Allgemeines
Bei der Bezahlung über das Internet sollte in der Regel immer Vorsicht geboten sein. Eine 100%ige Sicherheit gibt es nicht. Hier sind die Täter darauf aus, sensible Daten, die für eine Bezahlung oder Onlinebanking notwendig sind, zu erhalten, um damit weitere Taten begehen zu können, die einen finanziellen Vorteil verschaffen.
Die Sicherheitsmaßnahmen, die grundsätzlich vor einer Bezahlung/Überweisung über das Internet getroffen werden sollten, sind vielseitig, aber bei regelmäßiger Durchführung nicht schwer.
Halten Sie Ihr Betriebssystem auf dem neusten Stand. Nutzen Sie, wenn gewünscht, die Option der automatischen Updates. Alternativ können Sie sich bei einigen Betriebssystemen auch über neue Updates benachrichtigen lassen und über die Installation selbst entscheiden.
Gleiches gilt für die übrige verwendete Software, wie z.B. Internetbrowser, Zusatzprogramme zum Öffnen spezieller Dateien (z.B. pdf, doc, avi, mov, mpg, mp3, m4v, jpg), Plugins, Addons und nicht zu vergessen Antivirensoftware und Firewall.
Scannen Sie regelmäßig ihr Betriebssystem, sowie die angeschlossenen Datenträger auf Schadsoftware. Vergessen Sie auch nicht Datenträger wie USB-Sticks oder Speicherkarten, die vielleicht nur ab und zu eingesteckt werden. Nutzen Sie die vorgeschlagenen Optionen, der Software, die in der Regel die wichtigsten Grundeinstellungen für ein sicheres Surfen ermöglichen. Alternativ können Sie die Sicherheitsregeln in der Antivirensoftware auch selber anpassen und somit auch verschärfen.
Sollten Sie einen Bezahldienst nutzen, der über den Internetbrowser aufgerufen wird, so vergewissern Sie sich, dass Sie die richtige Adresse der entsprechenden Homepage eingegeben haben. Verwenden Sie keine Adressen, die Sie z.B. per Mail bekommen haben. Seien Sie auch vorsichtig, mit Suchergebnissen aus Suchmaschinen. Nicht immer werden die Originalanbieter als erstes Ergebnis angezeigt. Täter nutzen die bezahlte prominente Platzierung ihrer gefälschten Webseiten.
Verwenden Sie, soweit möglich eine gesicherte (verschlüsselte) Verbindung zu dem Bezahldienst. Sie erkennen dies am „s“ in „https://“. Einige Browser unterlegen in der Adresszeile diesen Bereich auch mit einer grünen Farbe. Ebenso wird oft auch ein geschlossenes Bügelschloss im Browser angezeigt.
In der Regel sollten seriöse Zahlungsanbieter diese gesicherte Verbindung anbieten.
Falls Sie weitere Informationen über die gesicherte Verbindung bekommen möchten, können Sie in einigen Browsern auch auf genau die eben genannten Bereiche (Grüner Bereich, Bügelschloss) klicken. Hier bietet sich die Option an, die Sicherheitszertifikate anzuschauen. Solche Zertifikate sollen die Echtheit der besuchten Seiten bestätigen. Einige Banken und Bezahldienste stellen auch extra für einen Vergleich solcher Zertifikate die entsprechenden Daten in das Netz. Fragen Sie ggf. bei Ihrem Dienst persönlich nach, wenn Sie diese nicht finden. Diverse Banken setzen einen Abgleich dieser Zertifikate für die Nutzung des Dienstes sogar voraus und halten dieses in den Allgemeinen Geschäftsbedingungen fest, die Sie wohlmöglich bei z.B. Ihrer Bank für den Abschluss von Onlinebanking unterschrieben haben.
Es gibt für verschiedene Internetbrowser zusätzliche Programme (Addons), die Ihnen nach der Installation zeigen, wo die gerade besuchte Internetseite beheimatet ist.
Zwei Beispiele hierfür wären „Flagfox“ und „WorldIP“. In der Browserzeile mit der Adresse der Homepage wird dann am Ende zusätzlich eine Flagge des jeweiligen Landes gezeigt, wo die Internetseite aktuell gespeichert (gehostet) ist. Sollten Sie beispielsweise Ihre Bank aufrufen und Sie entdecken dort eine ausländische Flagge, so sollten Sie, soweit die Bank sich nicht in diesem Land befindet, misstrauisch bezüglich der Webseite sein. Auch bei diesen Addons sollten Sie immer die aktuelle Version verwenden.
