Phishing beim Girokonto: Technik, Schutz, Haftung und Versicherung

Wie kann man sich gut gegen Phishing schützen, haftet meine Bank bei einem Schaden und kann man sich gegen Phishing versichern?


Das Online-Banking ist eine bequeme und zeitgemäße Art, seine Bankgeschäfte von Zuhause aus zu erledigen. Doch auch Betrüger nutzen diese Methode, um Bankkunden mit einem sogenannten Phishing-Angriff um ihr Geld zu bringen. Das bringt allerlei Unbehagen und Verunsicherung seitens der Bankkunden mit sich.

Aus diesem Grund warnen Medien und Verbraucherzentralen regelmäßig vor altbekannten und neuen Techniken, denen sich Betrüger bedienen. Die beste Art jedoch ist, über die Fallstricke, sowie Rechte und Pflichten bei einem Schaden Bescheid zu wissen.

Mit diesem Artikel möchten wir Ihnen eine kurze Übersicht über die häufigsten Arten der unrechtmäßigen Aneignung von Nutzerdaten informieren und kurz und knapp zeigen, was nach einer Phishing-Attacke zu tun ist, beziehungsweise wie man sich möglichst effektiv gegen Phishing sichern kann. Die Tipps und Antworten in diesem Ratgeber sind zwar nicht der Vollständigkeit verpflichtet, mindern aber das Risiko Opfer von Phishing zu werden und helfen insbesondere beim Umgang mit dem Problem, wenn es bereits eingetreten ist.


Die Technik – So kommen Kriminelle an Ihre Daten

Das größte Potential für Kriminelle ist das technische Unwissen und die Gutgläubigkeit vieler Bankkunden. Das macht es den Räubern besonders einfach, an den Zugang zum Girokonto ihrer Opfer zu gelangen. Doch wer nur mit einem Mindestmaß an Aufmerksamkeit im Internet unterwegs ist, der kann schon 95 Prozent aller Angriffe einfach erkennen und abwehren.

Grundlegend und der Vollständigkeit halber ist natürlich zu empfehlen, seine persönlichen Daten auch im physischen Bereich sicher aufzubewahren. Egal, ob Zugangsdaten, Passwörter, PINs, TANs oder andere persönliche Daten: Sie werden am besten in einer Schublade, einem Schrank oder besser noch in einem Safe abgelegt, die abgeschlossen werden können und der Zugang durch dritte möglichst schwierig gemacht wird.

Weiterhin ist zu beachten, dass die Banken nicht müde werden zu erwähnen, dass sie sich an bestimmte Richtlinien halten, die sie niemals brechen. Dazu gehört zum Beispiel, dass sie keine Passwörter oder andere Daten per Email abfragen, in den Emails nicht auf die Login-Seite des Online-Bankings verlinken und auch sehr restriktive Vorgehensweisen bezüglich der TAN-Listen haben.


Gefälschte E-mails

Eine sehr häufige und auch die bekannteste Methode an Nutzerdaten zu kommen ist das massenhafte Versenden von Phishing-Mails. Das ist eine gefälschte Email, die dem vermeintlichen Kontoinhaber vorgaukeln soll, dass diese direkt von seiner Bank kommt. Oft wird man darin vom Betrüger aufgefordert, Daten zum Konto oder der Kreditkarte einzugeben, oder einen Anhang zu öffnen.


In den meisten Fällen sind Fälschungen schon mit dem bloßen Auge zu erkennen. Wer sich nicht sicher ist, der kann folgende Punkte abarbeiten, um einer Fälschung auf die Schliche zu kommen:


Sind Sie überhaupt Kunde der Bank?

Da Phishing-Mails oft zu Millionen oder Milliarden verschickt werden, ist es den Versendern gänzlich egal, ob der Empfänger tatsächlich Kunde der Bank ist. Sind Sie gar kein Kunde der Bank, können Sie die Email direkt löschen.

Persönliche Ansprache?

Seriöse Absender, wie Banken und Geschäftspartner sprechen ihre Kunden immer mit dem korrekten Namen an. Sollten Sie in der Email also mit "Sehr geehrter Kunde", oder "Sehr geehrter Nutzer" angesprochen werden, dann reagieren Sie mit äußerster Skepsis!


