VOLLTEXTSUCHE
Pressearchiv
ilex Rechtsanwälte
Pressemitteilung

Kriminalität im Internet: Abfischen (Phishing) von (Konto-) Zugangsdaten

(PM) , 08.04.2008 - Heute scheinen die Zeiten vorbei zu sein, als das Gaunertum noch als ein Monopol von umherstreichenden Landstreichergruppen galt, wie sie etwa im dem posthum erschienenen Werk „Geschichte des Verbrechens“ des berühmten Juristen Gustav Radbruch (1878-1949) in einem eigenen Kapitel beschrieben wird. Der Kriminelle von heute macht sich nicht mehr die Finger schmutzig, sondern allenfalls die Tasten an der Tastatur seines Computers. Heute haben Kriminalitätsformen Konjunktur, da bekommen sich Täter und Opfer dank der Anonymität des Internets nicht mehr zwingend zu Gesicht und der Täter setzt gezielt die Möglichkeiten von Massenkommunikationsmitteln ein. Interessant ist jedoch, dass diese Kriminalitätsformen im Bereich des Internets stets wie neue Wellen daherkommen und sich nach einer gewissen Zeit der Sensibilisierung beim Publikum ähnlich einer Raupe immer wieder neu verpuppen und in leicht abgewandelter oder modifizierter Form wieder neu hervorbrechen. Dahinter steckt das zeitlos gültige Phänomen, dass Kriminalität sich stets andere Erscheinungsformen sucht.

Wie alles begann: Nigeria-Connection
Viele erfahrene Internetnutzer erinnern sich noch an die ominösen e-Mails der sogenannten „Nigeria-Connection“, die ab den 1990iger Jahren als Kriminalitätswelle auch Deutschland erreicht hat und den Empfängern der e-Mails große Summen Geldes (Provisionen) versprach, wenn sie vermeintlichen afrikanischen Geschäftsleuten behilflich seien, riesige Dollarbeträge außer Landes zu schaffen. Zur „Geschäftsabwicklung“ wurde dann von den unbekannten E-Mail-Absendern ein kleiner Vorschuss erbeten und sobald der eingezahlt war, hörte man nie wieder etwas von den Absendern. Die Geschichten, die in diesen e-Mails erzählt wurden, waren nicht nur stets abenteuerlich, sondern auch in einem radebrechenden deutsch verfasst. Wohl aus diesem Grund dienen die e-Mails der „Nigeria-Connection“ heute im wesentlichen zur Erheiterung der Leserschaft in diversen Internet-Foren.

Klassische Form des Abfischens von Bankzugangsdaten
Doch die Internet-Kriminalität beschränkt sich schon lange nicht mehr auf die Fälle, die eher gewollt, aber nicht als gekonnt einzustufen sind. Unter „Abfangen“ von Kontozugangsdaten versteht man die vielfältigen Versuche, an die Passwörter und Zugangsdaten für das Online-Banking zu gelangen, um auf diese Weise das Bankkonto eines Internetnutzers leerzuräumen. Im englischen wurde für dieses Phänomen ein eigener Begriff geschaffen: „Phishing“, ein Wortspiel, welches sich aus „password“ und „fishing“ zusammensetzt (Passwörter fischen). In der klassischen Variante, die inzwischen bereits veraltet ist, werden Bankkunden auf eine vertrauenswürdige Internetseite gelockt. Dazu werden Massen-e-Mails mit einem gefälschten Absender der eigenen Hausbank generiert und in ihnen ein Link eingebaut, der auf eine ebenfalls gefälschte und präparierte Internetseite verweist. Der Inhalt dieser Massen-e-Mails unterscheidet sich im Tenor nur unwesentlich: „Sehr geehrter Herr XY, aufgrund von aktuellen Sicherheitsproblemen bitten wir Sie, sich in das Online-System Ihrer Hausbank einzuloggen. Folgen Sie dazu einfach unserem Link unter (…)“. Fällt der Internetnutzer auf diesen Link herein, öffnet sich eine neue Seite, die rein äußerlich eine Kopie der Internetseite der eigenen Hausbank abbildet. Dort soll der Internetnutzer seine Zugangsdaten und möglichst auch eine oder gleich mehrere unverbrauchte TAN-Nummern preisgeben.
Ungewöhnlich ist jedoch, dass bereits auf der Startseite nach einer unverbrauchten TAN-Nummer gefragt wird. Im Anschluss wird dann das Konto des Bankkunden abgeräumt. Damit der Nutzer keinen Verdacht schöpft, ist der Betrüger darauf angewiesen Vertrauen zu schaffen. Dies geschieht mit Methoden, die sich zwar inhaltlich, aber nicht wesentlich von den Methoden eines Hauptmann von Köpenick aus dem vergangenen Jahrhundert unterscheiden.

