Erschüttertes Vertrauen in deutsche Großbank: wie verlässlich sind Sicherungssysteme im Zahlungsverkehr?

(Artikel vom 04.09.2024) Die Zahl betrügerischer Attacken von Cyberkriminellen auf Bankkunden respektive Bankkonten nimmt immer mehr zu. Zugleich stellen sich die Maschen dieser Kriminellen zunehmend ausgefeilter und perfider dar. Zum Einsatz kommen insbesondere manipulierte Mails, betrügerische Aufforderungen per SMS sowie Fake-Anrufe von angeblichen Mitarbeitern in Banken und bei anderen Zahlungsdienstleistern. Aktuelle Erhebungen des Verbraucherzentrale-Bundesverbandes zeigen, dass viele Menschen beispielsweise betrügerische Mails kaum mehr von echten Mails oder Abläufen bei ihrer Bank unterscheiden können (Pressemitteilung des Bundesverbandes, Mai 2024). Die entsprechenden Schadenssummen im Kontext mit Finanzdienstleistungen steigen – für die Aufklärungsquoten gilt dies leider nicht!
Die Banken selbst sind bei derartigen Machenschaften und „Hackerangriffen“ offenbar nicht immer wirklich sattelfest. Im Sommer 2024 kam es zum Beispiel zu solch einem Angriff auf ein von der landeseigenen L-Bank Baden-Württemberg beauftragtes Serviceunternehmen mit der Folge, dass möglicherweise Zugangsdaten zum Online-Rückmeldeverfahren für vormalige Corona-Hilfen von sage und schreibe 25.000 Kunden der Bank abgegriffen wurden (Meldung, SZ, August 2024). Mithin werfen nach den Beobachtungen von Verbraucherschützern Banken ihren Kunden, wenn diese infolge kaum durchschaubarer und raffinierter Aktionen von Cyberkriminellen zu Opfern geworden sind, immer wieder in pauschaler Weise vor, grob fahrlässig agiert zu haben.
Aktuell gerichtlich zu klärende Fälle zeigen zudem, dass die Sicherheitssysteme von Banken, um ihre Kunden vor direkten Hacker-Attacken oder sonstigen Cyber-Angriffen zu schützen, offenkundig defizitär sind. So wurde beispielsweise bei einem Dienstleistungsunternehmen und bei einem Handelsunternehmen aus Stuttgart, die je ein Konto bei der Deutschen Bank unterhalten, gleichsam in einer Nacht-und-Nebel-Aktion durch Cyberkriminelle ein Betrag in sechsstelliger Höhe (Euro) ergaunert. Was war hier geschehen? Ohne Zutun der Kontoinhaber hatten sich Kriminelle Zugangsdaten zu den Konten verschafft und in einer regelrechten Staffelung vergleichsweise kleinerer Überweisungen – beginnend an einem Werktag in der Nacht bis gegen 6 Uhr in der Früh am Folgetag – zunächst vom Konto des Dienstleistungsunternehmens mit 34 Einzelüberweisungen 378.000 Euro auf das Konto des Handelsunternehmens überwiesen. Sodann wurden vom Konto des Handelsunternehmens 93 Einzelüberweisungen in der Höhe von 378.000 Euro in das In- und Ausland getätigt.