Die Betreffzeile

Der erste Blick bei einer jeden Email fällt auf die Betreffzeile. Hier lässt sich in vielen Fällen schon erkennen, ob es sich tatsächlich um eine Nachricht der Bank handelt, oder ein Betrugsversuch ist. Häufig versuchen Spammer mit einer direkten Aufforderung den Anschein zu erwecken, dass es sehr wichtig ist, die Nachricht zu öffnen. Das wird oft mit reißerischen Überschriften forciert, wie:


  • "Ihre Kreditkarte wurde ausgesetzt"
  • "Ihr Konto benötigt dringenden Handlungsbedarf"
  • "Bitte stellen Sie sicher, dass Ihr Konto aktiv ist"
  • etc.

Derartige Aufforderungen oder gar Drohungen werden Sie von Ihrer Bank niemals per Mail bekommen. Alle Institute bewerkstelligen etwaige Probleme durch eine Nachricht per Post! Auch kryptische Betreff-Anhänge wie etwa:

  • "(Buchungskonto: 4043539715)"
  • "Vorgangsnummer 33577809"
  • "{ID3423523}"

oder ähnliche Betreff-Endungen sieht man sehr selten bei einer seriösen Email.


Stimmt die Email-Adresse?

Ist man sich nicht sicher, was man von dem Betreff zu halten hat, lohnt sich ein kurzer Blick auf die Email-Adresse.

... im "An"-Feld

Stimmt sie mit der Adresse überein, die sie für Ihr Banking verwenden? Vor allem Menschen, die für jede Art von Internetbewegung unterschiedliche Adressen verwenden sind hier im Vorteil. Hier ist eine Konsistenzprüfung mit den bei der Bank hinterlegten Daten sehr häufig hilfreich.

... im "Von"-Feld

Dieser Test ist eher seltener erfolgversprechend für das Herausfinden eines Phishing-Versuchs. Denn es ist sehr einfach diese Adresse zu manipulieren und einen seriösen Absender vorzugaukeln. Dennoch ist das nicht bei allen Spammails der Fall und ein Blick auf die Absender-Email lohnt sich in jedem Fall.


Grammatik & Orthografie

Viele Spammer machen sich nicht die Mühe, ihre Emails in einem korrekten Deutsch zu verfassen. Hier kommen häufig automatische Übersetzungsprogramme zum Einsatz, deren Resultat meist sehr fragwürdig und fehlerbehaftet sind. Das ist mitunter eine der einfachsten Möglichkeiten einen Phishing-Versuch zu durchschauen.

Auch die Umlaute und Zeichensetzungen sind bei vielen Phishing-Mails extrem fehlerhaft. Hier sieht man häufig kyrillische Hieroglyphen statt Umlaute und falsch gesetzte Satzzeichen.

Sprache der Email

Auch wenn die Phishing-Mail erst gar nicht auf Deutsch ist, ist Phishing leicht zu erkennen. Ist Ihre Bank nicht im Ausland ansässig? Dann sollte niemals eine fremdsprachige Email an Sie gerichtet sein!


Eingabe von sensiblen Daten

Eine Bank wird Sie NIEMALS per Email auffordern, persönliche Daten irgendwo einzugeben! Vor allem kein PIN-, oder TAN-Nummern.


Links und Formulare

Klicken Sie niemals auf Links innerhalb einer Email, um auf der Zielseite sensible Daten einzugeben. Abgesehen davon, dass Banken in ihren Email nie Links zu ihrer Login-Seite anbieten, lassen sich bei Phishing-Mails auf Text-Basis die falschen Links häufig direkt erkennen: Ist es tatsächlich die URL der Bank? Beinhaltet die URL vielleicht Tippfehler, merkwürdige Endungen, oder ist anderweitig nicht exakt gleich der bekannten URL?

Ist die Email in HTML, kann man den tatsächlichen Link erst sehen, wenn man die Maus über den Link bewegt. In der Statuszeile am unteren Bildrand erscheint die echte URL, die hinter dem Link steht. Selbst wenn die Phishing-Mail ansonsten täuschend echt aussieht, lässt sich der Phishing-Versuch somit leicht aufdecken.


