Anzeige
Anzeige
Ratgeber

Betrug beim Online-Banking: Wie du Phishing-Mails erkennst und wer bei Schaden haftet

Phishing-Mails von echten Nachrichten der eigenen Bank zu unterscheiden wird immer schwieriger. Wie du die Fake-Mails trotzdem erkennst – und wer dir im Fall des Falles helfen kann.

Von Ulrike Barth
5 Min.
Artikel merken
Anzeige
Anzeige

Sie sehen täuschend echt aus, stammen aber von Betrüger:innen: Phishing-Mails zu erkennen wird immer schwieriger. (Foto: 1st footage/Shutterstock)

Die DKB lädt zum Datencheck, die Sparkasse informiert über ihr neues Sicherheitssystem und bei deinem Deutsche-Bank-Konto muss dringend die Einrichtung der Photo-TAN aktualisiert werden? Oder alarmiert dich Paypal, weil dein Konto gesperrt wurde?

Anzeige
Anzeige

Solche Mails bekommen immer mehr Verbraucher:innen – und sie alle haben nur einen Zweck: An die Zugangsdaten der Bankkund:innen heranzukommen. Klicken diese auf den Link in der Mail, werden sie oft auf gefälschte Internetseiten weitergeleitet, wo sie dann ihre Zugangsdaten preisgeben sollen.

Auch die Betrugsversuche per SMS oder mit KI-gestützten Fake-Anrufen nehmen zu – und die gefälschten Nachrichten sind längst nicht mehr so leicht zu enttarnen wie früher. Die Kriminellen erfinden immer neue Maschen, um an die Banking-Zugänge zu kommen. Die Verbraucherzentrale informiert über aktuelle Phishing-Kampagnen.

Anzeige
Anzeige

Wer zahlt für den Schaden?

Ein Problem: Fallen Verbraucher:innen auf die Phishing-Mails herein und wird das Konto leer geräumt, zeigt sich die Bank oft wenig kulant. Die Opfer bleiben auf dem Schaden sitzen, weil ihnen unterstellt wird, sie wären allzu leichtgläubig auf die Mails hereingefallen und hätten sich nicht ausreichend gegen die Betrugsversuche abgesichert. Kommt es zu einem Gerichtsverfahren, heißt es dann, sie seien grob fahrlässig vorgegangen.

Aus diesem Grund lehnt die Bank die Haftung für den digitalen Raub oft ab, wie auch die Statistik der Ombudsleute der großen Bankverbände zeigt. Sie schlichten in solchen Streitfällen zwischen Banken und Kund:innen. Die Zahl der Phishing-Fälle ist dort im vergangenen Jahr explodiert.

Anzeige
Anzeige

Laut der Europäischen Bankenaufsichtsbehörde (EBA) müssen Verbraucher:innen bei 79 Prozent der betrügerischen Überweisungen für die Schäden aufkommen.

Verbraucherschützer: Banken müssen haften

Der Verbraucherzentrale Bundesverband (VZBV) fordert, dass Zahlungsdienstleister berechtigte Ansprüche nicht länger pauschal mit Verweis auf das angeblich grob fahrlässige Handeln abblocken dürfen.

Anzeige
Anzeige

Ob Banken hier stärker in die Pflicht genommen werden, wird gerade diskutiert. Die europäischen Regierungen könnten die Haftung für betrügerische Zahlungen in der kommenden Europäischen Zahlungsrichtlinie (PSD3) konkretisieren und genauer definieren, wann das Verhalten von Kund:innen als grobe Fahrlässigkeit eingestuft werden kann.

Bisher wird die Frage der Erstattung durch die geltende Zahlungsrichtlinie (PSD2) sowie die Bestimmungen des Bürgerlichen Gesetzbuchs (Paragraf 675u BGB) geregelt. Grundsätzlich muss die Bank demnach den Schaden erstatten, sobald der Phishing-Betrug angezeigt wird.

