(openPR) Das Bundeskriminalamt in Wiesbaden verzeichnete im Jahr 2009 insgesamt 2.923 Straftaten aufgrund des Abgreifens von Kontozugangsdaten im Online-Banking („Phishing“). Dies stellt eine Zunahme im Vergleich zum Vorjahr dar. Bedenkt man, dass ein gewisser Teil der Straftaten entweder nicht zur Anzeige gelangt oder dem Bundeskriminalamt nicht angezeigt wurde, dürfte das reale Ausmaß der Straftaten aufgrund von sogenannten Phishing-Handlungen sogar noch etwas größer sein. Ilex Rechtsanwälte & Steuerberater hat sich auf die damit zusammenhängenden Rechtsfragen spezialisiert und führte bereits mehrere Schadensersatzprozesse erfolgreich für geschädigte Privatpersonen oder geschädigten Banken. Grund genug dem aktuellen Trend der Kriminalitätsentwicklung aus der anwaltlichen Praxis nachzuspüren.
Manipulation des Online Banking
Das Phänomen des Abgreifens von Bankzugangsdaten ist alles andere als neu. Inzwischen sind die Methoden der Täter allerdings derart verfeinert worden, dass sie auch bei den „indizierten TAN-Verfahren“ (iTAN) funktionieren und sogar dann, wenn ein eigener Zugangsrechner den Austausch von in Echtzeit ermittelten Zahlenkolonen zur Authentifizierung abverlangt bzw. die Authentifizierung mittels einer Chip-Karte nötig ist (HBCI-Banking, Sm@rt-TAN-Verfahren der Volksbanken etc.).
Scannen der Internetknoten-Rechner
Um Bankzugangsdaten abzugreifen schalten sich die Täter in den Datenverkehr zwischen dem Server der Bank und dem Bankkunden („Man-in-the-Middle-Angriff“) und manipulieren die Daten. Zur Methodik gibt es grundsätzlich zwei Ansatzpunkte. Eine Variante besteht darin, dass die Täter die nächstgelegenen Internetknotenrechner scannen, über die die Datenpäckchen im Datenverkehr zwischen dem Bankkunden und der Bank versandt werden. Über einen solchen Fall aus dem Jahre 2008 berichtete die Frankfurter Allgemeine Zeitung (FAZ Nr. 196 v. 25.08.2009, „Motor und Technik“, S. T1). Diese Tatvariante weist jedoch technische Hürden auf und setzt voraus, dass die Täter Zugang zu den Internetknotenrechnern erhalten.
Moderne „Trojanische Pferde“
Wesentlich häufiger ist der Fall anzutreffen, bei dem sich die Täter eines „Trojanischen Pferdes“ bedienen, d. h. sie nutzen ein kleines Schadprogramm, welches sie zuvor auf dem Computer des Bankkunden installiert haben.
Neue Methoden zur Installation der Schadsoftware
Die Methoden zur Installation des „Trojanischen Pferdes“ sind inzwischen deutlich ausgefeilter. Klassisch wird das „Trojanische Pferd“ auf dem Computer eines Bankkunden beim Surfen im Internet installiert, während dieser eine infizierte Internetseite anklickt. Vermehrt gelingt es den Tätern auch eine an sich seriöse Internetseite zu infizieren. Klickt der Bankkunde diese an, kann in diesem Augenblick das „Trojanische Pferd“ auf dem Computer des Bankkunden installiert werden. Vergleichsweise neu sind auch die Methoden den Bankkunden zunächst auf die infizierte Internetseite zu leiten. Dazu ist es für die Täter bedeutsam, dass die infizierte Internetseite in den Suchmaschinen möglichst in den vorderen Suchlisten gefunden wird. Hier bedienen sich die Täter neuerdings den durchaus bekannten Formen der Suchmaschinen-Optimierung, d.h. sie kaufen sich im Rahmen von Google-Adword-Kampagnen ein oder bringen ihre Internetseiten durch andere Methoden auf die vorderen Listenplätze bei den Suchmaschinen. Zu den neueren Tatvarianten zählt auch der Modus der Installation des „Trojanischen Pferdes“. Hat der Bankkunde die infizierte Internetseite erst einmal angeklickt, wird die Schadsoftware zunächst nicht vollständig installiert. Vielmehr läuft zunächst nur ein kleiner Download ab, der so schnell verläuft, dass der Bankkunde keinen Verdacht schöpft. Später folgt dann noch ein größerer Download, der sich selbstständig in Gang setzt. In diesem Fall ist es für eine Schutzsoftware („Maleware-Analyse“) schwieriger, den Schädling zu entdecken.
Tathandlung in Echtzeit (real time interception)
Relativ neu ist auch der Modus der Tathandlung. Inzwischen wird das Konto des Bankkunden nämlich zeitgleich zu einer realen Online-Banksitzung leergeräumt; d.h. der Bankkunde glaubt, eine autorisierte und gewünschte Überweisung zu tätigen. Tatsächlich fangen die Täter die Daten heimlich ab, ändern sie zeitgleich in eine nichtautorisierte Überweisung und führen diese unerkannt im Hintergrund aus (sog. „real time interception“).
