Cyberkriminalität nimmt in unserer digitalen Welt kontinuierlich zu. Banken nehmen diese Entwicklung sehr ernst. Sie entwickeln ihre Sicherheitssysteme beständig weiter und wehren Cyberangriffe erfolgreich ab. Deshalb richten die Täter ihre Angriffe verstärkt direkt auf die Bankkundinnen und -kunden. Die Kriminellen versuchen bei einem Großteil der Betrugsmaschen ihre Opfer so zu manipulieren, dass sie an sensible Daten und das Geld ihrer Opfer kommen. Manche Angriffsformen sind seit Jahren bekannt, werden aber durch neue technische Entwicklungen wie z.B. durch den Einsatz von KI noch ausgefeilter und damit gefährlicher. Die Anzahl und die Komplexität der Angriffe steigen.
Wie können wir uns also dauerhaft vor Online-Betrug schützen? Banken investieren viel Geld in die Sicherheit ihrer Karten- und Online-Banking-Systeme zum Schutz ihrer Kundinnen und Kunden. Doch dies allein reicht nicht aus.
Gemeinsame Anstrengungen zum Schutz vor Cyberkriminellen nötig
Um die international agierenden Cyberkriminellen erfolgreich zu bekämpfen, brauchen wir mehr gemeinsame Anstrengungen. Politik, Social-Media-Plattformen, Telekommunikationsunternehmen, Strafverfolgungsbehörden, Verbraucherschutzverbände und Kreditinstitute müssen eng(er) zusammenarbeiten. Und jeder kann und muss seinen Beitrag leisten.
Ein Beispiel hierfür ist das so genannte Spoofing. Hierbei geht es um Anrufe, bei denen die Betrüger Telefonnummern manipulieren und sich als fiktiver Mitarbeitende einer Bank, einer Aufsichts- oder Strafverfolgungsbehörde oder ähnliches ausgeben. Hinter der Telefonnummer-Tarnung fordern sie die Opfer unter einem scheinbar plausiblen Vorwand auf, ihnen sensible Daten (PIN/TAN/Passwörter) weiterzugeben oder eine Zahlung durchzuführen. In anderen Ländern (z.B. Finnland und Niederlanden) verhindern die Telekommunikationsunternehmen bereits, dass Anrufe mit manipulierter Darstellung der Rufnummer überhaupt möglich sind. Entsprechende Verstärkung der Regelungen könnte dafür auch in Deutschland sorgen.
Klar ist: Die Angriffe werden beständig optimiert. Die Cyberkriminellen arbeiten hochprofessionell, arbeitsteilig organisiert und global vernetzt. Neue digitale Tools und aktuelle Szenarien werden sehr schnell umgesetzt. Gelingt es beispielsweise, betrügerische Websites auf einem Server ausfindig zu machen und diese zu schließen, entstehen sofort neue Websites auf anderen Servern irgendwo auf der Welt.
Ohne internationale Unterstützung und deutlich intensivere Zusammenarbeit bei der Strafverfolgung wird es nicht gehen. Die Betrugsangriffe werden international vorbereitet und in großer Masse – industrialisiert – durchgeführt. Selbst, wenn es im Einzelfall kleinere Beträge sein können, geht es in der in der Masse doch um hohe Millionenbeträge, die auch der organisierten Kriminalität mit allen einhergehenden Fragen zur Geldwäsche und Terrorismusfinanzierung zuzuordnen sind. Nur, wenn wir uns auf europäischer und internationaler Ebene vernetzen und zusammenschließen, können wir diese gemeinsam bekämpfen und uns schützen.
Haftungsverschiebung verhindert keinen Betrug
Erschwerend kommt hinzu, dass der Betrug außerhalb des Einflussbereichs der Banken stattfindet. Deshalb kann eine Haftungserweiterung für Kreditinstitute den Schutz vor Cyberkriminalität nicht erhöhen. Eine solche Haftungserweiterung wird derzeit vom europäischen Gesetzgeber in der PSR (Payment Service Regulation) diskutiert. Doch das Gegenteil des beabsichtigten Ziels ist zu befürchten: Europa zieht Cyberkriminelle aus aller Welt an und Betrüger werden ermutigt, ihre Betrugsmodelle bevorzugt bei uns einzusetzen. Die Motivation der Kunden, vorsichtig zu sein, wird eher sinken. Mit der Folge, dass die steigenden Kosten von allen getragen werden müssen.