Anhänge

Einige Emails besitzen einen Anhand, dessen Öffnung in der Email thematisiert wird. Banken versenden jedoch sehr selten bis nie eine Email mit einem Anhang. 99 Prozent der unaufgefordert bekommenen Emails mit Anhang haben einen gepackten .zip-Ordner im Anhang. Das perfide an der .zip-Datei ist, dass sich hinter dem Ordner eine Datei befinden kann, die Schadsoftware auf dem Computer installieren kann. Mehr dazun unter dem Punkt Trojaner.

Mailheader

Sind bis hierher alle Kriterien für eine vertrauenswürdige Email gegeben? Auch wenn dem so ist, heißt das noch immer nicht, dass der Absender tatsächlich derjenige ist, für den er sich ausgibt. Dann hilft nur ein Blick in den Mailheader. Eine genaue Anleitung dazu finden Sie unter https://www.verbraucherzentrale.nrw/wissen/digitale-welt/phishingradar/so-lesen-sie-den-mailheader-6077.


Trojaner

Ein Trojaner ist ein kleines Programm, das sich unbemerkt auf dem heimischen Rechner installiert und bei Aktivierung bestimmte Aktionen durchführt. Das können unterschiedliche Aktionen sein, von denen man entweder aktiv etwas mitbekommt, oder im schlimmsten Fall eben nicht.

Häufig handeln sich unachtsame Surfer einen solchen Trojaner entweder über das Öffnen der Anhänge in Emails (die zuvor genannten .zip-Ordner) oder durch das Klicken auf Werbung ein, wie sie auf Webseiten mit fragwürdigem Inhalt zu finden sind (Warez, online streaming Seiten, etc.). Klicken Sie daher niemals auf Banner oder Links auf unbekannten Internetseiten, die Ihnen suggerieren wollen, dass "Ihr Flash-Player nicht aktuell" ist, oder dergleichen. Hinter diesen Links verstecken sich sehr oft derartige Schadsoftware.

Ist ein Trojaner erst einmal installiert, beginnt dieser mit dem Ausspähen von allem, was Sie in Ihrem Computer eingeben. Dazu gehören auch die PIN, TAN und Kontodaten. Wie der Trojaner dann weiter verfährt, ist unterschiedlich, je nach Art des kleinen Plagegeistes:


Möglichkeit 1: Der Trojaner verändert die DNS-Einträge auf ihrem Computer

Der DNS-Eintrag ist die echte Adresse, unter der eine Webseite zu erreichen ist. Er besteht aus eine Reihe von Zahlen, die ähnlich wie eine Telefonnummer funktionieren und einen Computer im WWW eindeutig erreichbar machen. Damit der Computer nicht bei jedem Abruf einer Webseite die Nummer neu erfragen muss, speichert er diese für einige Zeit auf seiner Festplatte.

Der Trojaner manipuliert nun diese Bibliothek in seinem Sinne, indem er die Adresse Ihrer Bank – "z.B. www.sparkasse.de > IP 212.34.69.3" - auf die IP-Adresse eines anderen Computers umschreibt. Der andere PC gaukelt dem User vor, scheinbar auf der Seite der Sparkasse zu sein und erhält so alle Informationen die man eingibt. Führen Sie nun eine Überweisung durch, ist es für den Betrüger ein leichtes, das Empfängerkonto und den Betrag nach Eingabe der TAN-Nummer auf eigene Daten zu ändern. Das Geld ist weg.

Das perfide daran ist, dass der Nutzer so gut wie nichts davon mitbekommt, da in seinem Browserfenster die korrekte URL angezeigt wird! Doch auch dagegen kann man sich schützen.

Möglichkeit 2: Der Trojaner schneidet Daten mit

Hier spielt das Schadprogramm einen unsichtbaren Sekretär und beginnt sofort mit dem Ausspähen. Es schneidet alles mit, was am Computer eingegeben wird und welche Aktionen durchgeführt werden.

