Hamburg. Hamburgerin verliert mehrere Zehntausend Euro durch Onlinebanking-Betrug. Solche Fälle nehmen stark zu. Was die Haspa sagt.
- Einer Hamburgerin wurde von Betrügern ihr Konto leer geräumt
- Mit einer falschen Mail hatten sie sich Zugang zu ihren Kontodaten verschafft
- Die Frau ist nicht das einzige Opfer der Kriminellen
Es dürfte die Horrorvorstellung jedes Bankkunden sein: Der Hamburgerin Claudia Reger*) ist ihr Konto bei der Postbank leer geräumt worden. In mehreren fünfstelligen Beträgen wurden die Einlagen abgebucht. „Ich habe das zwei Tage später entdeckt“, sagt Reger.
Wie sich dann herausstellte, hätten die Kriminellen das Konto auch noch zur Geldwäsche genutzt und einen weiteren großen Betrag darüber transferiert. Offenbar handelte es sich bei dem Raubzug um eine Serientat: „Die Kriminalpolizei hat mich in Kenntnis gesetzt, dass mehrere Kunden betroffen waren und sehr hohe Beträge abgeführt worden sind.“
Was die Geschädigte besonders aufregt: „Als ich der Postbank den Betrug melden wollte, hat sie einfach nicht reagiert. Ich konnte erst nach zwölf Stunden das Konto sperren lassen.“ Inzwischen hat Reger einen Anwalt eingeschaltet, der ihre Interessen vertreten soll. An ein eigenes Fehlverhalten glaubt die Diplom-Kauffrau nicht: „Ich bin auf keine Phishing-Mail hereingefallen und habe auf keinen unbekannten Internet-Link geklickt.“ Der Begriff Phishing ist eine Kombination der englischen Wörter „Password“ und „fishing“.
Postbank: Internet-Betrüger räumen Kundenkonten leer
Bei der Postbank bestätigt man auf Anfrage des Abendblatts, dass diese Form der Kriminalität zunimmt: „Derzeit beobachten wir, genau wie andere Banken auch, einen Anstieg der Betrugsversuche.“ Überwiegend entstehe der Schaden „entweder durch Phishing oder durch Social Engineering“. Bei letzterer Methode machen sich Hacker menschliche Eigenschaften wie etwa Hilfsbereitschaft zunutze, um die Opfer gezielt dazu zu verleiten, Sicherheitsfunktionen auszuhebeln oder vertrauliche Informationen preiszugeben.
Wie viele solcher Kontenräumungen es gibt, kann die Hamburger Kriminalpolizei nicht sagen, weil dort Onlinebanking-Betrug statistisch ganz allgemein als Betrugsdelikt erfasst und nicht gesondert ausgewiesen wird.
Manchmal werden mehr als 200.000 Euro von Kriminellen abgebucht
Allerdings räumt man bei der Polizei ein, dass nicht immer klar ist, ob die Betroffenen zuvor persönliche Daten zum Beispiel auf einer gefälschten Internetseite, die so aussieht wie eine Onlinebanking-Seite des Geldinstituts, eingegeben haben: „Nicht in allen Fällen gelingt es, zu ermitteln, wie die Täter an die Kontodaten gelangt sind.“
Auch die Kombination mit Geldwäscheaktivitäten ist bei der Hamburger Polizei bekannt: „Unseren Ermittlern sind Fälle erinnerlich, in denen Konten unberechtigt für das Transferieren von Geld genutzt wurden, woraufhin Ermittlungen wegen des Verdachts der Geldwäsche eingeleitet wurden.“
- Polizei Hamburg: Mit welcher Straftat Kriminelle das meiste Geld erbeuten
- WhatsApp & Co.: Neue dreiste Betrugsmasche im Umlauf – Polizei warnt
- Postbank: Es kommt erneut zu Problemen bei Apps und Onlinezugängen
Achim Tiffe, Fachanwalt für Bankrecht in Hamburg, vertritt mittlerweile zahlreiche Geschädigte. „Onlinebanking-Betrug nimmt deutlich zu, sowohl was die Anzahl der Fälle als auch den Umfang der Schäden angeht“, sagt er. Meistens seien auch Rücklagen- und Tagesgeldkonten betroffen.
Innerhalb weniger Stunden werde das gesamte Geld auf das Girokonto transferiert, das Tageslimit für Überweisungen auf 100.000 Euro hochgesetzt und dann das gesamte Geld in mehreren Überweisungen kurz hintereinander auf fremde Konten transferiert. Die Beträge, um die es in Tiffes Praxis geht, reichen bis 85.000 Euro. Er hat nach eigenen Angaben aber Kollegen, die von Schadensummen oberhalb von 200.000 Euro berichten.
Anwalt: Banken müssen ihren Kunden Fehlverhalten nachweisen – oder zahlen
Nach den Erfahrungen von Tiffe ist es durchaus kein Einzelfall, dass Betroffene ihre Bank tagelang nicht erreichen können. „Eine unserer Klientinnen hat tatsächlich dabei zusehen können, wie Geld von ihrem Konto abgezogen wurde, ohne dass sie etwas dagegen tun konnte.“ Zwar würden Schäden aus Onlinebanking-Betrug laut einer Richtlinie der Europäischen Union von den jeweiligen Geldinstituten getragen. Doch inzwischen versuchten diese vielfach, die Erstattung abzuwenden, indem sie argumentierten, die Kundinnen und Kunden hätten die Straftat durch grobe Fahrlässigkeit erst ermöglicht.
