Online-Banking gehackt: Das sollten Sie jetzt tun

Fast alles kann heute bequem von zu Hause aus am Rechner erledigt werden – auch Bankgeschäfte. Doch das praktische Online-Banking eröffnet zugleich Möglichkeiten für Kriminelle. Schäden, die durch diese Art von Internet-Betrug entstehen, gehen jährlich in die zweistellige Millionenhöhe. Wir zeigen Ihnen, was Sie als Online-Banking-Nutzer beachten müssen, um nicht selbst Opfer von Hackern zu werden, und informieren Sie über alles, was Sie für den Ernstfall wissen müssen.

Cyberkriminalität und Online-Banking

Während in der Vergangenheit jegliche Bankgeschäfte ausschließlich in den Filialen der jeweiligen Bank oder Sparkasse erledigt werden konnten, gibt es heute die Möglichkeit des Online-Bankings. Mehr als jeder zweite Deutsche tätigt Überweisungen mittlerweile bequem von zu Hause aus oder sogar unterwegs mit dem Smartphone. Wer Online-Banking nutzt, ist auf keine Öffnungszeiten, verfügbare Filialen oder Ansprechpartner mehr angewiesen. Sämtliche Bankgeschäfte können zu jeder Tages- und Nachtzeit von überall aus erledigt werden.

Doch diese nützliche Entwicklung hat nicht nur Vorteile: Sie eröffnet Kriminellen neue Wege des Diebstahls. Gewissenlos und oft sogar ohne großen Aufwand gelangen Betrüger an die sensiblen Daten der Online-Banking-Nutzer und räumen Konten leer. Wenn die Nutzer schließlich bemerken, dass Überweisungen getätigt wurden, für die sie gar keinen Auftrag erteilt haben, ist es oft schon zu spät. Die Zahlung kann nicht mehr rückgängig gemacht werden. Manche Internet-Betrüger leiten nach einem erfolgreichen Hacking auch Überweisungen um: Der Kunde erteilt in diesen Fällen also zwar einen Überweisungsauftrag, jedoch kommt das Geld am Ende nicht bei dem gewollten Empfänger an, sondern wird einem anderen Konto gutgeschrieben. Auch diese Taten werden häufig viel zu spät bemerkt, als dass Betroffene noch etwas dagegen tun könnten.

Wie funktioniert der Betrug beim Online-Banking?

Mit dem technischen Fortschritt werden auch die Täter beim Internet-Betrug immer kreativer und gerissener. Besonders weit verbreitet sind in Bezug auf das Online-Banking die Methoden des Phishings und des Pharmings. Wie diese funktionieren, stellen wir Ihnen im Folgenden vor.

Phishing

Viele Nutzer von Online-Banking sind schon mal Opfer eines Phishing-Versuchs geworden. Die Täter gehen dabei so vor: Sie schicken eine täuschend echt aussehende E-Mail. Diese suggeriert Seriosität, da sie wirkt, als hätte das Bankinstitut sie direkt versendet. Inhalt und Aufmachung der E-Mails sowie auch der genutzte Sprachstil sind an „echte“ E-Mails der Banken angepasst. Der Empfänger wird in der Regel aufgefordert, einen Link anzuklicken, über welchen er auf eine Seite geleitet wird, die ebenfalls nahezu identisch mit einer „echten“ Bank-Website ist.  Hier wird unter einem Vorwand verlangt, dass der Nutzer seine Kontodaten, Mobilfunknummern, PINs oder TANs eingibt. Als Gründe werden beispielsweise technische Probleme, Updates oder Systemumstellungen angegeben.

Nachdem das Phishing-Opfer seine vertraulichen Daten eingegeben und abgeschickt hat, dauert es oft nur wenige Minuten, bis zunächst das Passwort des Online-Banking-Accounts geändert und im Anschluss das Konto leergeräumt wird. Betroffene haben daher oft nicht einmal dann, wenn sie den Betrug zeitnah bemerken, genug Zeit, um das Konto bei der Bank sperren zu lassen. Wer eine Phishing-E-Mail zugesendet bekommt, sollte daher bereits im Vorfeld äußerst vorsichtig sein: Gibt es geringfügige Änderungen, beispielsweise im Absendernamen, beim Banken-Logo oder bei der Web-Adresse? Hat die Bank im Vorfeld schriftlich über die Notwendigkeit der Dateneingabe informiert? Benachrichtigungen, laut welchen man aufgefordert wird, sensible Daten einzugeben, sollten immer mit äußerster Skepsis betrachtet werden. Im Zweifel sollten Opfer dieser Art von Betrugsversuch die E-Mails gleich ungesehen löschen. Die Bank wird auf anderem Wege auf Sie zukommen, sofern es tatsächlich ein Problem gibt.