In der Praxis lehnen die Institute die Erstattung mit Hinweis auf das grob fahrlässige Handeln trotzdem häufig pauschal ab. Wehren sich Kund:innen dagegen und geht es vor Gericht, haben Verbraucher:innen aber eigentlich gute Karten, denn die Bank muss dann nachweisen, dass der:die Kund:in grob fahrlässig oder gar vorsätzlich gehandelt hat.

Anzeige
Anzeige

Phishing ist schwer zu erkennen

Der Verdacht der groben Fahrlässigkeit sei nicht begründbar, meint der VZBV. Denn die Betrüger sind mittlerweile so gut, dass potenzielle Opfer gefälschte von echten Schreiben der Bank nicht mehr unterscheiden könnten.

Dazu haben die Verbraucherschützer:innen Anfang November 2023 1.035 Menschen mit E‑Mails oder Abläufen von Zahlungsdienstleistern konfrontiert, etwa im Onlinebanking oder bei der Einrichtung eines Authentifizierungsverfahrens. Die Hälfte der dargestellten Fälle simulierte einen betrügerischen Angriff auf die Zahlungskonten der Betroffenen.

Zwar war über die Hälfte der Befragten (57 Prozent) bei den vorgelegten Mails skeptisch und erkannte gefälschte Mails als Betrug. Allerdings gilt das auch für eine große Zahl der echten Mails: 38 Prozent der Befragten hielten auch sie für gefälscht. In dem kleinen Experiment waren sich auch nur 24 Prozent der Befragten so sicher, dass es sich um Betrugsmails handelte, dass sie es komplett ablehnten, auf das Anliegen einzugehen.

Anzeige
Anzeige

Zudem zeigte sich, dass Warnmeldungen der Zahlungsanbieter und Banken nur wenig helfen. Wurde so eine Meldung verschickt, beispielsweise wenn zuvor unbefugt ein neues TAN-Verfahren eingerichtet wurde, erkannten nur 16 Prozent, dass sie vorher auf einen Betrug hereingefallen waren.

KI erleichtert das Abfischen von Daten

Auch das Bundeslagebild Cybercrime 2023 des Bundeskriminalamts weist darauf hin, dass es immer schwieriger wird, Phishing-Mails zu erkennen. Denn längst hilft auch hier die künstliche Intelligenz (KI) nach.

Dank der Technologie können Betrüger:innen Phishing-Mails noch stärker personalisieren und sprachliche Fehler eliminieren. Außerdem kann die KI ganze Phishing-Kampagnen mit KI-Werkzeugen automatisiert erstellen und verbreiten. Dabei bedienen sich die Betrüger:innen auch „dunkler“ KI-Modelle wie WormGPT, die speziell für kriminelle Zwecke entwickelt worden sind.

Anzeige
Anzeige

Und die KI-Modelle werden immer besser – auch in den Händen der Betrüger:innen. „Daher könnte KI im Bereich Cybercrime als Katalysator wirken und einen enormen Anstieg der Kriminalität auslösen“, heißt es in dem Bericht. Es wird für Verbraucher:innen also noch schwerer werden, die betrügerischen Mails von echten Nachrichten ihrer Bank zu unterscheiden.

Welche Versicherungen einspringen können

Will die Bank gar nicht oder nur einen Teil des Schadens zahlen, können Verbraucher:innen auch versuchen, ihre Versicherung in Anspruch zu nehmen. Einige Hausratpolicen enthalten bereits einen Cyberschutzbaustein und springen bei Schäden durch Phishing oder Onlinebetrug durch Fake Shops ein. Dazu müssen Betroffene den Vorfall aber auf jeden Fall bei der Polizei und der Bank anzeigen.

Bei vielen Anbietern können auch Zusatzbausteine für den Internetschutz zur Hausratversicherung hinzugebucht werden. Allerdings gibt es bei den Versicherern große Unterschiede bei der Deckungssumme, manche schließen Phishing-Fälle sogar explizit aus.