Diese nicht autorisierten Überweisungen waren dadurch ermöglicht worden, dass die Hacker auf eine nach wie vor nicht nachvollziehbare Weise in den Besitz der PIN zu den Konten gelangt waren und sich daraufhin selbst die Anmeldung eines neuen mobilen (illegalen) Endgeräts für den Empfang von TANs ermöglichten. Dreh- und Angelpunkt des gesamten Betrugsvorganges soll nach Angaben der Deutschen Bank der sog. „Aktivierungsbrief“, der laut dieser Bank die Anmeldung von maximal acht (!) Endgeräten zeitlich unbegrenzt (!) ermöglichen würde, gewesen sein. Die Deutsche Bank stellt die verwendete Methode zur Zahlungsabwicklung und -autorisierung als bewährt und sicher dar (PIN-TAN-Verfahren sowie Autorisierungsbrief zur Freischaltung von Endgeräten). Die behauptete Sicherheit des zugrundeliegenden Zahlungssystems der Bank („StarMoney Business“) ebenso wie die des Autorisierungsverfahrens für die Anmeldung von neuen Endgeräten ist allerdings kritisch zu sehen, und zwar aus folgenden Gründen: der nach eigenen Angaben der Deutschen Bank mehrfach verwendbare Aktivierungsbrief bzw. -code für ein TAN-Endgerät stellt ein Sicherheitsrisiko dar. In der Hackerszene hat sich dies womöglich bereits herumgesprochen – jedenfalls wären so zahlreiche Attacken auf Kunden dieser Bank zu erklären. Die seitens der Deutschen Bank eingesetzten Sicherheitsansätze erscheinen geradezu altertümlich: der mehrfach nutzbare Aktivierungsbrief bzw. -code für ein TAN-Endgerät lädt zu einem Hackerangriff geradezu ein.
Andere Banken (Hypo-Vereinsbank, Sparkassen, Genossenschaftsbanken) verwenden hingegen schon seit längerer Zeit Aktivierungsbriefe, die nur einmal nutzbar sind und einen späteren Vollzugriff unmöglich machen. Weiterhin ist inzwischen eine Authentifizierung Standard, bei der ein mobiles Endgerät, das per Aktivierungsbrief angemeldet wurde, nicht sofort die Freischaltung erhält, sondern es wird anschließend noch ein Code verwendet (der wiederum briefschriftlich versandt wird, so z.B. von der Hypo-Vereinsbank praktiziert). Banken rufen den Kunden teils auch über eine hinterlegte Kontaktnummer an, um den Anmeldevorgang nochmalig zu verifizieren. Zudem ist es bei großen IT-Dienstleistern – zu diesen können inzwischen auch Banken gezählt werden – bereits üblich, dass beim Login mit einem neuen bzw. einem von der Routine abweichenden Gerät der Kunde auf dem hinterlegten Kontaktweg informiert wird (z.B. Amazon, Apple). Dabei wird gefragt, ob das Login durch den Kunden selbst vorgenommen wurde.
Es spricht einiges dafür, dass die Deutsche Bank mit ihrem nach eigenen Angaben mehrfach nutzbaren Aktivierungsbrief ohne einen zusätzlich integrierten Authentifizierungsmodus notwendigen Sicherheitsanforderungen nicht gerecht wird. Im Fall des Stuttgarter Dienstleistungsunternehmens und Handelsunternehmens kommt erschwerend hinzu, dass trotz der mehr als ungewöhnlichen Buchungsvorgänge auf den fraglichen Konten – nächtliche, außerhalb der üblichen Geschäftszeiten vollzogene Überweisungen unter Zugriff auf ein nach Behauptung der Deutschen Bank neu aufgeschaltetes und anscheinend sofort nutzbares Mobiltelefon – notwendige Sicherungsmechanismen nicht unmittelbar anschlugen.
Im Gegenteil: in diesem Fall meldete sich ein Mitarbeiter der Deutschen Bank erst am frühen Nachmittag jenes Tages, an dem etliche Stunden zuvor der Überweisungsschwall nachts gleichsam „ungestört“ ausgeführt worden war, bei den Betrogenen, um nachzufragen, ob in der Nacht zuvor die Vielzahl von Überweisungen getätigt worden sei. Wirklich helfen konnte der Mitarbeiter nicht mehr – vielmehr übermittelte er den geschädigten Firmen ein von der Deutschen Bank gestaltetes Formular zur Anzeige eines betrügerischen Zahlungsakts und bat um die Rücksendung des ausgefüllten Formulars. Dem Mitarbeiter der Deutschen Bank gelang es lediglich, aus den nicht autorisierten, nächtlich getätigten Überweisungen noch rund 31.000 Euro zurückzuholen. Bei der Polizei in Stuttgart wurde selbstverständlich unmittelbar Strafanzeige wegen des Betrugsakts gestellt. Nur: das Geld ist weg und es ist nach polizeilichen Erfahrungen fraglich, ob die Täter jemals ermittelt werden können bzw. ob bei ihnen, sollte man ihrer habhaft werden, etwas „zu holen“ sein wird.....
