Phishing: Erkenntnisse aus dem Bundeslagebild Cybercrime 2015 des BKA

Ratgeber - Meinung Mehr zum Thema: Meinung, Phishing, Online-Banking, Bankrecht, Skimming, Schadsoftware

Was bedeutet der Rückgang der Fallzahlen?

Das Bundeskriminalamt (BKA) hat im Juli 2016 sein jährliches Bundeslagebild zur Entwicklung auf dem Gebiet des Cybercrime veröffentlicht und zieht darin Bilanz für das Jahr 2015. Unter anderem wird in diesem Bundeslagebild das Abgreifen von Zugangsdaten zum Online-Banking thematisiert: Phishing. Der Bericht zeigt, das „Abfischen" von Kontozugangsdaten im Online-Banking ist und bleibt trotz der für das Jahr 2015 zu konstatierenden erstmals seit zwei Jahren wieder rückläufigen Fallzahlen hoch aktuell.

Wie erfolgreich wurden im Jahr 2015 Bankkonten leer „gefischt“?

Laut Angaben des Bundeskriminalamtes (BKA) wurden im Jahr 2015 im Rahmen des polizeilichen Meldedienstes dem BKA insgesamt 4.479 Sachverhalte im Bereich Phishing gemeldet. 2014 waren es noch 6.984 Fälle. Dies bedeutet einen Rückgang der Fallzahlen um fast 36 % im Vergleich zum Vorjahr. Dennoch ist Vorsicht geboten, denn die Fallzahlen waren im Vorjahreszeitraum ungewöhnlich hoch. Tatsächlich erreichten sie 2014 den höchsten Wert seit 2006. 2006 betrug die Anzahl der registrierten Phishing-Fälle 3.500, 2007 waren es 4.164 Fälle, 2008 waren es 1.778 Fälle, 2009 waren es 2.923 Fälle, 2010 stiegen die Fälle auf 5.331 an, 2011 waren es 6.422 Fälle, 2012 waren es 3.440 Fälle und 2013 waren es 4.096 Fälle.

Insofern lässt sich feststellen, dass die Fallzahlen im Bereich Phishing von einem sehr hohen Niveau in 2014 erstmals im Jahr 2015 wieder signifikant gefallen sind. Sie liegen aber immer noch deutlich über dem Niveau der Jahre 2006-2009 und 2012-2013. Die seit Jahren dokumentierte Entwicklung im Phishing-Bereich zeigt, dass es schon öfters derartige Rückgänge gegeben hat. Jedenfalls in der Vergangenheit zeigte sich schon bald darauf wieder ein Anstieg der Fälle, so dass die Entwicklung der vergangenen Jahre ohnehin mit einem permanenten auf und ab verbunden ist.

Wie lässt sich der Rückgang der Fallzahlen erklären?

Dass derzeit ein Rückgang der Fallzahlen zu verzeichnen ist, hängt in erster Linie mit den Bemühungen der Banken zur technischen stetigen Verbesserung verschiedenster Schutzmaßnahmen zusammen. Vor allem im Bereich des Online-Banking haben die Banken zumindest teilweise auf die Angriffe der Täterseite reagiert und verstärkt an der Verbesserung der technischen Sicherheitsstandards durch teilweise Einführung besserer Online-Banking-Systeme gearbeitet. Die Erfahrung der vergangenen Jahre zeigt, dass wenn Banken in neue, zumindest derzeit nur erschwert angreifbare Banksysteme investieren, also die Technik verbessern, die Fallzahlen dann kurz darauf tatsächlich rückläufig sind.

So ergaben sich in der Vergangenheit bereits sinkende Fallzahlen im Jahre 2008 als Folge der damaligen Einführung des iTAN-Verfahrens und im Jahre 2012 u. a. als Folge der Einführung des mTAN-Verfahrens und anderer neuer Online-Banking-Verfahren. Allerdings hielt der Trend der sinkenden Fallzahlen in der Vergangenheit jeweils nur ein Jahr an und es gelang den Tätern offenkundig mühelos, die Verbesserungen bei den Online-Banking-Systemen kurz darauf wieder zu überwinden. Darauf lassen die steigenden Fallzahlen in den Jahren 2009-2011 und 2013-2014 schließen. Insofern reagieren auch die Täter auf neue Sicherheitsvorkehrungen, entwickeln ihre Software und Angriffsmöglichkeiten dementsprechend weiter und passen sich an.

Aktuell stehen die so genannten Echtzeitangriffe mit Hilfe einer Schadsoftware bei den Tätern hoch im Kurs, bei denen etwa das iTAn-Verfahren oder das SMS-TAN- oder mobile-TAN-Verfahren (mTAN) längst als leicht zu überwindende Hürde für technisch versierte Straftäter gilt. Im Rahmen dieser Echtzeitmanipulationen schleusen die Täter in die Kommunikation zwischen Bankkunde und dem Rechenzentrum der Bank eine Schadsoftware ein und manipulieren die gesendeten Datensätze. All dies wird vom Kunden natürlich nicht bemerkt. Zunehmend setzen die Täter aber auch auf das Social Engineering, d. h. auf eine soziale Manipulation (z.B. durch die Fälle des so genannten "Rücküberweisung-Trojaners"). Dabei wird der Kunde dazu verleitet, selbst seine Daten preiszugeben.

Was ist zukünftig im Bereich Phishing voraussichtlich zu erwarten?

Das Bundeskriminalamt (BKA) macht deutlich, dass das Phishing ein besonders lukratives Betätigungsfeld für Täter bietet. Die durchschnittliche Schadenssumme betrug rund 4.000 Euro pro Fall. Dies ergibt einen Gesamtschaden von 17,9 Millionen Euro für das Jahr 2015. In der Regel beschränken sich Täter aber nicht auf einen Angriff, sondern im Zuge eines Angriffes werden häufig mehrere Bankkonten angegriffen. ilex Rechtsanwälte hat in den vergangenen Jahren eine Vielzahl solcher Rechtsfälle begleitet und mitgewirkt, die damit verbundenen zivilrechtlichen Rechtsfragen einer Lösung zuzuführen. Dies geschah sowohl auf der Seite von vielen geschädigten Bankkunden, als auch für Versicherungsgesellschaften, als auch für Bankhäuser. In jedem Einzelfall wurden dazu Ermittlungsakten ausgewertet. Für die Täter erscheinen die Tathandlungen des Phishing offenbar derart lukrativ zu sein, dass auch in der Zukunft damit gerechnet werden muss, dass auch in den nächsten Jahren von Seiten der Täter der Versuch unternommen werden könnte, die neueren Online-Banking-Systeme wieder zu überwinden.