Betrug beim Online-Banking: Wie du Phishing-Mails erkennst und wer bei Schaden haftet
Die DKB lädt zum Datencheck, die Sparkasse informiert über ihr neues Sicherheitssystem und bei deinem Deutsche-Bank-Konto muss dringend die Einrichtung der Photo-TAN aktualisiert werden? Oder alarmiert dich Paypal, weil dein Konto gesperrt wurde?
Solche Mails bekommen immer mehr Verbraucher:innen – und sie alle haben nur einen Zweck: An die Zugangsdaten der Bankkund:innen heranzukommen. Klicken diese auf den Link in der Mail, werden sie oft auf gefälschte Internetseiten weitergeleitet, wo sie dann ihre Zugangsdaten preisgeben sollen.
Auch die Betrugsversuche per SMS oder mit KI-gestützten Fake-Anrufen nehmen zu – und die gefälschten Nachrichten sind längst nicht mehr so leicht zu enttarnen wie früher. Die Kriminellen erfinden immer neue Maschen, um an die Banking-Zugänge zu kommen. Die Verbraucherzentrale informiert über aktuelle Phishing-Kampagnen.
Wer zahlt für den Schaden?
Ein Problem: Fallen Verbraucher:innen auf die Phishing-Mails herein und wird das Konto leer geräumt, zeigt sich die Bank oft wenig kulant. Die Opfer bleiben auf dem Schaden sitzen, weil ihnen unterstellt wird, sie wären allzu leichtgläubig auf die Mails hereingefallen und hätten sich nicht ausreichend gegen die Betrugsversuche abgesichert. Kommt es zu einem Gerichtsverfahren, heißt es dann, sie seien grob fahrlässig vorgegangen.
Aus diesem Grund lehnt die Bank die Haftung für den digitalen Raub oft ab, wie auch die Statistik der Ombudsleute der großen Bankverbände zeigt. Sie schlichten in solchen Streitfällen zwischen Banken und Kund:innen. Die Zahl der Phishing-Fälle ist dort im vergangenen Jahr explodiert.
Laut der Europäischen Bankenaufsichtsbehörde (EBA) müssen Verbraucher:innen bei 79 Prozent der betrügerischen Überweisungen für die Schäden aufkommen.
Verbraucherschützer: Banken müssen haften
Der Verbraucherzentrale Bundesverband (VZBV) fordert, dass Zahlungsdienstleister berechtigte Ansprüche nicht länger pauschal mit Verweis auf das angeblich grob fahrlässige Handeln abblocken dürfen.
Ob Banken hier stärker in die Pflicht genommen werden, wird gerade diskutiert. Die europäischen Regierungen könnten die Haftung für betrügerische Zahlungen in der kommenden Europäischen Zahlungsrichtlinie (PSD3) konkretisieren und genauer definieren, wann das Verhalten von Kund:innen als grobe Fahrlässigkeit eingestuft werden kann.
Bisher wird die Frage der Erstattung durch die geltende Zahlungsrichtlinie (PSD2) sowie die Bestimmungen des Bürgerlichen Gesetzbuchs (Paragraf 675u BGB) geregelt. Grundsätzlich muss die Bank demnach den Schaden erstatten, sobald der Phishing-Betrug angezeigt wird.
In der Praxis lehnen die Institute die Erstattung mit Hinweis auf das grob fahrlässige Handeln trotzdem häufig pauschal ab. Wehren sich Kund:innen dagegen und geht es vor Gericht, haben Verbraucher:innen aber eigentlich gute Karten, denn die Bank muss dann nachweisen, dass der:die Kund:in grob fahrlässig oder gar vorsätzlich gehandelt hat.
Phishing ist schwer zu erkennen
Der Verdacht der groben Fahrlässigkeit sei nicht begründbar, meint der VZBV. Denn die Betrüger sind mittlerweile so gut, dass potenzielle Opfer gefälschte von echten Schreiben der Bank nicht mehr unterscheiden könnten.
Dazu haben die Verbraucherschützer:innen Anfang November 2023 1.035 Menschen mit E‑Mails oder Abläufen von Zahlungsdienstleistern konfrontiert, etwa im Onlinebanking oder bei der Einrichtung eines Authentifizierungsverfahrens. Die Hälfte der dargestellten Fälle simulierte einen betrügerischen Angriff auf die Zahlungskonten der Betroffenen.
Zwar war über die Hälfte der Befragten (57 Prozent) bei den vorgelegten Mails skeptisch und erkannte gefälschte Mails als Betrug. Allerdings gilt das auch für eine große Zahl der echten Mails: 38 Prozent der Befragten hielten auch sie für gefälscht. In dem kleinen Experiment waren sich auch nur 24 Prozent der Befragten so sicher, dass es sich um Betrugsmails handelte, dass sie es komplett ablehnten, auf das Anliegen einzugehen.