Daten Ausspähen durch Vertrauen schaffen
Ausgerechnet am Amtsgericht Berlin-Neukölln, in dessen Gerichtsbezirk auch der historische Hauptmann von Köpenick lebte, verhandelten die Rechtsanwälte zuletzt im Oktober 2007 einen ihrer jüngsten Phishing-Fälle, über den gegenwärtig noch nicht abschließend entschieden ist. Während Kommunikations- und Sozialwissenschaftler für dieses Betrugs-Phänomen nach neuen Begrifflichkeiten suchen und von einem „social engineering“ reden, sprechen die Rechtsanwälte von „uraltem, aber gefährlichem Käse“, dessen Muster und Methoden man bereits aus Carl Zuckmayers Tragikomödie entnehmen kann. Der historische Friedrich Wilhelm Voigt, besser bekannt als Hauptmann von Köpenick, schuf im Kaiserreich des Jahres 1906 vertrauen, indem er sich eine Militäruniform anzog. Heute wird Vertrauen durch ein geradezu perfektes Design geschaffen. Die gefälschten e-Mails enthalten nicht nur das markengeschützte Logo der kontoführenden Bank und sind sprachlich in perfektem deutsch gehalten. Häufig weisen die e-Mails auch die Leitfarbe der jeweiligen Bank auf (rot für die Sparkasse, blau für die Deutsche Bank oder die Citibank etc.). Im Idealfall generiert der Computer in der Anredezeile sogar den Familiennamen des Empfängers. Eine persönliche Anrede in der Anredezeile der e-Mail schafft ebenfalls Vertrauen, weil sich die e-Mail damit schon inhaltlich von jeder typischen Spam-e-Mail qualitativ unterscheidet. Und so wundert es nicht, dass unter den derart geprellten fast alle Bevölkerungskreise zu finden sind, Akademiker wie Nichtakademiker.

Neuere Entwicklung
Die klassische Welle des Abfischens von Kontodaten mittels e-Mails und gefälschter Internetseiten ist inzwischen schon fast wieder vorüber, da die meisten Banken inzwischen mit neuen Sicherheitsmerkmalen im Online-Banking (i-TAN-Verfahren) reagiert haben und zumindest einige Banken den Betrügern durch technische Nachbesserung der Systeme neue technische Hürden entgegensetzen. Neue Gefährdungen, durch die selbst das moderne i-TAN-Verfahren wirkungslos ist, lauern dann, wenn der Täter es schafft, sich zwischen die Kommunikationspartner Bank und Kunde, etwa im Rahmen eines Rechennetzes einzuschalten. Dann kann der Täter die Kontrolle über den Datenverkehr nahezu übernehmen und durch diese Zwischenschaltung, dem Kunden das Vorhandensein seiner Bank als Kommunikationspartner vortäuschen. Auf diese Weise können ebenfalls Daten abgegriffen werden.
Wenn es auf diese Weise sogar möglich ist, das Konto von Geschädigten abzuräumen, die Online-Banking nutzen, ist dem Missbrauch in anderen Bereichen, die noch nicht einmal über die Sicherheitsmerkmale des Online-Banking verfügen, Tür und Tor geöffnet. Eine hochaktuelle Kriminalitätswelle besteht deshalb nicht bloß darin, Zugangsdaten im Online-Banking, sondern auch andere Zugangsdaten abzugreifen, etwa den Zugang zu Online-Versandhäusern, Internet-Auktionshäusern oder webbasierter Onlineberatung. Die meisten dieser Systeme bieten den Vorteil ihrer Anfälligkeit, weil sie häufig noch nicht einmal die Sicherheitsmerkmale eines i-TAN-Systems aufweisen, wie es im Online-Banking praktiziert wird. Auch ist es nicht erforderlich, den Betrogenen durch eine geschickt gestaltete e-Mail zur Preisgabe seiner Zugangsdaten zu bewegen. Das schaffen Trojaner, kleine Computerprogramme, die im Hintergrund agieren.