Zum Teil ist es sogar so, dass der Betrüger sich dies direkt live auf seinem Rechner anschaut, und darauf wartet im richtigen Moment zuzuschlagen. Etwa, wenn das Formular bei einer Überweisung verschickt werden soll. Diesen Versand bricht der Betrüger ab und erklärt dem Nutzer, es wäre ein Fehler aufgetreten. Die TAN-Nummer ist aber noch gültig, und befindet sich nun im Besitz des Phishers. Doch auch andere Varianten sind möglich.

Zum Beispiel wird beim Betreten einer bestimmten Webseite (also der Bankseite) dem Nutzer in einem PopUp-Fenster erklärt, dass alle TAN-Nummern eingezogen werden müssen. Daher soll der Bankkunde alle Nummern seiner Liste in ein Formular eingeben. Ist das Formular ausgefüllt und verschickt, kann der Kriminelle dank der vom Trojaner ebenfalls mitgeschnittenen Login-Daten in Ihren Account einloggen, und das Konto leer räumen.


Anrufe

Diese Methode klingt so alt, dass man eventuell kaum glauben möchte, dass sie funktioniert. Doch dabei sollte man bedenken, dass der Faktor Mensch immer noch die unsicherste Komponente in der Kette ist.

In der Regel meldet sich ein vermeintlicher Mitarbeiter der Bank per Telefon, der sich nach der Richtigkeit persönlicher Daten erkundigt. einige Daten hat er schon und schafft so das Vertrauen der Phishing-Opfer. Gut gemacht kommt man erst sehr spät oder gar nicht auf die Idee, dass es es sich hierbei um Betrug handelt.

Doch ein derartiges Vorgehen gibt es bei keiner Bank. kommt es zu Problemen, bekommen Sie Informationen per Post, Passwörter oder ähnliches wird niemals am Telefon erfragt. Werden Sie daher misstrauisch, selbst wenn der Grund für sie noch so logisch klingen mag.


Sicherheitsmaßnahmen gegen Phishing

Zum Glück ist es relativ einfach, ein paar Sicherheitsmaßnahmen durchzuführen, um sich gegen diese technischen Maßnahmen zu schützen. Der Diebstahl Ihrer Daten ist war immernoch möglich, wird aber deutlich verringert.

Zunächst ist ein Grundwissen über die Technik das erste, was gegen Schäden hilft. Doch absolute Grundvoraussetzung sollte immer ein aktuelles Antivirenprogramm sein. Diese sind zum Teil kostenlos und werden von absoluten Experten betreut. Neue Meldungen, wie etwa diejenigen, die über den Phishing-Radar bei der Verbraucherzentrale NRW gemeldet werden, können direkt in dem Anti-Malware-Programmen eingespeist werden.

Kostenlose Antivirenprogramme:

AnbieterProduktKostenLink
LavasoftAd-Aware Free Antivirus0€zum Download
Avastavast! Free Antivirus0€zum Download
AVGAVG AntiVirus FREE0€zum Download
AviraAvira Free Antivirus0€zum Download
MicrosoftMicrosoft Security Essentials0€zum Download
PANDAPandaCloud Antivirus Free0€zum Download

Haftung der Bank - bekomme ich mein Geld zurück?

Ist man nun zum Opfer geworden, stellt sich die Frage: Ist mein Geld futsch, oder kann ich es irgendwie wiederbekommen? Kann ich eventuell das Geld von meiner Bank zurückfordern? Die Antwort lautet: Ja, unter bestimmten Umständen. So gehen Sie vor:

Lassen Sie sich nicht einfach abwimmeln

Das Vorgehen einiger Banken ist nicht gerade kundenfreundlich: Ist das Kind in den Brunnen gefallen und der Kunde meldet dies seiner Bank, kommt es oft zu einer pauschalen Absage der Erstattung, da der Bankkunde seine Sorgfaltspflicht vernachlässigt habe, oder im Umgang mit PINs, TANs und Passwörter grob fahrlässig gehandelt habe.