Sollten Sie sich an einem fremden Computer (z.B. Internetcafé, Hotel-PC) oder in einem fremden Netzwerk (LAN oder WLAN) befinden, empfehlen wir, Onlinebanking, Zahldienste oder Online-Shopping nicht zu benutzen. Sie können nicht wissen, wie gut das fremde System gegen Schadsoftware geschützt ist oder ob dieses nicht bereits schon mit z.B. Trojanern infiziert wurde. Auch besteht die Gefahr in fremden Netzwerken (z.B. offenes WLAN im Café), dass unbekannte den unverschlüsselten Datenverkehr auslesen können.
- Halten Sie Ihr Betriebssystem ständig aktuell
- Halten aktuelle Zusatzprogramme/Apps aktuell (Internetbrowser, Addons, Plugins, Medienprogramme, Flash, Java, PDF-Reader usw.)
- Nutzen Sie aktuelle Antivirensoftware und eine Firewall, wenn für Ihr System verfügbar
- Führen Sie regelmäßige und vollständige Scans mit der Antivirensoftware durch
- Achten Sie auf eine sichere (verschlüsselte) Verbindung (https://) beim Bezahl- und Loginvorgang
- Überprüfen Sie ggf. beim Onlinebanking die Sicherheitszertifikate gemäß den Vorgaben Ihrer Bank
- Tätigen Sie keine Zahlungen über fremde Computersysteme oder fremde Internetverbindungen
PIN und TAN
PIN (Persönliche Identifikationsnummer) und TAN (Transaktionsnummer) sind vertrauliche Zahlenfolgen. Diese gelten nur für Sie und keine andere Person. Geben Sie diese Daten niemals an andere Personen weiter und schreiben/bewahren Sie diese niemals in direkter Nähe zu z.B. der zugehörigen Zahlungskarte oder dem Computer für Onlinebanking auf. Mitarbeiter der Banken oder Zahlungsdienste werden Sie nie per Telefon oder E-Mail auffordern, diese Daten bekannt zu geben oder auf dem Telefon einzutippen. Ausnahmen sind hier ggf. spezielle PIN (z.B. Telefon-PIN, Kundenkennwörter). Diese Sonderpasswörter/PIN entsprechen nicht der normalen PIN und müssen ggf. gesondert angelegt werden/werden Ihnen gesondert vom Anbieter zugeteilt. Fragen Sie bezüglich solcher Codes bei Ihrem Dienstanbieter nach. Betrachten Sie eine eingegebene TAN wie eine geleistete Unterschrift! Mit einer TAN in Täterhänden, können die Täter in Ihrem Namen „unterschreiben“, also eine Transaktion ausführen/bestätigen!
PIN und TAN werden in der Regel getrennt und in besonderen Umschlägen oder auf besonderem Papier geliefert, um Einblicke durch Unbefugte zu Verhindern. Diese sollten beim Eintreffen vollständig verschlossen sein und keine Beschädigung in der jeweiligen Sicherung aufweisen. Informieren Sie in anderen Fällen unverzüglich den Versender. Die Lieferung von TAN in Papierform und auf Vorrat ist inzwischen nicht mehr zeitgemäß.
Onlinebanking
Onlinebanking kann auf mehrere Arten und Weisen erfolgen. Sie nutzen einen Internetbrowser auf Ihrem PC, eine App auf dem Smartphone oder Tablet-Computer oder eine eigenständige Software, die lediglich für Onlinebanking erstellt wurde. Im weiteren Verlauf werden Ihnen derzeit gängige Methoden vorgestellt. Diese können sich je nach Bank und Kreditinstitut namentlich unterscheiden. Sprechen Sie mit Ihrem Kreditinstitut und nutzen Sie die angebotenen und sicheren Möglichkeiten. Ggf. enstehen dabei zusätzliche Kosten.
Trotz aktueller Antivirensoftware und Firewall kann es passieren, dass ein Computer nicht 100% sicher ist. Jedes Antivirenprogramm arbeitet anders, so dass es sein kann, dass die Software des einen Herstellers einen Virus nicht oder nicht sofort erkennt, eine andere Software jedoch diesen Virus auf Anhieb beseitigt. (Achtung! Die gleichzeitige Verwendung mehrerer Antivirenprodukte verschiedener Hersteller kann die Lauffähigkeit eines Computers beeinträchtigen. Informieren Sie sich vor Kauf und Installation beim entsprechenden Hersteller.) Onlinebanking ist in der Regel sicher, solange die Vorgaben der Banken beachtet werden und entsprechende Sicherheitsmaßnahmen durchgeführt wurden (z.B. Antivirus, Firewall, Updates von Browser und weiterer Software, Aufmerksames Lesen der Informationen). Die Gefahr für das Onlinebanking resultiert häufig durch eingeschleuste Schadsoftware und auch durch die Unwissenheit/Unachtsamkeit der Nutzer.
