Berlin, München 12.07.2023 – Der Chat Bot Chat GPT enthält zunehmend Einzug in den Bereich organisierter Internetkriminalität und erleichtert Cyberkriminellen den Zugriff auf Bankkonten.
Mittels KI können in Sekundenschnelle hochgradig individuelle Spear-Phishing-Mails erstellt werden, was solche Angriffe wirksamer und gefährlicher macht als je zuvor. So offenbar auch im jüngsten Phishing Skandal bei den Sparkassen, worüber CLLB bereits berichtete.
Die Schadenssummen liegen in vielen Bundesländern bereits bei mehreren Millionen Euro, wie das Verbrauchermagazin WISO mitteilte. Die Sicherheitslücke sei den Banken zudem seit langem bekannt.
Eigentlich schreibt das Gesetz eine starke Kundenauthentifizierung vor, wenn der Bankkunde sich in sein Bankkonto einloggt. Doch viele Banken nutzen eine gesetzliche Ausnahmeregelung, die einen Zugriff ohne weitere TAN-Bestätigung erlaubt. Es dürfen dabei allerdings keine sensiblen Zahlungsdaten einsehbar sein.
Genau solche Daten wie Anschrift, Geburtsdatum oder Telefonnummer waren bei vielen Sparkassen jahrelang im „Lesezugriff“ hinterlegt, sodass die fehlende 2-FA den Kriminellen als Einfallstor diente. Die Bafin urteilt gegenüber dem Verbrauchermagazin: „Sofern dieser Lesezugriff bei einzelnen Sparkassen möglich ist, sollte dies unverzüglich bereinigt werden“.
In rechtlicher Hinsicht hätte der Bankkunde für den Schaden nur aufzukommen, sofern es der Bank gelingt, ihm grobe Fahrlässigkeit im Umgang mit seinen Zahlungsdaten nachzuweisen. Hiervon kann jedoch aufgrund maßgeschneiderter Phishing-Mails kaum die Rede sein. Der Gesetzgeber hat zudem geregelt, dass sich Banken nicht auf den Vorwurf der groben Fahrlässigkeit berufen können, wenn eine 2-FA nicht etabliert war, so Rechtsanwalt Ruigrok van de Werve, von der Kanzlei CLLB. Auch durch weitere dem aktuellen Stand der Technik entsprechenden Anti-Phishing Maßnahmen, hätte der Hack seitens der Bank verhindert werden können.
Betroffene Bankkunden sollten daher schnellstmöglich mit einer entsprechend versierten Kanzlei ihrer Wahl Kontakt aufnehmen, um die unautorisiert abgebuchten Gelder zurückzuverlangen.