Anzeige
Anzeige

Im Fall des Falles kann auch eine Rechtsschutzversicherung hilfreich sein, um etwa eventuelle Ansprüche gegen die Bank durchzusetzen. Sie übernimmt dann Anwalts- und Prozesskosten.

Spezielle Cyberversicherungen hält die Verbraucherzentrale NRW hingegen für weniger empfehlenswert. Auch im Test der Stiftung Warentest (Ausgabe 5/2024) schnitten diese Spezialpolicen sehr unterschiedlich ab.

Solche Versicherungen bieten zwar umfangreiche Unterstützung etwa bei Rufschädigung oder Cybermobbing oder zahlen bei einem Hack die Kosten der Datenrettung. Bei Phishing-Fällen oder Identitätsmissbrauch ist die Schadensübernahme aber oft beschränkt auf bis zu 15.000 Euro. Zudem müssen die Versicherten für einen guten präventiven Schutz sorgen, beispielsweise indem sie aktuelle Virenscanner einsetzen.

Anzeige
Anzeige

Diese Merkmale weisen auf Phishing-Betrug hin

Auch wenn es immer schwieriger wird, Phishing-Mails zu erkennen, gibt es doch einige Merkmale, bei denen dein innerer Fake-Alarm anspringen sollte. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) solltest du skeptisch werden, wenn …

  • besonders dringender Handlungsbedarf suggeriert wird, etwa: „Wenn Sie Ihre Daten nicht umgehend aktualisieren, dann gehen sie unwiederbringlich verloren“ oder „Ihr Konto wird gesperrt“.
  • vertrauliche Daten wie die PIN für den Online-Bankzugang oder die Kreditkartennummer eingegeben werden sollen.
  • die E-Mail Links oder Formulare enthält.
  • die Mail von einer bekannten Person oder Organisation kommt, das Anliegen aber  ungewöhnlich ist.

Schon die genutzte Mailadresse kann den:die Betrüger:in entlarven. Zwar kann der:die einen beliebigen Namen als Absender:in eintragen, also auch den Namen deiner Bank. Die dahinterliegende Mailadresse ist dann aber meist recht kryptisch; du kannst sie sehen, wenn du in einem gängigen E‑Mail-Programm den Cursor mit der Maus über die Absender:innenzeile führst, ohne darauf zu klicken.

Bist du auf einen Phishing-Versuch hereingefallen, gilt: Sofort alle Kennwörter ändern, Kreditkarten sperren lassen und kontrollieren, ob es schon zu Abbuchungen gekommen ist. Ist bereits Geld weg, solltest du eine Anzeige bei der Polizei erstatten.

Fast fertig!

Bitte klicke auf den Link in der Bestätigungsmail, um deine Anmeldung abzuschließen.

Du willst noch weitere Infos zum Newsletter? Jetzt mehr erfahren

Anzeige
Anzeige
Kommentare

Community-Richtlinien

Bitte schalte deinen Adblocker für t3n.de aus!
Hallo und herzlich willkommen bei t3n!

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team von mehr als 75 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Schon jetzt und im Namen der gesamten t3n-Crew: vielen Dank für deine Unterstützung! 🙌

Deine t3n-Crew

Anleitung zur Deaktivierung
Artikel merken

Bitte melde dich an, um diesen Artikel in deiner persönlichen Merkliste auf t3n zu speichern.

Jetzt registrieren und merken

Du hast schon einen t3n-Account? Hier anmelden

oder
Auf Mastodon teilen

Gib die URL deiner Mastodon-Instanz ein, um den Artikel zu teilen.

Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Kommentar abgeben

Melde dich an, um Kommentare schreiben und mit anderen Leser:innen und unseren Autor:innen diskutieren zu können.

Anmelden und kommentieren

Du hast noch keinen t3n-Account? Hier registrieren

Anzeige
Anzeige