Eine Person sitzt vor einem Laptop und öffnet eine Seite des S-ID-Check der Sparkasse.
Bildrechte: Sabina Wolf I Bayerischer Rundfunk
Videobeitrag

Immer mehr Menschen werden Opfer von täuschend echten Fake-Websites, die darauf abzielen, an die Kontodaten zu gelangen.

Videobeitrag
> Wirtschaft >

Konto leergeräumt: Schützen Banken zu wenig vor Betrug?

Konto leergeräumt: Schützen Banken zu wenig vor Betrug?

Plötzlich ist das Konto leer. Immer mehr Bankkunden werden Opfer von Online-Betrügern, die mithilfe von KI-Tools authentische Phishing-Fallen verschicken. Die meisten Banken ziehen sich aus der Verantwortung. So gehen die Betrüger vor.

Über dieses Thema berichtet: mehr/wert am .

Angelika Brunner aus Landshut kann plötzlich nicht mehr auf ihr Online-Konto zugreifen. Sie ruft ihre Sparkasse Landshut, Geschäftsstelle Essenbach an. Doch dort ist niemand erreichbar. Wenig später ein Rückruf unter der in ihrem Handy eingespeicherten Telefonnummer der Sparkasse: Sie solle die Push-Tan-App neu installieren, sagt die vermeintliche Sparkassen-Mitarbeiterin, die sie mit ihrem Namen anspricht. Angelika Brunner macht, was man ihr sagt. Wenig später der Schock: 4.154,88 Euro fehlen auf ihrem Konto.

"Grob fahrlässige" Kunden? Anwältin widerspricht Sparkasse

"Das war nicht nur ein Schock. Es hat mich sehr lange in der Nacht verfolgt, weil für mich ist das viel Geld." Die Sparkasse erstattet den Schaden nicht, wirft der Kundin vor, sie habe sich grob fahrlässig verhalten. Nach geltendem Rechtsverständnis handelt jemand grob fahrlässig, der die normalerweise erforderliche Sorgfaltspflicht außer Acht lässt. Nuriye Yildirim, Rechtsanwältin von Angelika Brunner sieht keine Sorgfaltspflichtverletzung ihrer Mandantin, genauso wenig wie in vielen anderen Fällen: "Es gibt sehr viele Fälle, die technisch nicht nachvollziehbar sind, sehr viele Fälle, in denen ohne Zutun der Mandanten definitiv Transaktionen ausgeführt worden sind", so Yildirim.

Bildrechte: Sabina Wolf I Bayerischer Rundfunk
Bildbeitrag

So sieht eine Phishing-SMS aus: Ein Klick führt zu einer authentisch gefälschten Sparkassen-Website.

Europäische Bankenaufsicht fordert mehr Sicherheit für Kunden

Für die erste Jahreshälfte des Jahres 2023 notiert die Europäische Bankenaufsichtsbehörde (EBA) zwei Milliarden Euro Zahlungsverkehrsbetrug in der EU. In bis zu 80 Prozent der Betrugsfälle würden Kunden den Schaden tragen müssen, so die EBA. Bereits 2019 wurde eine strengere Anmeldung zum Online-Banking mit zwei Faktoren eingeführt.

Dirk Haubrich, Leiter der Abteilung Zahlungsverkehr und Verbraucher bei der EBA beklagt, dass trotz starker Kundenauthentifizierung und anderer Sicherheitsanforderungen, der Betrug immer noch hoch sei, er müsse weiter reduziert werden: "Wir fordern vom Gesetzgeber, diese Anforderungen an eine starke Kundenauthentifizierung noch sicherer zu machen, als sie es derzeit sind."

Bank-Zugangsdatenklau mithilfe von Künstlicher Intelligenz

Die Angriffe der Betrüger erfolgen mithilfe von Künstlicher Intelligenz. Damit werben kriminelle Anbieter im Dark Web, zeigt Sergey Shykevich von der IT-Sicherheitsfirma Fa. Checkpoint Software in Tel Aviv BR-Reportern: "Dieser Anbieter sagt: ungefähr 70 Prozent der gefährlichen E-Mails umgehen Spamfilter. Sie landen im Posteingang des Opfers. Das ist die Macht der KI-Tools."

Laut eines der zahlreichen Angebote landen 40.000 Spam-E-Mails für 750 Dollar in den Posteingängen der Opfer. "Das ist billig und man muss kein großer Spezialist sein! Man braucht nur ein Startkapital und kann loslegen", so Sheykevich.

Crime as a Service – Betrug als Dienstleistung

Fachleute nennen diese Art von krimineller Dienstleistung "Malware-as-a-Service" (MaaS). Das Bundeskriminalamt (BKA) sieht das Phänomen MaaS "grundsätzlich als potenzielle Problematik, die insbesondere vor dem Hintergrund des Einsatzes von Künstlicher Intelligenz künftig an Bedeutung gewinnen könnte", sagt eine Sprecherin des BKA BR24. 

MaaS ermögliche den Zugang zu spezialisierter Malware für einen größeren, programmiertechnisch nicht unbedingt versierten Täterkreis: "Dies führt in der Regel zu einer stärkeren Verbreitung und damit einhergehend zu höheren Fallzahlen", so das BKA. Ende Oktober war das BKA im Rahmen seiner Zentralstellenfunktion unterstützend an der Operation Magnus beteiligt. FBI und andere Ermittler aus weiteren Ländern haben das kriminelle Malware-Netzwerk "Infostealer Redline" zerschlagen.

Damit war Malware weltweit an Millionen Opfer verteilt worden. Auch Bankzugangsdaten von Kunden in Deutschland waren abgegriffen worden. Um diese besser zu schützen, fordert Dirk Haubrich von der EBA, "dass alle Zahlungsdienstleister in der EU ein Betrugs-Risikomanagement entwickeln müssen, um Betrug schon frühzeitig zu erkennen, bevor er passiert."

Das ist die Europäische Perspektive bei BR24.

"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!