Pharming

Das Pharming ist eine weiterentwickelte Form des Phishings und sehr schwer zu erkennen. Hierbei werden Anfragen an das Domain-Name-System (DNS) manipuliert. Das bedeutet, dass der Nutzer gar nicht auf einen Link klicken muss – er wird stattdessen direkt während der Eingabe einer Web-Adresse auf eine andere, gefälschte Seite geführt. Da dies oft nicht bemerkt wird, geben die Opfer dort ihre Daten ein, welche anschließend direkt beim Internet-Betrüger landen. Beim Pharming wird also nicht versucht, das Opfer gezielt auf die entsprechende Seite zu locken. Vielmehr handelt es sich um einen dauerhaften Betrug, da die Umleitung auf die gefälschte Website über einen längeren Zeitraum bestehen bleibt.

Gegen Pharming können Nutzer sich nicht leicht schützen, sie geben im Browser schließlich die richtige Web-Adresse ein und können die Umleitung nur schwer erkennen. Zudem ist vielen diese Art des Betrugs nicht bekannt, sodass sie möglichen Veränderungen in der Adress-Zeile keine Aufmerksamkeit schenken. Es ist jedoch wichtig, zu wissen, dass sämtliche Banken beim Online-Banking mit „https//:“ beginnende Seitennamen benutzen. Sieht die eingegebene Adresse plötzlich anders aus, sollte man misstrauisch werden und zum eigenen Schutz besser keine vertraulichen Daten eingeben. Zudem helfen Antivirenprogramme und eine sichere Firewall, ungewollte Umleitungen im Sinne des Pharmings zu erschweren.

Wie kann ich mich vor Online-Betrug schützen?

Absoluten Schutz gibt es im Internet nicht. Jedoch wird Hackern ein Angriff erschwert, wenn von Ihnen als Nutzer einige Maßnahmen ergriffen werden. Dazu gehören die Installation einer anerkannten Anti-Virus-Software und einer Firewall, welche den Internet-Anschluss schützt. Das Anti-Virus-Programm sollte regelmäßig aktualisiert werden. Außerdem gilt: Öffnen Sie niemals einen E-Mail-Anhang von einem unbekannten Absender, oder wenn Ihnen ein solcher unerwartet zugesendet wird! Gleiches sollten Sie in Bezug auf Links beachten, welche Ihnen via E-Mail oder in einem Chat zugeschickt werden. Klicken Sie diese niemals an, wenn Sie nicht absolut sicher sein können, von wem sie stammen und auf welche Seite sie Sie führen.

Darüber hinaus sollten Sie in keinem Fall Passwörter benutzen, welche zu kurz oder aber leicht zu erraten sind. Ihr eigener Name, der eines Familienangehörigen, des Partners, Ihres Lieblingskünstlers oder des Haustieres sind ebenso tabu, wie Geburtsdaten, Postleitzahlen und Telefonnummern. Es versteht sich von selbst, dass auch Zahlenfolgen wie "0000", "1234" oder "0815" als Passwort absolut ungeeignet sind. Es empfiehlt sich, stattdessen eine längere, willkürlich scheinende Folge von Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen zu wählen, welche Sie sich über eine persönliche Eselsbrücke merken können. Bitte vermerken Sie diese niemals elektronisch und verwenden Sie nicht für jeden Online-Zugang dasselbe Passwort!

Mein Online-Banking wurde gehackt – Welche Rechte habe ich?

Wenn Ihr Online-Banking gehackt und das Konto leergeräumt wurde, steht sicherlich zunächst die Frage im Vordergrund, ob Sie Ihr Geld zurückbekommen können. Grundsätzlich lässt sich diese Frage positiv beantworten. Rechtlich stehen hierbei zwei Wege zur Verfügung:

Juristisches Vorgehen gegen den Täter

Wer als Hacker Bankkonten plündert, macht sich nicht nur strafbar. Es entstehen auch zivilrechtliche Ansprüche auf Seiten des Online-Banking-Nutzers. Auf deren Grundlage kann das gestohlene Geld zurückverlangt werden. Dies klingt in der Theorie selbsterklärend und einfach, ist in der Praxis jedoch nahezu unmöglich umzusetzen. Die Täter verschleiern gekonnt ihre Identitäten. In fast allen Fällen können sie niemals gestellt werden. Häufig schalten sie auch Mittelsmänner – sogenannte Finanzkuriere – ein. Das Geld wird dann auf ein inländisches Konto überwiesen. Bei den Kontoinhabern, den Finanzkurieren, handelt es sich oft um Menschen, die Geldsorgen haben und über ein vielversprechendes Jobangebot geködert wurden. Gegen eine Provision leiten sie das Geld, welches nach dem erfolgreichen Hacking-Angriff auf ihrem Konto landet, an die tatsächlichen Täter weiter. Diese wiederum haben in der Regel ausländische Konten: Die Identifizierung des Täters ist ebenso unmöglich wie die Rückabwicklung des Geldtransfers.