Lassen Sie das nicht auf sich sitzen! Schalten Sie in dem Fall am besten sofort einen Anwalt ein und lassen Sie sich beraten. Auch ein Rechtsstreit ist möglich. Doch in der Regel können Sie aufatmen. Der Bankkunde hat grundsätzlich das Recht auf eine Rückbuchung einer nicht von ihm legitimierten Überweisung. Entgegen der Behauptung der Bank, müssen Sie nicht beweisen, dass sie nicht fahrlässig gehandelt haben, sonder die Bank muss Ihnen beweisen, dass sie grob Fahrlässig waren. Lediglich eine Aufwendungsentschädigung kann von dem Geldinstitut verlangt werden, welche sich auf etwa 150 Euro summiert. Hierzu gibt es bereits dutzende Gerichtsurteile, in denen die Richter dem Geschädigten Recht gegeben haben.

Durchschnittliche Sorgfaltsanforderung genügt

Ein Opfer, welches trotz Antivirensoftware geschädigt wurde, klagte in Wiesloch gegen seine Bank. Hier stellte das Amtsgericht fest, dass eine "irgendwie geartete Absicherung des Computers" ausreicht, um die Erstattung von er Bank einklagen zu können. Diese Absicherung ist schon dann gegeben, wenn ein aktuelles Antiviren-Programm auf dem Rechner installiert ist.

Wenn ein Trojaner zuschlägt: 90% erstattet

In Berlin gab es einen Fall, in dem ein Bankkunde in eine Phishing-Falle getappt ist, die dem Kunden nach Login in einem PopUp Fenster mitteilte, der Login sei fehlgeschlagen. Er müsse einige TAN-Nummern eingeben, um sein Konto freizuschalten.

Auch hier war keine große Fahrlässigkeit gegeben, da das vorgehen im Zweifelsfalle als glaubwürdig angesehen werden konnte. Die Bank musste 90% des Schadens bezahlen. Quelle.

Auch Unachtsamkeit kann erstattet werden

Beim Landgericht Landshut wurde ein anderer Fall verhandelt. Hier hat ein Trojaner den Nutzer aufgefordert, auf einer gefälschten Seite 100 TAN Nummern einzugeben. Angeblich aus Sicherheitsgründen.

Die Bank lehnte die Rückerstattung ab. Das Gericht sah die Umstände jedoch anders. Denn da die Seite täuschend echt aussah, und die Aufforderung schlüssig begründet wurde, bekam der Kläger Recht. Nicht zuletzt auch deswegen, weil der Kläger nur rudimentäre Deutsch- und Computerkenntnisse besaß. Quelle.


Welche Versicherung hilft mir?

Viele sicherheitsorientierte Girokonto Besitzer fragen sich zu Recht, ob es nicht auch die Möglichkeit gibt, sich gegen das Problem der des Phishings zu versichern. Und wenn ja, welche Versicherung für eventuelle Schäden aufkommt!

Versicherung gegen Phishing? Ja, aber...

Es gibt tatsächlich einige Hausratversicherungen, die sich auf diese neue Art des Verlusts eingestellt haben, und ihren Kunden gegen eventuelles Phishing absichern. Allerdings nur sehr bedingt.

Denn die Leistungen sind in der Regel nicht so hoch, wie der durchschnittlich verursachte Schaden. Wer in seiner Hausratversicherung den Einschluss "Phishing und Trickdiebstahl" hat, der kann zumindest Schäden bis zu 1.000 Euro pro Versicherungsfall bei der Versicherung geltend machen. Das ist in Hinsicht auf die Mehrkosten der Versicherung zu verkraften.

Allerdings gilt auch hier: grobe Fahrlässigkeit ist nicht mit eingeschlossen! Sie sollten sich also, auch wenn sie eine Versicherung gegen Phishing besitzen, nicht unachtsam im Internet bewegen und grundsätzlich eine Antivirensoftware auf ihrem PC installiert haben. In unserem Vergleich können Sie übrigens persönliche Beratung durch einen Versicherungsmakler anfragen, der Ihnen gerne dabei hilft, eine Versicherung mit dem Einschluss Phishing zu finden. Fragen Sie z.B. gezielt nach der Hausratversicherung "Exklusiv" der SIGNAL IDUNA, welche neben der Versicherung gegen Phishing-Schäden und Trickdiebstahl auch eine Entschädigungssumme von bis zu 5.000 Euro bei Fahrraddiebstahl vorsieht.