Der europäische Gesetzgeber doktert also nur an den Symptomen herum. Und setzt damit auf die völlig falsche Therapie. Vergessen wird dabei der Schaden für die Verbraucherinnen und Verbraucher über einen möglichen finanziellen Verlust hinaus: Opfer eines Betrugs zu werden ist sehr belastend, kostet viel Zeit und Nerven.
Besser ist es, wenn es gar nicht erst zum Betrug kommt. Banken arbeiten intensiv daran, ihre Kundinnen und Kunden zu schützen und die Ursachen zu bekämpfen, also Betrugsschäden gar nicht erst entstehen zu lassen. Dafür müssen aber auch wir alle, Verbraucherinnen und Verbraucher, wachsam sein. Wir dürfen nicht nachlassen, die wichtigen Schutzmaßnahmen durchzuführen und die Informationen zu beachten und zu beherzigen.
Phishing-Angriffe schwerer zu erkennen
Es wird in der Tat immer schwieriger, Phishing-Mails als solche zu erkennen. Die Angriffe variieren auch als Smishing (per SMS oder andere Messenger-Diensten), Vishing (per Sprachnachricht oder am Telefon) oder auch jüngst das Quishing (per QR-Code). Das Ziel ist jedoch stets gleich: Persönliche Daten sollen „abgefischt“ werden. Hierfür werden Internetnutzer durch verschiedenste Vorwände auf betrügerische Websites gelockt, um persönliche Daten, Passwörter, Kreditkartennummern preis zu geben.
Die Sicherheitstechnik der Banken zusammen mit der Zwei-Faktor-Authentifizierung verhindert, dass Kriminelle auf ein Bankkonto zugreifen und Zahlungen auslösen können. Es wird deshalb häufig auf einen Anruf gesetzt. So versuchen die Betrüger z.B. als angeblicher Bankmitarbeiter das Opfer so zu manipulieren, dass dieses eine Fernwartungssoftware installiert und damit den Zugriff auf seine Geräte ermöglicht oder selbst eine Zahlung auslöst.
Wie können wir uns hiervor schützen? Nicht nur bei Bankgeschäften, generell bei allen Online-Aktivitäten müssen wir aufmerksam sein und bleiben. Bei Ungereimtheiten sollte man sich stets die Frage stellen, ob das, was gerade passiert, ein üblicher Prozess, oder eine übliche Vorgehensweise ist. Und dies gerade dann, wenn zusätzlich auch zeitlicher Druck aufgebaut wird. Zudem sollte man sich bewusst machen, was eine Bank eben nicht tun würde: Zum Beispiel die Preisgabe der streng vertraulichen PIN oder TAN zu fordern. Oder die Installierung einer Fernwartungssoftware, um auf den PC oder sonstige Geräte zuzugreifen. Eine Bank braucht auch nicht den Kunden, um eine angebliche fehlerhafte Buchung zu korrigieren.
Aufklärung über Betrugsmaschen intensivieren
Durch sorgfältiges und aufmerksames Verhalten können wir uns selbst schützen. Dies ist das wirksamste Mittel, um Anreize für Betrüger zu minimieren. Kundinnen und Kunden als auch Kreditinstitute sind so am besten vor finanziellen Schäden durch kriminelle Aktivitäten geschützt.
Da die aktuellen Angriffe von Kriminellen auf den Menschen „als Schwachstelle“ zielen, ist die beständige Aufklärung, Sensibilisierung und Warnung vor neuen Betrugsmaschen schon lange wichtiger Bestandteil der Schutzmaßnahmen von Banken.
Seit vielen Jahren engagieren wir uns auch im Bankenverband für Cybersicherheit. Wir informieren und sensibilisieren regelmäßig über Betrugsformen und Angriffe. Der jährlich stattfindende European Cyber Security Month (ECSM) ist ein fester Bestandteil in unserem Kalender: Für das gemeinsame Ziel, zum Schutz vor Internet-Betrug beizutragen.