Tatsächlich müssen die Banken nach Auffassung von Anwälten, die Verbraucher in solchen Angelegenheiten vertreten, aber beweisen, dass der Kunde den Zahlungsvorgang ordnungsgemäß autorisiert hat. Tiffe hat nach eigenen Angaben schon mehrfach Kreditinstitute dazu gebracht, ihren Kunden das Geld bei fremdem Zugriff auf Giro- und Kreditkartenkonten zu erstatten – unter anderem die Haspa.
Bankenverband warnt vor neuer Welle gefälschter SMS-Nachrichten
Auch die Postbank gibt sich überzeugt: „In jedem Fall, bei dem ein Konto geplündert wurde, hat der Kunde zuvor den Betrügern unachtsam ein Sicherheitsverfahren freigegeben.“ Die Bank schränkt aber ein: „Grundsätzlich erstatten wir reklamierte Beträge, wenn wir bei Prüfung der Reklamation einen Fehler bei uns, zum Beispiel durch menschliches oder technisches Versagen, entdecken.“
Erst vor wenigen Tagen warnte der Bundesverband deutscher Banken: „Aktuell erhalten Nutzerinnen und Nutzer von Smartphones wieder gefälschte SMS- oder WhatsApp-Nachrichten, die zum Beispiel angeblich über den Sendestatus von Paketen informieren oder auch zur Zahlung eines noch ausstehenden Betrags (zum Beispiel Zollgebühr) für die Lieferung einer Sendung auffordern.“ Damit solle man verleitet werden, auf einen Link zu klicken, der auf eine gefälschte Internetseite leitet oder mit dem man eine Ausspäh-Software herunterlädt.
Betrüger rufen mit scheinbar korrekter Telefonnummer einer Bank an
„Besonders tückisch“ seien Betrugsmaschen per SMS oder Social-Media-Diensten wie WhatsApp, weil hier das Risikobewusstsein zumeist deutlich geringer sei als bei einer E-Mail. Sei man der Aufforderung zum Herunterladen einer Datei gefolgt, solle man das Smartphone sofort in den Flugmodus bringen, rät der Bankenverband. Anschließend solle man den Mobilfunkanbieter über den Vorfall informieren und bei der Polizei Anzeige erstatten.
In jüngster Zeit gäben sich Betrüger zudem am Telefon als Bankangestellte aus, als Mitarbeiter der Bankenaufsichtsbehörde BaFin oder als Ermittler von Europol oder Interpol. Dabei erscheine auf dem Display des Telefons die Nummer der jeweiligen Institution, berichtet der Bankenverband. „Tatsächlich ist diese Rufnummernanzeige manipuliert, um Sie zu täuschen.“
Postbank-Kunden gehören zu den bevorzugten Zielen, weil es so viele gibt
Betroffen von solchen Betrugsversuchen sind prinzipiell Kunden aller größeren Bankengruppen. „Postbank-Kunden zählen insbesondere deshalb zur bevorzugten Zielgruppe von Betrügern, weil es sie in einer großen Anzahl gibt“, heißt es von der Anwaltskanzlei CDR Legal. Das Gleiche gelte aber für Sparkassen und Volksbanken.
Tatsächlich hat der Fall von Claudia Reger eine Verbindung zur Haspa: Bei der Hamburgerin, die auch dort Kundin ist, unternahmen Unbekannte unmittelbar nach der Räumung der Postbank-Konten einen Phishing-Versuch mit Bezug auf die Haspa-Geschäftsbeziehung – was offenbar kein Zufall war. Reger änderte daraufhin sofort ihre Haspa-Zugangsdaten.
Auch bei der Haspa gehören Betrugsversuche „leider zum Alltag“
„Versuche von Kriminellen, an persönliche Daten von Kunden zu gelangen, gehören leider zum Alltag“, sagt Haspa-Sprecherin Stefanie von Carlsburg. Aber: „Mit einer erhöhten Aufmerksamkeit und einer gesunden Portion Misstrauen haben Betrüger keine Chance.“ Daher gebe man im Onlinebanking fortlaufend aktuelle Sicherheitstipps und warne aktiv vor Betrugswellen.
Jede Transaktion sei zudem heute durch eine Zwei-Faktor-Autorisierung, zum Beispiel mittels Smartphone oder Chipleser, geschützt. Wichtig sei eben, dass „Kunden darauf achten, wo sie ihre Zugangsdaten eingeben, und diese nicht an Dritte weiterleiten.“
Für die Regulierung von Schäden gebe es einen bankenübergreifenden Haftungsfonds, heißt es von der Haspa. „Dieser kann aber nur einspringen, wenn bestimmte Voraussetzungen gegeben sind, zum Beispiel keine grobe Fahrlässigkeit vorliegt.“
*) Name geändert