Der virtuelle Banküberfall

September 2017 | Wirtschaftswoche | Risikomanagement

Der virtuelle Banküberfall

Wenn es um Geld geht, ist das Internet kein besonders sicherer Ort. Wie kann man sich vor Cyberkriminellen schützen?

Illustration: Mario Parra
Eike Schulze / Redaktion

Dass das digitale Geldmanagement viele Vorteile hat, ist unbestritten. Papierlose und zeitnahe Transaktionen von jedem Ort der Erde aus –das ist die eine Seite des Onlinebankings. Es gibt aber auch die dunkle Seite: Cybercrime. Das Bundeskriminalamt (BKA) sieht in diesem Bereich stark wachsende Gefahren. 2015 bezifferte es den Gesamtschaden auf rund 36 Milliarden Euro. Doch wie lassen sich die hohen Schadensummen erklären, wo doch eigentlich Verbraucher wie auch Unternehmen durch Medien gewarnt sind?

Die offiziellen Daten des BKA geben nur die zur Anzeige gebrachten Fälle wieder. Die tatsächliche Zahl der Fälle von Cyberkriminalität dürfte also noch viel höher sein. Besonders eine Straftat hat nach wie vor bei unbedachten Kunden Erfolg: Phishing von Bankdaten. Die Rechtsprechung hat inzwischen auf dieses Phänomen reagiert und Nutzer vom Onlinebanking stärker in die Pflicht genommen. Bei Phishing-Attacken oder Ähnlichem droht zumindest ein Mitverschulden. So urteilte das Amtsgericht Köln bereits 2013, dass ein Verschulden des Onlinekunden vorlag, als eine nicht wegzuklickende Pop-up-Seite während des Onlinebanking erschien. Er hätte in jedem Fall Rücksprache mit der Bank halten müssen, um das weitere Vorgehen zu klären. So wurde ihm die Mitschuld bei dieser erfolgreichen Phishing-Attacke gegeben.

Auch das Landgericht Hannover nahm die Bank durch ein Urteil aus dem Jahr 2016 aus der Haftung. Auch hier öffnete sich ein Pop-up-Fenster, und der Kunde trug nach Aufforderung sämtliche TANs ein. Gerichte gehen heute davon aus, dass Onlinebanking-Kunden, egal ob privat oder beruflich, immer ein Fehlverhalten angelastet wird, wenn aktiv Bankdaten ohne Rücksprache mit der Bank abgefragt werden, obwohl Erfahrungen mit dem Onlinebanking vorlagen. In der Regel gilt bei Mitverschulden immer, dass die Bank die Fehlbuchung um 150 Euro kürzen kann, wenn Fahrlässigkeit die Folge war. Bei grober Fahrlässigkeit geht der Kunde sogar leer aus. Dies ist gerade bei Unternehmen von großer Bedeutung, da dort die erbeuteten Summen im Vergleich zu Privatkunden meist deutlich höher sind. Eine entsprechende Schulung der betreffenden Mitarbeiter ist erforderlich, die insbesondere darauf abzielt, dass Betrugsversuche unmittelbar erkannt werden können.

Das Entscheidende – unabhängig vom eingesetzten TAN-Verfahren – sind immer die Vorgaben durch die Bank. Wenn das Handeln von den Vorgaben abweicht, besteht immer die Gefahr, dass dies als Fahrlässigkeit gewertet wird. Aber vielfach haben auch in den Chefetagen Bequemlichkeit und Unachtsamkeit Einzug gehalten. So wird das Smartphone als Alleskönner eingesetzt, nicht nur zur Kommunikation, sondern auch zum Speichern von Bankdaten. Doch der elektronische Ganymed hat so seine Tücken. Meistens ist das Smartphone nicht so gut geschützt wie das IT-System im Unternehmen. Dies wissen gewiefte Hacker zu nutzen. Wer dann noch vom Handy aus seine Bankgeschäfte erledigt, braucht schon gute Nerven oder einen guten WLAN-Schutz, ähnlich wie im Unternehmen.

Da gerade das Smartphone zur Kommunikation genutzt wird und die Nummer im Umlauf ist, haben Hacker hier einen guten Ansatzpunkt. Ausgenutzt wurden bislang Schwachstellen bei Telefonanbietern. So galt das mTAN-Verfahren als sehr sicher, bis Hacker ein Leck im so genannten  Signalisierungssystem Nummer 7 (SS7) ausnutzten. Über SS7 wird die SIM-Karte im Ausland verifiziert. Waren den Kriminellen die Bankdaten in die Hände gefallen, war es ihnen über das Leck auch möglich, mTAN-Daten abzufragen. Unter anderem deshalb sollten zu Bankgeschäften besser Computer genutzt werden. Aber auch hier gilt: Falls der Computer im Homeoffice genutzt wird, sollten ein zuverlässiger Virenschutz und eine Firewall vorhanden sein. Ist der Schutz auf dem gleichen Niveau wie im Unternehmen, so spricht nichts dagegen, Transaktionen auch von zu Hause aus durchzuführen.

Ist der Ernstfall eingetreten, gilt es schnell zu handeln. Kontosperre ist der erste Schritt. Im zweiten Schritt sollte die sofortige Rückforderung des Geldbetrages durchgeführt werden. Ist noch keine Gutschrift auf dem anderen Konto erfolgt, so ist dies problemlos möglich. Schwierig wird es bei Konten im Ausland. Hier ist natürlich auch ein Widerruf möglich –  solange das Geld nicht überwiesen ist, kann dieser auch erfolgreich durchgeführt werden. Allerdings kostet ein Widerruf, falls die Überweisung durch die Hausbank erfolgt, auch Gebühren. Bei kleinen Überweisungen lohnt sich dieser Vorgang daher nicht. Ist man sich sicher, dass Betrüger am Werke waren, ist die Aussicht, an das Geld zu kommen, je nach Land, gering bis ganz gering. In jedem Fall sollten zügig die Transaktionen geprüft und der Fall bei der Polizei zur Anzeige gebracht werden, egal ob man Aussicht hat, wieder an das Geld zu gelangen oder nicht.

Die wichtigsten Faktoren, um nicht von Cybergaunern überrumpelt zu werden, sind die Technik und die Information der Mitarbeiter. Ein aktueller Virenschutz kombiniert mit einer entsprechenden Firewall und im besten Fall an den eignen Bedürfnissen konfigurierte Betriebssysteme sind die Basis, um vor der feindlichen Übernahme der eigenen Bankdaten geschützt zu sein. Wenn mehrerer Mitarbeiter für das Onlinebanking zuständig sind, sollte zudem noch eine entsprechende Einweisung ins Onlinebanking der Firma mit der Sensibilisierung gegenüber Cyberrisiken durchgeführt werden. Auch sollte ein System vorhanden sein, das Banktransaktionen automatisch protokolliert.

Eine andere Möglichkeit, um sich gegen Schäden durch Cyberkriminalität zu wappnen, bieten Versicherungen an. Dabei reicht die Spannbreite vom kleinen Handwerksbetrieb bis zum Mittelständler mit einem Umsatz von bis zu 100 Millionen Euro. Abgesichert sind bei diesen Policen Schäden, die im Unternehmen passieren, aber teilweise auch Schäden, die beispielsweise durch die Verbreitung schädlicher Anhänge ausgelöst werden und für die das Unternehmen von Dritten haftbar gemacht wird. Der Abschluss eines solchen Versicherungsschutzes ist einzeln oder als Anhang zur Betriebshaftpflicht möglich.