Im vorliegenden Fall will die Deutsche Bank im gerichtlich eingeleiteten Verfahren zur Erstattung der unautorisierten Zahlungen keinerlei Fahrlässigkeit oder Defizite in ihren Sicherungssystemen eingestehen. Man signalisiert zwar Verhandlungsbereitschaft hinsichtlich eines Vergleichs, allerdings in einer Weise, bei der die geschädigten Unternehmen auf einer exorbitant hohen Schadenssumme „sitzen bleiben“ sollen. In Anbetracht eines mehrfach verwendbaren und offenkundig sicherheitsgefährdenden Aktivierungsbriefs – der offenbar aus gutem Grunde so bei anderen Banken nicht vorgesehen und bewusst auch nicht im Einsatz ist – befremdet das Verhalten der Deutschen Bank. Die Aktivierungsmöglichkeit für ein neues Gerät (hier Mobiltelefon) irritiert umso mehr, da hierbei vorher keine Bestätigung vom bisherigen Gerät angefordert wird. Besser noch wäre ein Schreiben per Post an den (verantwortlichen) Kontoinhaber. So macht es die Deutsche Bank zum Beispiel bei der Änderung des Überweisungslimits, nach eigenem Bekunden aber offensichtlich nicht bei weitaus einschneidenderen Vorgängen wie der Änderung bzw. dem Hinzufügen eines Zugangsgerätes. Es müsste vor allem, wie es auch andere Kreditinstitute vorsehen, eine Sperre für massenhafte Überweisungen über Nacht geschaltet sein – dies funktioniert auch ohne einen bankseitigen Einsatz von Künstlicher Intelligenz (KI).
Was das Thema KI anbelangt: hier hätte man erwarten dürfen, dass KI in der Lage ist, eine hochgradig suspekte Mehrfach-Kombination von Risikofaktoren zu identifizieren und entsprechend zu intervenieren: massiver Überweisungsanfall zur Nachtzeit (ungewöhnlich und von üblichen Kontobewegungen abweichend) PLUS geballte Anzahl namentlich von Auslandsüberweisungen PLUS neu eingerichtetes Mobiltelefon. Die Deutsche Bank selbst lobt ihr KI-Modell „Black Forest“, das „bei jeder Kapitalbewegung verschiedene Kriterien begutachtet, zum Beispiel ihr Betrag, die Währung, in welches Land sie geht und um was für eine Art von Transaktion es sich handelt: Wurde sie online vorgenommen oder am Schalter?“ Diese KI könne entdecken und melden, wenn „ein Kriterium nicht den typischen Mustern entspricht“; ein solches Modell sei „ziemlich flexibel und damit eine gute Ergänzung zu den bestehenden Systemen“ (Originalzitate, Deutsche Bank-Beitrag: „Wie künstliche Intelligenz das Bankgeschäft verändert“, Stand August 2024, Internetfundstelle samt Sicherheitsscreenshots dokumentiert).
Zieht man ein Fazit zu dem hier straff geschilderten Fall der Stuttgarter Dienstleistungs- und Handelsunternehmen, so möchte man fast fragen: wo war die KI der Deutschen Bank und wo waren die Sicherungssysteme? Hielten KI und Warnsysteme etwa Nachtruhe? Zugleich ist der bereits eingangs des vorliegenden Beitrags aufgegriffenen Position des Verbraucherzentrale-Bundesverbands vollauf zuzustimmen, wonach sich Banken und Zahlungsdienstleister nicht aus der Verantwortung ziehen und Schäden durch Cyberangriffe einseitig auf ihre Kunden abwälzen dürfen. Solch eine Strategie ist perfide und allzu durchsichtig. Bankkunden sollten sich auf die Professionalität und eine vorausschauende Sicherheitsorientierung („fraud prevention“) ihrer Institute verlassen können.

Dietmar Hellbeck

---