Bank oder Betrüger: Erkennen von Phishing fällt schwer

• 57 Prozent der Befragten äußerten bei gefälschten Schreiben zwar einen Betrugsverdacht, das traf aber auch auf 38 Prozent der gezeigten echten Schreiben von Banken und Sparkassen zu
• Nach Beobachtungen des vzbv werfen Banken Opfern von Cyberkriminalität trotzdem immer wieder pauschal vor, grob fahrlässig gehandelt zu haben
• Verbraucher:innen müssen sich darauf verlassen können, dass ihnen Banken Schäden durch Zahlungsbetrug erstatten

Verbraucher:innen können betrügerische Phishing-Mails nicht gut von echten E-Mails oder Abläufen bei ihrer Bank unterscheiden. Das zeigt eine repräsentative Online-Befragung des Verbraucherzentrale Bundesverbands. So verschaffen sich Betrüger:innen Zugriff auf Konten von Verbraucher:innen – mit schwerwiegenden Folgen: Wer Opfer von Betrug oder Cyberkriminalität wurde, bleibt nicht selten auf dem Schaden sitzen.

„Phishing-Mails, SMS und Fake-Anrufe: Die Maschen von Cyberkriminellen werden immer besser. Für Verbraucher:innen ist kaum zu erkennen, ob eine Mail von der eigenen Bank stammt oder ob es sich um ein betrügerisches Schreiben handelt“, sagt Ramona Pop, Vorständin beim vzbv. „Banken und andere Zahlungsdienstleister dürfen sich nicht aus der Verantwortung ziehen und Schäden durch Cyberangriffe einseitig auf Verbraucher:innen abwälzen.“

In einer repräsentativen Online-Befragung hat der vzbv Teilnehmer:innen mit Abläufen und E-Mails aus dem Zahlungsverkehr oder der digitalen Welt konfrontiert. Betrügerische Phishing-Mails und echte Mails von Banken waren für Befragte nur schwierig zu differenzieren.

• Zwar äußerten 57 Prozent der Befragten bei den betrügerischen Angriffen einen Betrugsverdacht, das traf aber auch auf 38 Prozent der gezeigten echten Mails und Abläufe zum Zahlungsverkehr zu.
• Nur 24 Prozent waren sich im Fall der Angriffe über die betrügerischen Absichten so sicher, dass sie es komplett ablehnten, auf das Anliegen einzugehen. Auch bei den echten Mails und Abläufen weigerten sich jedoch 19 Prozent, darauf einzugehen.
• Von Anbietern versendete Warnmeldungen, beispielsweise wenn zuvor unbefugt ein neues TAN-Verfahren eingerichtet wurde, waren so schlecht gestaltet, dass sie in der Mehrzahl der Fälle ihren Zweck nicht erfüllten: Nur 16 Prozent erkannten nach Erhalt der Warnmeldung, dass sie vorher auf einen Betrug hereingefallen waren.
• 43 Prozent der Teilnehmer:innen, die in der Befragung auf den Betrug hereingefallen waren, würden in der Folge ihr digitales Leben massiv einschränken und zum Beispiel nicht mehr im Internet bezahlen oder kein Online-Banking mehr machen.

Die Zweite Zahlungsdienstrichtlinie (PSD2) soll Verbraucher:innen vor Betrug schützen und sieht vor, dass Zahlungsdienstleister wie Banken Schäden unverzüglich erstatten müssen. In der Praxis jedoch entziehen sie sich dem immer wieder. So hat die Europäische Bankenaufsichtsbehörde (EBA) jüngst festgestellt, dass Verbraucher:innen bei 79 Prozent der betrügerischen Überweisungen für die Schäden aufkommen müssen.

„Banken werfen ihren Kund:innen immer wieder vor, bei Eingehen auf eine betrügerische Nachricht grob fahrlässig gehandelt zu haben“, sagt Pop. „Unsere Befragungsergebnisse zeigen aber, dass Verbraucher:innen betrügerische Absichten nicht zuverlässig von echten Mails ihrer Bank unterscheiden können.“

Der vzbv fordert, dass Zahlungsdienstleister berechtigte Ansprüche nicht länger pauschal mit Verweis auf angeblich grob fahrlässiges Handeln der Geschädigten abblocken können und sie Verbraucher:innen die Schäden durch betrügerische Zahlungen erstatten. „Verbraucher:innen müssen sich darauf verlassen können, dass ihre Ersparnisse sicher sind“, sagt Pop.

Betrug im Zahlungsverkehr nimmt seit Jahren zu. Die Konten von Verbraucher:innen stehen immer mehr im Fokus von Betrüger:innen. Phishing-Mails, Anrufe von angeblichen Bankmitarbeiter:innen, Nachrichten per SMS und über Messenger-Dienste – sie alle haben das eine Ziel: Das Geld der Verbraucher:innen. Im vergangenen Jahr wurden die Schadenssummen durch derartigen Betrug immer höher, während die Aufklärungsquote sank. Bei den Verbraucherzentralen stiegen die Beschwerden über Cyberkriminalität im Zusammenhang mit Finanzdienstleistungen erheblich an. Denn: Trotz einer auf den ersten Blick verbraucherfreundlichen Regelung zur Haftung in derartigen Betrugsfällen scheint die Abwicklung in der Praxis wiederholt nicht gut zu funktionieren. Verbraucher:innen bleiben immer wieder auf den teils hohen Schäden sitzen.

Derzeit beraten die europäischen Regierungen, wie die Haftung für betrügerische Zahlungen künftig geregelt werden soll. Dabei kursieren Überlegungen, grobe Fahrlässigkeit genauer zu definieren – etwa, wenn Verbraucher:innen Warnungen ignoriert haben. Die Ergebnisse der vorliegenden Untersuchung machen deutlich: Dies ginge völlig an der Lebensrealität der Menschen vorbei und könnte letztlich zum Innovationshemmnis für den europäischen Zahlungsverkehr werden.

Zwischen 1. und 4. November 2023 wurden in einer repräsentativen Online-Befragung von eye square im Auftrag des vzbv 1.035 Teilnehmer:innen mit Abläufen (bspw. Online-Banking, Einbinden des Kontos in Kontoinformationsdienste, Einrichten eines neuen Authentifizierungsverfahrens) oder E-Mails aus dem Zahlungsverkehr oder der digitalen Welt konfrontiert. Die Hälfte der dargestellten Fallsituationen simulierte einen betrügerischen Angriff auf die Zahlungskonten der Betroffenen. Die andere Hälfte hingegen waren Kommunikationsbeispiele und Prozesse, wie sie tatsächlich von echten Anbietern ohne betrügerischen Hintergrund durchgeführt wurden. Jeweils 100 Teilnehmer:innen wurden pro Fallkonstellation befragt, wie sie die jeweilige Situation einschätzen und wie sie darauf reagieren würden.