Neue Hoffnung für betrogene Bankkunden
04.01.2022
Foto: © vinnstock - stock.adobe.com
Die Bedrohung durch Cyberkriminelle nimmt seit Jahren zu. Auch das Jahr 2021 bildet dabei keine Ausnahme. Im Gegenteil, die Umstellung auf Homeschooling und Homeoffice bietet Kriminellen weitere Angriffsmöglichkeiten.
Nach Einschätzung des BKA ist die Zahl der Straftaten im Zusammenhang mit Cybercrime im vergangenen Jahr um weitere 7,9 % auf inzwischen 108.000 Taten gestiegen. Auch in diesem Jahr ist davon auszugehen, dass die Zahl der Taten die des Vorjahres nochmals übersteigt. Um diesen Trend zu stoppen oder zumindest Betrug zu erschweren, greifen viele Online-Dienstleister auf eine sogenannte Zwei-Faktor-Authentisierung zurück. Doch was passiert, wenn das eigentliche Sicherheitssystem zur Gefahr wird und an wen kann sich das Opfer solcher Cyberattacken mit seinen Regressansprüchen wenden?
Der nachfolgende Artikel befasst sich mit diesen Fragen und legt dabei ein besonderes Augenmerk auf den Bereich Onlinebanking.
Was ist eine Zwei-Faktor-Authentisierung?
Die Zwei-Faktor-Authentisierung (2FA), teilweise auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels einer Kombination zweier unterschiedlicher und unabhängiger Komponenten (Faktoren). Im Alltag begegnet uns diese Form des Identitätsnachweises beispielsweise bei der Bankkarte und PIN am Geldautomaten, Chipkarte und Zugangscode in Gebäuden oder bei der Passphrase und Transaktionsnummer (TAN) beim Onlinebanking. Das deutsche Bundesamt für Sicherheit in der Informationstechnik empfiehlt, die Zwei-Faktor-Authentisierung für möglichst viele webbasierte Dienste bzw. Online-Portale zu nutzen. Hintergrund ist, dass viele Nutzer häufig zu schwache Passwörter verwenden. In vielen Fällen werden diese Passwörter zusätzlich für verschiedene Benutzerkonten verwendet, was Cyberkriminellen den Zugriff auf viele verschiedene Konten des Nutzers ermöglicht und dementsprechend hohe Schäden verursachen kann. Um Cyberkriminalität zumindest zu erschweren und Nutzer bestmöglich online zu schützen, wurde mit der EU- Zahlungsdienstrichtlinie aus dem Jahr 2018 die Zwei-Faktor-Authentisierung für das Bankwesen im Europäischen Wirtschaftsraum verpflichtend beschlossen. Die Richtlinie mit dem Namen „Payment Services Directive 2“ (PSD2) trat am 14. September 2019 in Kraft. Seit diesem Datum ist die Nutzung von Onlinebanking nur noch im Wege einer Zwei-Faktor-Authentisierung möglich. Konkret wurde dies durch die meisten Banken im Wege einer weiteren App – neben der eigentlichen Banking-App – umgesetzt. Für eine Überweisung benötigt der Kunde also nicht mehr allein seine Kontonummer und PIN, sondern auch einen von der zweiten App generierte TAN.
Welche Gefahren lauern hinter dem vermeintlichen Schutzmechanismus?
Man mag meinen, dass durch die zusätzliche Sicherheitsstufe ein vollumfänglicher Schutzmechanismus geschaffen wurde und Betrug hauptsächlich außerhalb dieses Mechanismus stattfindet. Doch ist es Cyberkriminellen inzwischen gelungen, auch diese zusätzliche Sicherheitsfunktion für ihre Zwecke zu missbrauchen. Dabei häufen sich solche Fälle, bei welchen ahnungslosen Kunden über die Sicherheits-App sogenannte Phishing-Mails übermittelt wurden. Zuvor hatten vermeintliche Bankmitarbeiter die Kunden über eine angeblich nicht autorisierte Überweisung informiert. Nachdem der Kunde bestätigte, dass es sich um keine von ihm angewiesene Zahlung handelt, versicherte der vermeintliche Bankmitarbeiter, dass aus Sicherheitsgründen zunächst das Onlinebanking gesperrt werde. Um das gesperrte Konto wieder zu aktivieren, wurden die Bankkunden aufgefordert, dem Link, welcher über die Sicherheits-App übermittelt wurde, zu folgen. Bei diesen Nachrichten handelte es sich jedoch um klassische Phishing-Mails, mit der Absicht sensible Daten des Bankkunden zu erlangen. Mittels der hierdurch erhaltenen Daten ist es für Kriminelle ein Leichtes, Zahlungen auf ihr eigenes Konto zu veranlassen.
Weiter auf Seite 2