Bei Julia S. ging alles ganz schnell. Kürzlich erhielt sie einen Anruf auf dem Smartphone, berichtet sie. Auf dem Display erschien die Telefonnummer der Sparkasse Bremen. Ein freundlicher Mann habe ihr erklärt, man benötige von ihr nach einer Systemaktualisierung eine Bestätigung per TAN-App. Die gab sie dem Mann am Telefon – wenige Minuten später waren per Blitzüberweisung 6000 Euro von ihrem Konto abgebucht. Julia S. ist auf sogenanntes Phishing (sinngemäß: Abfischen) reingefallen. Mit einem Anruf bei der Sparkasse kurze Zeit später erkannte sie den Betrug.
Täuschend echte E-Mails
Solche Phishing-Taten wie bei Julia S. passieren täglich. Bei denjenigen, die ihr Konto per Online-Banking verwalten, versuchen Betrüger per E-Mail, Telefon oder per SMS oder Whatsapp-Nachricht die Zugangsdaten zum Konto zu ergaunern. Als Trick dient dazu eine täuschend echte E-Mail oder Internetseite. Dies scheint auch im Falle von Julia S. so gewesen zu sein. Auf ihrem Smartphone hat sie eine App für das Online-Banking und eine TAN-App, um die Aufträge freizugeben. Sie erinnert sich: „Vor drei Monaten erhielt ich über diese Online-App die Aufforderung, meine Daten zu aktualisieren.“ Sie ist sich sicher, dass es keine externe Nachricht per Mail oder Whatsapp war.
Laut Bankenverband nutzen 56 Prozent aller Kunden ihr Konto online. Der Branchenverband Bitkom errechnete den durch Cyberkriminalität entstandenen Schaden in Deutschland auf mehr als 223 Milliarden Euro. Phishing ist nur ein Teil der Straftaten.
Momentan sind vor allem Sparkassen-Kunden von einer anderen Phishing-Masche betroffen. Das NDR-Magazin „Markt“ berichtet, wie Täter so 40.000 Euro erbeuteten. Innerhalb weniger Tage erfolgten bundesweit 115 Transaktionen über den Bezahldienst Apple Pay. Dort wie auch bei Google Pay können Kunden die Daten ihrer Girocard und Kreditkarte hinterlegen und zahlen im Geschäft kontaktlos per Smartphone.
Im ersten Schritt erschleichen sich die Täter über eine fingierte Mail die Online-Zugangsdaten. Danach erhalten die Kontobesitzer einen Anruf oder eine Textnachricht, mit der sie dazu gebracht werden sollen, eine scheinbar risikolose Freigabe in ihrer Banking-App zu geben – ähnlich wie im Fall von Julia S.
Mit der TAN ist Apple Pay aktiviert. Eine ganze Reihe von Sparkassen verlangen bei den Zahlungssystemen keine sogenannte Zwei-Faktor-Authentifizierung: Die Täter kommen per Smartphone ans Konto, ohne dies mit einem weiteren Faktor zu bestätigen. Fachanwalt Ulrich Schulte am Hülse kritisierte in der „Markt“-Sendung, dass einige Sparkassen lediglich Kontonummer und Passwort verlangen, um ans Onlinekonto zu gelangen. Eine sogenannte starke Kundenauthentifizierung sei nicht vorgesehen. Im NDR-Fall schlug das System der Sparkasse auch nach unzähligen Zahlungen bei immer derselben Tankstelle keinen Alarm.
"Echtzeitüberweisung heißt Echtzeit"
Apple Pay oder Google Pay ist bei der Sparkasse Bremen nur über eine Zwei-Faktor-Authentifizierung möglich. „Der Kunde oder die Kundin muss die Karte zusätzlich über die Push-TAN-App freischalten“, erläutert Sprecherin Nicola Oppermann. Was die Blitzüberweisungen angeht, sagt sie: „Echtzeitüberweisung heißt Echtzeit, da das Geld sofort das Konto verlässt. Aber dennoch kann eine schnelle Reaktion helfen, mit einem Anruf doch erfolgreich zu sein. Man sollte nichts unversucht lassen.“ Die Sparkasse selbst verfüge über interne Präventionssysteme, die aber nicht alles erfassen könnten. Denn die Betrüger würden versuchen, die Systeme zu umgehen, indem sie den üblichen Zahlungsverkehr der Kundschaft nachahmen.
Julia S. hat sich inzwischen einen Anwalt genommen, weil sie als Kundin enttäuscht ist: „Die Sparkasse zeigt leider nur sehr wenig Interesse an diesem Vorfall.“ Als sie bei der Sparkasse anrief, habe ihr Gesprächspartner im Callcenter nicht so recht mit der Situation umgehen können, sagt die Geschädigte. Auch das spätere Gespräch mit ihrem Sparkassen-Berater in der Filiale verlief nicht zur Zufriedenheit von Julia S.: „Er erschien mir gelangweilt und uninformiert.“ Die Polizei dagegen habe sich bei Aufnahme der Anzeige viel Zeit genommen. Sparkassen-Sprecherin Nicole Oppermann bedauert, wenn der Kollege beim ersten Anruf womöglich nicht so versiert im Umgang mit diesem Problem gewesen sei. Alle Beschäftigten bei der Sparkasse Bremen seien für das Thema sensibilisiert.