Zudem zeigte sich, dass Warnmeldungen der Zahlungsanbieter und Banken nur wenig helfen. Wurde so eine Meldung verschickt, beispielsweise wenn zuvor unbefugt ein neues TAN-Verfahren eingerichtet wurde, erkannten nur 16 Prozent, dass sie vorher auf einen Betrug hereingefallen waren.
KI erleichtert das Abfischen von Daten
Auch das Bundeslagebild Cybercrime 2023 des Bundeskriminalamts weist darauf hin, dass es immer schwieriger wird, Phishing-Mails zu erkennen. Denn längst hilft auch hier die künstliche Intelligenz (KI) nach.
Dank der Technologie können Betrüger:innen Phishing-Mails noch stärker personalisieren und sprachliche Fehler eliminieren. Außerdem kann die KI ganze Phishing-Kampagnen mit KI-Werkzeugen automatisiert erstellen und verbreiten. Dabei bedienen sich die Betrüger:innen auch „dunkler“ KI-Modelle wie WormGPT, die speziell für kriminelle Zwecke entwickelt worden sind.
Und die KI-Modelle werden immer besser – auch in den Händen der Betrüger:innen. „Daher könnte KI im Bereich Cybercrime als Katalysator wirken und einen enormen Anstieg der Kriminalität auslösen“, heißt es in dem Bericht. Es wird für Verbraucher:innen also noch schwerer werden, die betrügerischen Mails von echten Nachrichten ihrer Bank zu unterscheiden.
Welche Versicherungen einspringen können
Will die Bank gar nicht oder nur einen Teil des Schadens zahlen, können Verbraucher:innen auch versuchen, ihre Versicherung in Anspruch zu nehmen. Einige Hausratpolicen enthalten bereits einen Cyberschutzbaustein und springen bei Schäden durch Phishing oder Onlinebetrug durch Fake Shops ein. Dazu müssen Betroffene den Vorfall aber auf jeden Fall bei der Polizei und der Bank anzeigen.
Bei vielen Anbietern können auch Zusatzbausteine für den Internetschutz zur Hausratversicherung hinzugebucht werden. Allerdings gibt es bei den Versicherern große Unterschiede bei der Deckungssumme, manche schließen Phishing-Fälle sogar explizit aus.
Im Fall des Falles kann auch eine Rechtsschutzversicherung hilfreich sein, um etwa eventuelle Ansprüche gegen die Bank durchzusetzen. Sie übernimmt dann Anwalts- und Prozesskosten.
Spezielle Cyberversicherungen hält die Verbraucherzentrale NRW hingegen für weniger empfehlenswert. Auch im Test der Stiftung Warentest (Ausgabe 5/2024) schnitten diese Spezialpolicen sehr unterschiedlich ab.
Solche Versicherungen bieten zwar umfangreiche Unterstützung etwa bei Rufschädigung oder Cybermobbing oder zahlen bei einem Hack die Kosten der Datenrettung. Bei Phishing-Fällen oder Identitätsmissbrauch ist die Schadensübernahme aber oft beschränkt auf bis zu 15.000 Euro. Zudem müssen die Versicherten für einen guten präventiven Schutz sorgen, beispielsweise indem sie aktuelle Virenscanner einsetzen.
Diese Merkmale weisen auf Phishing-Betrug hin
Auch wenn es immer schwieriger wird, Phishing-Mails zu erkennen, gibt es doch einige Merkmale, bei denen dein innerer Fake-Alarm anspringen sollte. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) solltest du skeptisch werden, wenn …
- besonders dringender Handlungsbedarf suggeriert wird, etwa: „Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren“ oder „Ihr Konto wird gesperrt“.
- vertrauliche Daten wie die PIN für den Online-Bankzugang oder die Kreditkartennummer eingegeben werden sollen.
- die E-Mail Links oder Formulare enthält.
- die Mail von einer bekannten Person oder Organisation kommt, das Anliegen aber ungewöhnlich ist.
Schon die genutzte Mailadresse kann den:die Betrüger:in entlarven. Zwar kann der:die einen beliebigen Namen als Absender:in eintragen, also auch den Namen deiner Bank. Die dahinterliegende Mailadresse ist dann aber meist recht kryptisch; du kannst sie sehen, wenn du in einem gängigen E‑Mail-Programm den Cursor mit der Maus über die Absender:innenzeile führst, ohne darauf zu klicken.
Bist du auf einen Phishing-Versuch hereingefallen, gilt: Sofort alle Kennwörter ändern, Kreditkarten sperren lassen und kontrollieren, ob es schon zu Abbuchungen gekommen ist. Ist bereits Geld weg, solltest du eine Anzeige bei der Polizei erstatten.