Fehlende 2FA bei Sparkassen als Einfallstor für Betrüger
Einfallstor für Betrüger:Gravierende Sicherheitslücken bei Sparkassen
von Mario Shabaviz
|
Ein Kontozugriff ohne die Zwei-Faktor-Authentifizierung ist bei vielen Sparkassen noch immer möglich. Bei Betrugsschäden daraus sollen aber fast immer die Kunden schuld sein.
In ein fremdes Bankkonto einloggen nur mit Anmeldedaten, das war ohne Zwei-Faktor-Authentifizierung bei der Sparkasse möglich. Ein Einfallstor für Betrüger, die diese Sicherheitslücke nutzten, um Sparkassenkonten zu plündern. 26.06.2023 | 8:04 min
Knapp 5.000 Euro konnten Phishing-Betrüger von Eugenia Speyers Konto abräumen. Doch nicht allein ihre List oder der Leichtsinn der Kundin verschaffte den Gaunern das Geld. Zu Hilfe kam ihnen auch ein Sicherheitsmangel beim Online-Banking: der externe Zugriff ohne Zwei-Faktor-Authentifizierung. Den entstandenen Schaden will die Berliner Sparkasse aber nicht erstatten. Eugenia Speyer fühlt sich im Stich gelassen.
Die Berliner Sparkasse behauptet, Eugenia habe "grob fahrlässig" gehandelt, weil sie sich von einem betrügerischen Anrufer täuschen ließ. Der hatte sich am Telefon als Sparkassenmitarbeiter ausgegeben und behauptete, ein Online-Banking-Update durchführen zu müssen. Er schickte Eugenia eine SMS mit einem Bestätigungslink, den sie weiterleiten sollte.
Was sie nicht ahnte: Zu diesem Zeitpunkt waren die Täter aber bereits in ihr Online-Banking eingeloggt und konnten auch hier den Anschein erwecken, echte Nachrichten zu hinterlassen. Das Problem: Bei vielen Sparkassen kann man sich seit Jahren - ohne zusätzliche TAN-Bestätigung - von jedem beliebigen Gerät aus einloggen.
WISO crime: Virtuellen Bankräubern auf der Spur22.05.2023 | 25:05 min
Gesetz verlangt "starke Authentifizierung"
Eigentlich schreibt das Gesetz die sogenannte "starke Kundenauthentifizierung" vor - bei jedem einzelnen Zugriff aufs Konto. Doch viele Sparkassen nutzen eine gesetzliche Ausnahmeregelung, die einen Zugriff ohne weitere TAN-Bestätigung erlaubt. Es dürfen dabei allerdings keine sensiblen Zahlungsdaten einsehbar sein.
Dazu zählen auch persönliche Daten wie Anschrift, Geburtsdatum oder Telefonnummer, die Täter nutzen können, um sich das Vertrauen ihrer Opfer zu erschleichen. Genau diese Daten aber waren bei vielen Sparkassen jahrelang beim Login ohne TAN-Bestätigung im sogenannten "Lesezugriff" einsehbar.
Bei Mails, SMS oder Anrufen immer Vorsicht walten lassen. Im Zweifel das kontoführende Kreditinstitut anrufen und dort zum Sachverhalt nachfragen. Keinen Zeitdruck auf sich nehmen, Vorsicht beim Öffnen verdächtiger Mails oder Anhänge und Links.
Bei überraschenden Anrufen, die zu Aktivitäten rund um das Konto auffordern, eine Rückrufnummer geben lassen und einen Rückruf ankündigen. Zur Sicherheit die Telefonnummer des Kreditinstitutes gegenchecken und, wenn vorhanden, den oder die persönlich bekannte Beraterin des Geldinstitutes anrufen. Damit sind Betrüger "aus dem Spiel".
Den entstandenen Schaden so zeitnah wie möglich gegenüber dem Kreditinstitut bekanntgeben.
Vorsicht bei Aussagen, aus denen sich der Vorwurf der groben Fahrlässigkeit ableiten oder belegen ließe.
Den Vorfall am besten als "unautorisierten Vorgang" mitteilen.
Juristische Hilfe bei einem Fachanwalt holen.
