Cyberkriminelle plündern Bankkonten mit Hilfe von Künstlicher Intelligenz

Mittels KI können in Sekundenschnelle hochgradig individuelle Spear-Phishing-Mails generiert werden, was solche Angriffe gefährlicher und wirksamer macht als je zuvor. So offenbar auch im jüngsten Phishing Skandal bei den Sparkassen, worüber CLLB bereits berichtete.

Die Schadenssummen liegen in vielen Bundesländern bereits bei mehreren Millionen Euro, wie das Verbrauchermagazin WISO mitteilte. Den Banken sei die Sicherheitslücke zudem seit langem bekannt.

Das Gesetz sieht eigentlich eine starke Kundenauthentifizierung vor, wenn der Bankkunde sich online in sein Bankkonto einloggt. Viele Banken nutzen allerdings eine gesetzliche Ausnahme, die einen Zugriff ohne weitere TAN-Bestätigung erlaubt. Es dürfen hierbei aber keine sensiblen Zahlungsdaten einsehbar sein.

Genau solche Daten wie Anschrift, Geburtsdatum oder Telefonnummer waren bei vielen Sparkassen offenbar jahrelang im „Lesezugriff“ hinterlegt, sodass die fehlende 2-FA den Kriminellen als Einfallstor diente. Die Bafin urteilt gegenüber dem Verbrauchermagazin: „Sofern dieser Lesezugriff bei einzelnen Sparkassen möglich ist, sollte dies unverzüglich bereinigt werden“.

In rechtlicher Hinsicht hätte der Bankkunde für den Schaden nur aufzukommen, sofern es der Bank gelingt, ihm grobe Fahrlässigkeit im Umgang mit seinen Zahlungsdaten nachzuweisen. Hiervon kann jedoch aufgrund maßgeschneiderter Phishing-Mails kaum die Rede sein. Der Gesetzgeber hat zudem geregelt, dass sich Banken nicht auf den Vorwurf der groben Fahrlässigkeit berufen können, wenn eine 2-FA nicht etabliert war, so Rechtsanwalt Ruigrok van de Werve, von der Kanzlei CLLB. Auch durch weitere dem aktuellen Stand der Technik entsprechende Anti-Phishing Maßnahmen, hätte der Hack seitens der Bank verhindert werden können.

CLLB Rechtsanwälte raten betroffene Bankkunden daher mit einer entsprechend versierten Kanzlei ihrer Wahl Kontakt aufnehmen, um die unautorisiert abgebuchten Gelder zurückzuverlangen.