN Nr. 51 eingegeben hat, gibt der Trojaner diese an die Bank für die vom Bankkunden nicht gewollte Überweisung an B weiter. Die Bank überweist nun 20.000 Euro an B. Es ist sogar möglich den Trojaner so zu programmieren, dass er vor dem Angriff den Verfügungsrahmen des Bankkunden prüft und auch noch tagelang nach dem Vorgang dem Kunden in der Kontoübersicht eine tatsächlich nicht existente Überweisung in Höhe von 20 € an A an.

Ist HBCI-Banking sicher?

Das Online-Banking mittels des sog. HBCI-Verfahren wurde von privaten Bankengruppen angepriesen. Hierbei benötigt der Bankkunde ein Chipkartenlesegerät, eine HBCI-taugliche Software und eine Chipkarte. Dieses Verfahren ist deutlich sicherer als das herkömmliche iTAN-Verfahren, aber auch diese Hürde ist überwindbar. Beispielsweise gelang es Hackern im Auftrag der ARD-Sendung „Ratgeber Technik" bereits im September 2001, den HBCI-Server der Münchner Hypo-Vereinsbank zu manipulieren. Im Mai 2005 gelang dies im Auftrag der HR-Sendung „Trends" mit dem HBCI-Server der Dresdner Bank.

Beim HBCI-Verfahren wird ein Einmalschlüssel erzeugt, mit dem die Transaktion verschlüsselt wird. Zusätzlich wird jede Transaktion digital unterschrieben. Praktisch läuft dies so ab, dass der private Schlüssel des Kunden, der nur auf der Chipkarte hinterlegt ist, eine Signatur erzeugt, sprich ein Zahlencode, dessen Echtheit die Bank mit Hilfe des öffentlichen Schlüssels, den der Kunde bereits bei der erstmaligen Initialisierung überspielt hatte, überprüfen kann.

Insbesondere berichtete die Frankfurter Allgemeine Zeitung im September 2009 von der Möglichkeit, des Abgreifens und Manipulierens dieses Schlüssels mit Hilfe von Trojanern. Verschlüsselt die HBCI-Software nämlich die Überweisungsdaten des Bankkunden mit Hilfe eines öffentlichen Schlüssels der Bank, sei es „ganz entscheidend, wo dieser öffentliche Schlüssel gespeichert" würde. „Wenn das Speichermedium, auf dem der Bankschlüssel hinterlegt wurde", nämlich „ein Wechseldatenträger" sei, könnten „Trojanern (…) den öffentlichen Schlüssel der Bank einfach austauschen oder manipulieren". Auch beim HBCI-Verfahren könne das „verwendete Homebanking-Programm von Computerviren befallen sein, so dass die manipulierte Software statt des angezeigten Kundenauftrags einen ganz anderen Überweisungsauftrag an die Bank schickt". Der Bankserver würde auch in diesem Fall „den erteilten Überweisungsauftrag nicht in Frage stellen, weil er ja korrekt signiert" worden sei (FAZ v. 08.09.2009, S. T2).

Gefahren außerhalb des Online-Banking

Sehr aktuell ist auch das Abgreifen anderer Zugangsdaten geworden, wie etwa den Zugangsdaten zu Internet-Auktionshäusern, webbasierter Onlineberatung oder Online-Versandhäusern. Die meisten dieser Systeme bieten den Vorteil ihrer Anfälligkeit, weil sie häufig noch nicht einmal die Sicherheitsmerkmale eines i-TAN-Systems aufweisen, wie es im Online-Banking praktiziert wird. Auch ist es häufig nicht erforderlich, den Betrogenen durch eine geschickt gestaltete e-Mail zur Preisgabe seiner Zugangsdaten zu bewegen, denn das schaffen die Trojaner, die im Hintergrund agieren.

Wie gestaltet sich die Rechtslage?

In der zivilrechtlichen Praxis scheitert die Möglichkeit einer unmittelbaren Inanspruchnahme durch den Geschädigten häufig an Informationsmangel zu den Tätern. Es kann Monate dauern, bis er erfährt oder diese Information auf dem Rechtsweg durchgesetzt hat, auf wessen Konto sein Geld geflossen ist. Ein weiteres praktisches Problem ergibt sich daraus, dass die Täter häufig „Strohmänner" zwischenschalten, die nicht selten im Internet oder auf der Straße angesprochen und gefunden werden, gelegentlich ahnungslos sind oder sich so generieren, fast immer aber vermögenslos sind.

In diesem Fall verbleibt nur der Weg, eine Anspruchsgrundlage gegenüber dem Plattformbetreiber, sei es die kontoführende Bank oder das Internet-Auktionshaus etc. zu prüfen. Erfolglos braucht die Inanspruchnahme heute nicht mehr zu sein, denn seit dem 31.10.2009 gilt durch Umsetzung der Sepa-Richtlinie in nationales Recht ein neues Haftungsrecht. Vom Grundsatz her haftet die Bank. Die Bank kann sich jedoch entlasten, sollte dem Bankkunden grobe Fahrlässigkeit vorzuwerfen sein. Es ist daher in der anwaltlichen Beratung erforderlich, sehr sorgsam die genauen Umstände des Einzelfalles zu rekonstruieren und die nötigen Schritte einzuleiten.

Dr. Ulrich Schulte am Hülse,
Rechtsanwalt und Fachanwalt
für Bank- und Kapitalmarktrecht,

ilex Rechtsanwälte,

Voltaireweg 4, 14469 Potsdam,
Tel. 0049 (0) 331 - 97 93 75 0,
Fax. 0049 (0) 331 - 97 93 75 20,
Mail: schulte@ilex-recht.de,
Internet: www.ilex-recht.de
Das könnte Sie auch interessieren
Bankrecht Mobile TAN Verfahren der Deutschen Postbank AG geknackt
Bankrecht Ansteigende Fälle beim Phishing? Cybercrime nimmt laut BKA deutlich zu