Die Bank in die Verantwortung ziehen

Da das Vorgehen gegen die wahren Täter in der Praxis nur schwer oder gar nicht möglich ist, hat der Gesetzgeber zum Schutz der Verbraucher eine weitere Möglichkeit eingerichtet: In den §§ 675 ff. Bürgerliches Gesetzbuch (BGB) ist geregelt, dass Betroffene nach einem finanziellen Schaden durch ein gehacktes Online-Banking auch gegen die Bank vorgehen können. Diese haftet für Geldtransfers, die nicht vom Kunden autorisiert und selbstständig getätigt wurden. Das Geldinstitut ist also in der Pflicht, das geplünderte Konto wieder auszugleichen und das ursprüngliche Guthaben wiederherzustellen.

Beispiel aus der Praxis

Bank muss finanziellen Schaden nach Phishing ausgleichen

Am 15. Januar 2016 entschied das Landgericht Oldenburg über folgenden Fall (Az. 8 O 1454/15): Der klagende Kunde nutzte das Online-Banking-Angebot seiner Bank aus Lohne. Hierbei handelte es sich um ein mTAN-Verfahren, bei welchem dem Nutzer die jeweilige TAN zu einem Überweisungsauftrag als SMS zugesendet wird. Das bedeutet, dass nur derjenige, der im Besitz des Mobiltelefons ist, an die TAN gelangt und den Zahlungsauftrag am PC autorisieren kann. Das Verfahren folgt dem Prinzip „Wissen und Besitz“: Eine Überweisung kann nur von demjenigen getätigt werden, der über das Gerät verfügt und zugleich die Zugangsdaten kennt – also dem Bank-Kunden. Trotz dieses vergleichsweise sicheren Verfahrens wurde der Kläger Opfer einer Phishing-Attacke. Es wurden schließlich innerhalb von fünf Tagen 44 unberechtigte Überweisungen durchgeführt. Der Gesamtschaden betrug über 11.000 Euro. Die Bank weigerte sich, den Verlust ihres Kunden auszugleichen. Sie erklärte, der Kunde habe mit dem Download unsicherer Apps grob fahrlässig gehandelt. Er hätte den Hacker-Angriff dabei vorhersehen können.

Das Gericht gab dieser Begründung nicht statt. Vielmehr betonte es, die Beweislast läge nicht beim Kunden, sondern bei der Bank. Diese müsse beweisen, dass die Überweisungsaufträge von dem Kläger autorisiert gewesen seien, und nicht der Bankkunde, dass er Opfer eines Phishing-Angriffes geworden sei. Das Geldinstitut musste den entstandenen Schaden in voller Höhe ausgleichen.

 

Das sind Ihre Pflichten, wenn Ihr Online-Banking gehackt wurde

Nicht nur die Banken und Sparkassen sind verpflichtet, die Konten der Kunden gegen Hacking-Angriffe zu schützen. Auch die Kunden selbst müssen bestimmte Sicherheitsvorkehrungen beachten. Verhalten sie sich grob fahrlässig und ermöglichen dadurch das Hacking des Kontos, hat die Bank ihrerseits einen Schadensersatzanspruch gegen Sie und wird Ihr Konto gar nicht oder nicht vollständig ausgleichen. Um finanziellen Schaden bereits im Vorfeld zu vermeiden, sollten Aufforderungen zur Dateneingabe immer mit größtem Misstrauen begegnet werden. Sehen Sie sich die entsprechende Seite genau an und setzen sich gegebenenfalls telefonisch mit Ihrer Bank in Verbindung, bevor Sie sensible Daten eingeben. In vielen Fällen geben die Geldinstitute auch Warnungen hinsichtlich aktueller „Betrugsmaschen“ heraus. Wer dennoch auf einen Phishing-Versuch hereinfällt, hat später keinen gesicherten Anspruch auf einen Kontoausgleich.

Wichtig ist darüber hinaus ein guter und aktueller Virenschutz. Dieser erschwert Hackern den Zugriff erheblich. Außerdem sollten Zugangsdaten, PINs und TANs niemals auf dem Rechner gespeichert werden und unter keinen Umständen elektronisch, beispielsweise in einer E-Mail, versendet werden! Nutzen Sie immer nur eine TAN und tätigen Sie Überweisungen von zwei Geräten: Das bedeutet, dass das Gerät, mit welchem Sie Ihr Online-Banking nutzen, nicht das Gerät sein darf, mit welchem Sie die TANs empfangen. Erhalten Sie diese über Ihr Smartphone, ist es also wichtig, nicht mit diesem Smartphone auch den Überweisungsauftrag auszuführen. Nutzen Sie hierfür Ihren PC oder Laptop. Dies macht das Online-Banking sicherer, weil Täter nicht nur eines, sondern zwei Geräte hacken müssen, um an Ihr Geld zu kommen.

Grundsätzlich gilt zudem: Passen Sie auf, dass Ihnen bei der Dateneingabe niemand über die Schulter sieht. Nutzen Sie Ihr Online-Banking am besten von zu Hause aus, wenn Sie allein sind. Öffentliche Computer eignen sich nicht für Internet-Bank-Geschäfte, da sie deutlich einfacher auszuspionieren sind und Tätern den Zugriff auf Ihre sensiblen Daten erleichtern.