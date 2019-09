Was für jeden Bankkunden ein Albtraum ist, hat Thomas Müller (Name geändert) erlebt: Innerhalb weniger Minuten entwendeten Unbekannte sechsmal 5000 Franken von seinem Revolut-Konto. Diese Zeitung berichtete ausführlich über den Fall, der sich vor rund zwei Wochen ereignet hatte. Wie sich herausstellte, sind mehrere Kunden der Finanzdienstleisterin Revolut auf einen Phishing­betrug hereingefallen. Sie folgten den ­Anweisungen einer SMS, die ­angeblich von Revolut stammte, und gaben persönliche Kontodaten preis, mit denen sich ­Betrüger Zugang zum Konto ­verschaffen konnten. Revolut hat nach der Berichterstattung über das Phishing rasch reagiert und Müller wie auch anderen ­Betroffenen die entwendeten Gelder schon nach wenigen ­Tagen zurückerstattet.

Revolut wird oft auch Smartphone-Bank genannt, da die mehr als sechs Millionen Kontoinhaber alle Transaktionen über das Smartphone abwickeln ­können. Wie bei weiteren ­vergleichbaren Fintech-Unternehmen können Nutzer ins­besondere in Fremdwährungen Zahlungen zu günstigeren Konditionen durchführen als mit ­traditionellen Kreditkarten.

Die Kunden im Visier

«Kriminelle, die auf elektronischem Weg Geld abzweigen wollen, wägen wie ein wettbewerbsorientiertes Unternehmen zwischen Aufwand und Ertrag ab», sagt Oliver Hirschi. Er ist Experte für Sicherheit im E-Banking und Dozent an der Hochschule Luzern. Er hat auch den Internetdienst «E-Banking – aber ­sicher» ins Leben gerufen. Ein 100 Prozent sicheres System existiert nicht, wie verschiedene Experten betonen. Doch die von Spezialisten betreuten Informatiksysteme bei Banken sind ­ungleich schwerer zu knacken als jene der Kunden, die in technischer Hinsicht öfters unbedarft agieren. Deshalb ist es nahe­liegend, dass Onlinebetrüger mit ihren Angriffen fast immer auf Kunden zielen.

Ein 100 Prozent sicheres E-Banking-System existiert nicht.

Am einfachsten ist das bereits erwähnte Phishing, bei dem Nutzer den Zugang zu ihrem Konto selber verraten. «Mails können gratis verschickt werden, weshalb Phishing das kostengünstigste Einfallstor ist», sagt Urs Küderli, Verantwortlicher für ­Cybersicherheit bei der Unternehmensberaterin PWC Schweiz. Nach etlichen Sensibilisierungskampagnen sind die Nutzer aufmerksamer geworden, doch gleichzeitig gehen auch die Angreifer professioneller vor.

Da es Kunden bei Smartphone-Banken gewohnt sind, alles über das Handy abzuwickeln, liegt womöglich die Hemmschwelle ­tiefer, auf SMS-Anfragen auch heikle Informationen preiszu­geben, wie verschiedene Experten mutmassen. Zudem werden gelegentlich auch gefälschte Nummern verwendet, um einen ­vertrauenswürdigen Absender vorzutäuschen. Doch Fragen nach einem Kontozugang sind grundsätzlich verdächtig: «Ein Revolut-Mitarbeiter wird unter keinen Umständen nach einer PIN oder einem Passwort fragen», warnt Revolut seine Kunden.

Revolut-Nutzer können zudem Betrügern das Leben schwer machen, indem sie die Karte in der App deaktivieren, solange sie diese nicht brauchen. Sie lässt sich problemlos wieder aktivieren. Zudem lässt sich das Risiko verkleinern, wenn der Kunde in der App keine Kreditkarte hinterlegt. So muss das Konto zwar etwas aufwendiger über Bankzahlungen geladen werden, aber ein Betrüger kann so immerhin nicht mehr Geld entwenden, als auf dem Revolut-Konto liegt.

Gesunder Menschenverstand

Der beste Schutz vor Phishing ist der gesunde Menschenverstand, wie mehrere Experten betonen. «Niemand würde fremden Leuten auf der Strasse sensible Kontoinformationen mitteilen», sagt Küderli. Wenn die Aufforderung täuschend echt daherkommt und der Kunde unsicher ist, gibt es ein einfaches Rezept: Eine Rückfrage beim zuständigen Finanzinstitut schafft Klarheit.

Obwohl beim Phishing der Fehler beim Kunden liegt, ersetzen die meisten Finanzinstitute wie aktuell auch Revolut dem Kunden den Schaden, um nicht ein Reputationsrisiko einzugehen und Kunden zu verlieren. Manchmal gibt es dazu auch Schweigevereinbarungen.

Neben dem Phishing gibt es raffinierte Angriffe wie zum Beispiel mit Schadsoftware, die den PC oder das Handy infiziert. Selbst wenn der Betrüger keine Zugangsdaten zu einem Konto besitzt, kann er auf diese Weise zum Beispiel Zahlungen des Kontoinhabers manipulieren. Diese Methode ist auch bekannt unter der Bezeichnung «Man in the Middle»-Attacke, da sich der Betrüger zwischen den Kunden und die Bank schaltet und auf diese Weise Geld abzweigt.

Revolut-Nutzer können Betrügern das Leben schwer machen, indem sie die Karte in der App deaktivieren.

Experte Oliver Hirschi von der Hochschule Luzern rät, das Betriebssystem von PC und Smartphone sowie die Apps auf dem aktuellsten Stand zu halten. Regelmässige Updates würden das Risiko von Schadsoftware schon stark einschränken. Zudem empfiehlt er auch für Android-Handys einen Virenschutz, der auf diesen Geräten leider oft vergessen gehe. Und beim Herunterladen von Gratis-Apps – insbesondere von nicht offiziellen Anbietern – sei Vorsicht geboten.

Beim SIM-Karten-Hack kapern schliesslich Betrüger eine Handy-Nummer und können damit gelegentlich an sensible Passwörter gelangen. Opfer ­erkennen dies meist anhand von Störungen in der Mobilfunktelefonie. Im Zweifelsfall sollte die SIM-Karte ausgewechselt werden. Swisscom kann aber auf ­Anfrage auch rasch feststellen, ob ein SIM-Karten-Hack vorliegt.

Obwohl Finanztransaktionen eine elektronische Datenspur hinterlassen, ist es schwierig, ­online entwendetes Geld zurückzuholen oder gar die Täter zu fassen. Denn das Geld fliesst in Länder, mit denen ein juristischer Austausch schwierig ist oder die Strafverfolgung versagt, wie ­Patrick Schaller vom Institut für Informationssicherheit der ETH Zürich erläutert. Oft stellen nur am Rande beteiligte Drittpersonen ihr Konto zur Verfügung und leiten das Geld zum Beispiel mit Western Union weiter an einen Empfänger, der es bar und unerkannt entgegennimmt.