Wer haftet?
Die zivilrechtlichen Möglichkeiten der unmittelbaren Inanspruchnahme des oder der Täter scheitern in der Rechtspraxis häufig daran, dass es dem Opfer an Informationen fehlt. Regelmäßig dauert es Wochen bis der Geschädigte überhaupt erfährt, auf wessen Konto sein Geld geflossen ist. Ein weiteres praktisches Problem ergibt sich daraus, dass die Täter häufig „Strohmänner“ zwischenschalten, die nicht selten im Internet oder auf der Straße angesprochen und gefunden werden, manchmal ahnungslos sind oder so tun, noch häufiger aber vermögenslos. In diesem Fall verbleibt nur der Weg, eine Anspruchsgrundlage gegenüber dem Plattformbetreiber, sei es die kontoführende Bank oder das Internet-Auktionshaus rechtlich prüfen zu lassen. Erfolgsaussichten sind durchaus vorhanden, hängen aber stark vom Einzelfall ab; insbesondere davon, ob dem Plattformbetreiber eine Obliegenheitsverletzung anzulasten ist, etwa indem er ein technisch nicht ausgereiftes und veraltetes Sicherheitssystem angeboten hat. Natürlich spielt auch ein etwaiges Verschulden des Kunden im Umgang mit seinen Daten eine Rolle. Auch weisen die meisten Fälle des Abfischens sensibler Daten noch ein vergleichsweise junges Datum auf, so dass sich noch keine gefestigte Rechtsprechung der Obergerichte herausgebildet hat.
Erfolglos muss die Inanspruchnahme deshalb nicht sein; sie ist einzelfallabhängig. Auf Seiten der anwaltlichen Beratung sollte eine sehr genaue Kenntnisse von den Handlungsmöglichkeiten und vom Stand der Rechtsprechung vorhanden sein. Auch besitzt die kontoführende Bank, die fast immer über die Information verfügt, wohin das Geld vom abgeräumten Konto floss, durchaus eine rechtliche Handhabe, sich selbst an einem bloßen „Strohmann“ schadlos zu halten. Das Landgericht und das Oberlandesgericht der Freien und Hansestadt Hamburg haben einer Bank übereinstimmend einen Anspruch gegen denjenigen zugebilligt, auf dessen Konto ein Geldbetrag im Rahmen einer illegalen Geldtransaktion zugeflossen war, welches der derart Begünstigte wiederum an Dritte ausgekehrt hatte (LG Hamburg, Urt. v. 18.05.2006 – 334 O 10/06; OLG Hamburg, Beschl. v. 02.08.2006 – 1 U 75/06). Dabei sei es unerheblich, ob der „Strohmann“ von den illegalen Aktivitäten der Täter Kenntnis hatte oder nicht.

