„Phishing-Opfer gibt es genug“
ING-DiBa-Sicherheitsexperte über Betrug mit Passwörtern
KURIER: Was kann ich machen, wenn ich Opfer eines PhishingBetrugs geworden bin? Olaf Schwarz: Kontaktieren Sie Ihre Bank. Wir können versuchen, das Geld wieder zu bekommen. Wir haben dann die Chance zu reagieren und können andere Kunden warnen und prüfen, ob es weitere Betroffene gibt. Sie sollten auch eine Anzeige bei der Polizei machen. In welchen Fällen ersetzt die Bank den Schaden?
In den meisten Fällen wird der Schaden ersetzt. Wenn man jedoch Kreditkartendaten samt Sicherheitscodes auf Facebook veröffentlicht hat, kann man nicht damit rechnen, dass die Bank für den Schaden einsteht. Generell wird geprüft, ob der Kunde seine Sorgfaltspf lichten für den Umgang mit dem Zahlungsinstrument eingehalten hat. Dazu gehört es, die personalisierten Sicherheitsmerkmale, wie z.B. PINCodes, vor unbefugten Zugriff zu schützen. Wie viele Fälle gibt es, bei denen tatsächlich Schaden entsteht?
Es zahlt sich für die Kriminellen weiterhin aus. Phishing-Opfer gibt es genug. Der klassische Phishing-Angriff ist relativ einfach. Millionen von eMails zu verschicken, kostet nicht viel. Bankkunden sind ein Spiegelbild der Gesellschaft. Manche kennen sich aus und erkennen Betrugsversuche, andere tun sich schwerer und fallen auf solche eMails herein. Wie kann ich mich schützen?
Es gibt die Klassiker, etwa die Software auf den Geräten aktuell zu halten, auch Antivirenschutz hilft. Software sollte nur von vertrauenswürdigen Quellen bezogen werden. Technik kann aber nur einen Teil leisten. Der Rest?
Man sollte, wie im richtigen Leben auch, ein gewisses Misstrauen an den Tag legen. Ich vergleiche PhishingMails gerne mit einem Menschen, der mit einem T-Shirt mit Bank-Logo in der Fußgängerzone steht und Passanten auffordert, ihm ihre Passwörter zu geben. Das wird nicht funktionieren. Phishing-Mails sind im Prinzip nichts anderes. Phishing-Warnungen von Banken gibt es fast jeden Tag. Werden sie noch gelesen?
Die tausendste Warnung wird ignoriert werden. Die Leute haben gelernt, dass sie auf „OK“klicken müssen, damit eine Dialogbox verschwindet. Wir müssen uns andere Wege überlegen, wie wir sie erreichen können. Zum Beispiel?
Indem ich dem Kunden helfe, sich selbst zu helfen. Etwa ihm zu zeigen, wie man einen Passwortmanager benutzt. Im Endeffekt entscheidet der Kunde, was er tut. Wir können ihm nur Ratschläge zur Selbsthilfe geben. Wie werden Konten in Zukunft abgesichert?
Der Trend geht in Richtung Betrugserkennung. Wir wissen, was der Kunde üblicherweise mit seinem Konto macht, wohin er überweist und welchen Computer oder welches Smartphone er dabei verwendet. Auf Basis solcher Informationen können wir einschätzen, wie wahrscheinlich es ist, dass der Kunde eine bestimmte Transaktion selbst getätigt hat. Solche Sicherheitsmaßnahmen sind wesentlich schwieriger anzugreifen, als ein neues Login-Verfahren, bei dem es garantiert eine Schwachstelle gibt.