Manipulation der Umsatzanzeigen im Online-Banking
Vergleichsweise neu ist auch die Möglichkeit der Manipulation der Umsatzanzeigen im Online-Banking. Ist erst einmal eine nichtautorisierte Überweisung eingeleitet, sind die neueren „Trojanischen Pferde“ dazu in der Lage, die tatsächlich vom Bankkunden autorisierte Überweisung in der Umsatzanzeige im Online-Banking anzuzeigen, obwohl diese Überweisung real gar nicht existiert. Selbst der vermeintliche Verfügungsrahmen, der real schon längst durch eine nichtautorisierte Überweisung ausgeschöpft wurde, wird durch dem Bankkunden durch Manipulation der Umsatzanzeige derart angezeigt, dass dieser keinen Verdacht schöpft.
Zur Rekrutierung des „Geldboten“
Ein Konto kann im Online-Banking nur durch eine Überweisung auf ein anderes Konto abgeräumt werden, dessen Inhaber sich mit Hilfe der Strafverfolgungsorgane eventuell ermitteln lässt. Ein Dritter muss deshalb für die Täter die Geldkurierfunktion übernehmen. Für die Täter ist es deshalb von Bedeutung, dass sie über den Geldkurier nicht entdeckt werden. Eine Variante der Rekrutierung von „geeigneten Geldboten“ besteht nun darin, durch „soziale Manipulation“ auf den „Geldboten“ einzuwirken. Derzeit besonders beliebt ist es, dass Angehörige des weiblichen Geschlechts über diverse Internetforen und im anschließenden Austausch von Mails vortäuschen, eine Beziehung zu einer männlichen Person aufbauen zu wollen. Der Kontakt kommt gegebenenfalls über diverse soziale Netzwerke zustande. Nachdem der Kontakt zu dem Gesprächspartner hergestellt und aufgebaut wurde, wobei sich die Gesprächspartner im realen Leben selbstverständlich nie begegnet sind, wendet sich die Dame schließlich an den auf diese Weise ausersehenen Geldboten, dieser möge doch aufgrund eines familiären Notfalls einmal sein Konto für eine „kleine Geldtransaktion“ zur Verfügung stellen. Fällt der Geldbote darauf rein, hebt er das auf seinem Konto eingetroffene Geld nach der Tathandlung ab und überweist es auftragsgemäß per Western Union zu den Tätern. Geradezu das i-Tüpfelchen dieser Form von hochgradig gefährlichen Tatvariante stellt es dar, wenn es den Tätern gelingt, bei der Rekrutierung von „geeigneten Geldboten“ als unbedarfte Erfüllungsgehilfen für Straftaten, auch noch auf die Arbeitsvermittlung der Arbeitsagenturen zurückzugreifen. In diesen Fällen schöpfen Arbeitssuchende noch deutlich weniger Verdacht, da sie von einer behördlichen Prüfung der Seriosität des Arbeitsangebotes ausgehen.
Die Schattenseiten der Sozialen Netzwerke
Aus Tätersicht ist es aber noch nicht einmal nötig, sich mit technisch ausgereifter Schadsoftware zwischen die Datenverbindung der Bank und des Bankkunden zu schalten. Zu den neueren Tricks zählt eine Variante der sogenannten sozialen Manipulation („social engineering“). Nachdem die Täter zunächst die Zugangsdaten für Netzwerke, wie Facebook, XING, Schüler-VZ oder Studi-VZ abgegriffen haben, wird im Namen des Account-Inhabers eines derartigen sozialen Netzwerkes gezielt der dort nachlesbare Freundes- und Bekanntenkreis angeschrieben. Über einen solchen Fall berichtete beispielsweise die Computerzeitschrift CHIP im Heft 5/2010 (S. 50-54). Beispielsweise berichten die Täter in einer Mail an den Freundes- und Bekanntenkreis eines Account-Inhabers von einer angeblichen Reise ins Ausland. Um dies zu unterlegen, wird gleich ein ansprechendes Urlaubsfoto mitgeliefert. In einer zweiten Mail wenige Stunden oder Tage später, berichten die Täter dann im vermeintlichen Namen des Account-Inhabers von einem im Ausland eingetretenen Notfall und erbitten um Hilfe. Aufgrund einer Notlage im Ausland sei eine dringende Geldüberweisung ins Ausland nötig. Damit es schnell gehe, müsse diese Geldüberweisung am besten per Western Union erfolgen. Tatsächlich gibt es weder die Auslandsreise des Account-Inhabers, noch weiß dieser überhaupt, welche Mails in seinem Namen an seinen Freundes- und Bekanntenkreis gerade verschickt wurden. Sobald er von der Tat etwas bemerkt, sind die ersten Zahlungen schon abgeschlossen uns das Geld ist natürlich ebenfalls weg.
Ulrich Schulte am Hülse
Rechtsanwalt
Ilex Rechtsanwälte & Steuerberater hat bereits mehrfach bundesweit erfolgreich Prozesse im Bereich des Abgreifens von Kontozugangsdaten im Online-Banking oder beim EC-Kartenbetrug geführt. Die Rechtsschutzversicherung übernimmt im Falle einer erfolgreichen Deckungsanfrage die Kosten.