Feststellungen des Bundeskriminalamtes
Die Praxisrelevanz der Thematik “Abfangen von Kontozugangsdaten“ wurde erst jüngst vom Bundeskriminalamt in Wiesbaden bestätigt, welches im Rahmen seiner Jahrespressekonferenz am 28.03.2008 darauf hinwies, dass die in der Polizeilichen Kriminalstatistik (PKS) registrierten Fallzahlen bei sog. „Phishing-Straftaten“ im Jahre 2007 etwa 4.200 Fälle ausmachen; einer Steigerung um circa 20%. Die hierbei entstandenen Schadenssummen lagen durchschnittlich zwischen 4.000,00 und 4.500,00 Euro (Vorjahr: 2.000,00 bis 3.000,00 Euro). Gegenwärtig steht im Fokus der Täter gerade nicht bloß das Online-Banking, sondern beispielsweise auch ein Fall der Manipulation von Aktienkursen („Phishing all inclusive“). Gleichzeitig entwickelt sich ein globaler Markt mit den durch Identitätsdiebstahl erlangten Daten, die illegal gehandelt werden (Underground-Economy).

Aktueller Trend
Eine ganz aktuelle Mode beim Abräumen von Konten, liegt im Herstellen von gefälschten EC-Karten. An das Geld der Geschädigten gelangen die Täter jetzt nicht mehr nur durch die entsprechende Manipulation der Geldautomaten, sondern unmittelbar durch das Abfangen der in Point of Sales (POS)-Terminals eingegebenen Daten („Skimming“), also den bei Händlern vorhandenen Bezahlterminals. An den EC-Karten-Terminals in Tankstellen, in Supermärkten oder an anderen Orten können somit kleine Chips auf den Kunden lauern, die während des Bezahlvorganges die personenbezogenen Daten abgreifen und an die Täter übermitteln. Dies funktioniert immer dann, wenn während des Bezahlvorganges eine Datenverbindung zwischen dem EC-Karten-Terminal und der kontoführenden Bank aufgebaut wird; etwa um eine Freigabe bzw. Legitimation bezüglich der beabsichtigten Kontoverfügung einzuholen. Die so gewonnenen Daten werden auf Kartenrohlinge übertragen, also auf gefälschte EC-Karten. Mit diesen werden dann, vornehmlich aus dem Ausland, missbräuchliche Verfügungen getätigt. Auch in diesem Fall benötigen die Täter neben den auf dem Magnetstreifen gespeicherten Kartendaten immer auch die zur Karte gehörende Geheimnummer, da ohne sie keine Bargeldverfügungen getätigt werden können. Während sich Kunden am EC-Automaten durch das Abdecken des PIN-Eingabefeldes schützen können, ist dies bei Bezahlterminals leider nicht möglich, da die Täter bei dieser technischen Weiterentwicklung in das Gerät selbst eine Vorrichtung zur Erfassung der PIN eingebaut haben, die von außen nicht zu erkennen ist.

Ulrich Schulte am Hülse
- Rechtsanwalt-
______________________
Die Kanzlei vertritt bereits seit langem Geschädigte, die einen Vermögensschaden durch das Abfangen von Kontozugangsdaten erlitten haben.

Wir unterstützen Sie bei Ihrer Recherche.

Kontakt: Kurfürstendamm 42, 10719 Berlin (Charlottenburg),
Telefon: (030) 71520670, Telefax: (030) 71520678,
e-Mail: schulte@schultelaw.de, Internet: www.schultelaw.de

Unser Büro ist mit einem Team von vier Rechtsanwälten wirtschaftsberatend tätig und deckt ein breites Spektrum wirtschaftsrechtlicher Themenstellungen ab. Der Verfasser arbeitet ausschließlich im Bereich des Internetrechtes und des Immaterialgüterrechtes (Wettbewerbsrecht, Urheberrecht, Marken, Patente, Gebrauchsmuster, Sorten, Design und Namensrecht). Interdisziplinär kooperieren die Rechtsanwälte mit Steuerberatern. Die Kanzlei verfügt über Büros in Berlin (2 x) und Dresden.

Ergänzende Absenderangaben mit allen Kanzleistandorten finden Sie im Impressum auf unserer Internetseite.
DRUCKEN| VERSENDEN | RSS-FEED |
SOCIAL WEB
PRESSEFACH
ilex Rechtsanwälte
Yorckstraße 17
14467 Potsdam
zum Pressefach
Anzeige
PRESSEARCHIV
Anzeige
BUSINESS-SERVICES
© novo per motio KG