Bafin: Lesezugriff beim Online-Banking sollte bereinigt werden
Erst durch eine WISO-Recherche im Jahr 2022 und unsere Nachfrage dazu, erfährt die Bafin davon und bezieht klar Stellung:
Doch davon kann noch immer nicht die Rede sein.
Im Darknet nehmen wir Kontakt mit einem Informanten auf, der jahrelange Erfahrung im Sparkassen-Online-Banking-Betrug hat. Und er demonstriert uns: Der Zugriff von Fremden auf unser zu Test-Zwecken eröffnetes Sparkassenkonto ist immer noch möglich. Entsprechend drastisch ist sein Urteil: "So, wie es programmiert ist, wollen die doch, dass die Kunden abgezogen werden."
Betrugsanzeigen nehmen rapide zu
Wie groß der Schaden durch diese schon länger bestehende Sicherheitslücke ist, lässt sich nicht feststellen. Wie viele betroffene Kunden es insgesamt gibt, wollen die Sparkassen uns nicht sagen. Und wie viele Schadensfälle es bei den Sparkassen sind, können uns die Landeskriminalämter nicht sagen.
Doch es gibt einen eindeutigen Trend: In vielen Bundesländern hat sich die Zahl der Betrugsanzeigen in den vergangenen zwei Jahren mindestens verdoppelt. Und die Schadenssummen liegen in vielen Bundesländern bei mehreren Millionen Euro pro Jahr.
Sparkassen wollen nicht für Schaden haften
Zahlen sollen dafür aber zumeist die Kunden. So wie in einem Fall, der zurzeit vor dem Landgericht Nürnberg verhandelt wird. Eine 24-jährige Studentin verklagt ihre Sparkasse auf Erstattung von 20.000 Euro, die ihr Kriminelle vom Konto gestohlen haben. Auch hier, so der Anwalt der Betroffenen, würde erst einmal grobe Fahrlässigkeit unterstellt.
Davon gebe es nur eine Ausnahme, wenn das Verhalten des Bankkunden als grob fahrlässig einzuordnen sei, erklärt Ulrich Schulte am Hülse, Anwalt für Bankrecht. "Das muss aber auch die Bank nachweisen."
Ein Klick am Computer, und plötzlich geht gar nichts mehr im System. In den letzten Jahren wurden deutsche Firmen immer häufiger Opfer von digitaler Erpressung.10.02.2022 | 44:29 min
Gerichte müssen über Grundsatzfrage entscheiden
Für den Anwalt der Kundin, die auf eine täuschend echte, manipulierte SMS "ihrer" Sparkasse hereinfiel, liegt das Verschulden klar auf Seiten der Bank. Der Gesetzgeber habe vorgeschrieben, "dass - wenn diese starke Kunden-Authentifizierung nicht da ist, der grobe Fahrlässigkeitsvorwurf nicht greift", so Schulte am Hülse. Dazu gebe es aber noch wenig Rechtsprechung.
Auch Eugenia Speyer in Berlin wird wohl vor Gericht ziehen müssen, wenn sie ihre 5.000 Euro erstattet bekommen will. Eine Haftung lehnt die Berliner Sparkasse weiterhin ab.
"Der Gesetzgeber will eigentlich, wenn Konten so missbräuchlich benutzt worden sind, dass den Verbrauchern alles oberhalb 50 Euro innerhalb eines Tages zurückgezahlt wird", erklärt Dorothea Mohn von der Verbraucherzentrale Bundesverband (vzbv). "Was aber passiert, ist, dass die Banken eine Art Trick anwenden können, indem sie sagen: Du hast Dich grob fahrlässig verhalten und deswegen haben wir den gleichen Anspruch gegen dich und deswegen wird erst mal nicht geleistet."
Weil es den Banken oft gelinge, Betrugsschäden auf die Kunden abzuwälzen, fehle der Anreiz die Sicherheitsmechanismen zu verbessern, meint Mohn. "Und in dem Sinne ist es relevant, die Haftung ganz klar auf Seiten der Bank zu setzen, um hier einen Anreiz zu schaffen, die Systeme so sicher wie möglich zu gestalten und immer in dem Moment, wo eine Sicherheitslücke ausgenutzt wird, dann zu gucken, wie man nachsteuern kann."
Mario Shabaviz ist Redakteur der ZDF-Sendung "WISO".