Besonders gefährlich sind Phishingmails, die im Namen einer Bank oder bekannten/seriösen Firma verschickt werden und die Empfänger verunsichern. Solche Mails enthalten oft gefährliche Schadsoftware im Anhang oder Links zu gefälschten Seiten. Banken, Kreditinstitute und andere seriöse Unternehmen, die mit sensiblen Zugangs- und Kundendaten arbeiten, fordern Sie nie per Mail zur Herausgabe/Verifizierung dieser Zugangs- und Kundendaten auf. (Ausgenommen sind zuvor selbst angstossene Verifikationsprozesse.)
Sie sind Geschädigter im Onlinebanking-Verfahren? Informieren Sie sich hier im Bereich Phishing und handeln Sie unverzüglich!
Nutzung von Live-CD‘s
Einige Anbieter vertreiben sogenannte Live-CD’s. Auf einem solchen Datenträger befindet sich ein eigenständiges Betriebssystem, welches anstelle des installierten Betriebssystems auf den Festplatten des Computers, vorübergehend (temporär) installiert wird und nach Beenden der Sitzung vom PC wieder automatisch verschwunden ist. Hierzu wird oft das Betriebssystem Linux verwendet. Als Datenträger dienen neben CD-ROM auch DVD und USB-Sticks. Im Bios (Bios ist die Firmware, die beim Starten eines Computers aus dem nichtflüchtigen Speicher der Computerhauptplatine, dem Mainboard, zunächst geladen wird) wird die Startreihenfolge der angeschlossenen Datenlaufwerke festgelegt. Dort kann bestimmt werden, dass beim Hochfahren des Computers statt auf die Festplatte auf einen alternativen Datenträger (z.B. die Live-CD) zugegriffen wird. Das eigentliche Betriebssystem von der Festplatte (z.B. Windows) wird somit gar nicht erst gestartet und mögliche Schadsoftware, die darauf enthalten sein kann, kommt gar nicht erst zur Ausführung. Die Hersteller solcher Live-Systeme legen Wert auf eine schadsoftwarefreie Umgebung, mit der ein sicheres Onlinebanking möglich ist. Die Nutzung solcher Betriebssysteme wird vom jeweiligen Anbieter in der Regel gut erklärt.
TAN-Liste (klassisch)
Die Transaktionsnummern-Liste, die dem Bankkunden in Papierform ausgehändigt wurde, ist eine Möglichkeit, beim Online-Banking die Richtigkeit der Überweisung zu bestätigen. Die TAN ist vergleichbar zu einer geleisteten Unterschrift. Für jede Transaktion wird eine neue TAN benötigt, die dann auf dem Papier gestrichen werden sollte, um den Überblick über die getätigten Verwendungen und verbrauchten TAN zu behalten. Von der „klassischen“ Liste konnte eine beliebige TAN benutzt werden. Diese Art der Bereitstellung von TAN sollte aus Sicherheitsgründen nicht mehr erfolgen. Hier wird eine Umstellung auf modernere Verfahren empfohlen.
iTAN-Liste
Hier wird eine indizierte TAN-Liste für das Onlinebanking verwendet. Die Banken fordern für eine Transaktion in diesem Fall keine beliebige TAN, sondern eine spezielle TAN aus der Liste (z.B. TAN 21).
Aufgrund der zahlreichen Vorfälle bezüglich Phishing wird dieses Verfahren mit der gedruckten Liste von den meisten Banken nicht mehr unterstützt. Soweit machbar, sollte hier auf ein moderneres Verfahren umgestiegen werden.
mTAN- mobile TAN / SMS TAN
Bei der Verwendung mobiler TAN wird ein zweiter Übertragungskanal zur Bank benutzt – die Mobilfunkleitung. Der Bankkunde veranlasst eine Überweisung mittels Onlinebanking. Die Bank sendet daraufhin eine Bestätigung an die bei der Bank hinterlegte Mobilfunknummer des Bankkunden. Darin sind Details zur Überweisung und die vorübergehend gültige TAN enthalten, die der Kunde als Bestätigung im Onlinebanking eintragen muss. Dieser Weg der zweigeteilten Datenübertragung gilt derzeit als einigermaßen sicher. Jedoch ist es in der vergangenen Zeit vermehrt zu Angriffen mittels Trojanern auf dieses Verfahren gekommen ist. Der Trojaner wird z.B. auf dem Smartphone und dem Computer des Bankkunden installiert. Er überwacht und manipuliert nun beide Übertragungswege synchron. Wichtig ist, dass Nutzer dieses Verfahrens auch die auf dem Smartphone zusätzlich angezeigten Daten (z.B. Empfängerdaten) korrekt lesen und im Falle einer Unstimmigkeit die Überweisung abbrechen.
Hier wird empfohlen, für den mobilen TAN-Dienst, soweit vorhanden, ein altes Handy (kein Smartphone) zu verwenden. Ebenso sollten Onlinebanking und Empfang von TAN nicht auf dem gleichen Gerät erfolgen, da sonst die absichtlich getrennten Übertragungswege wieder zusammengeführt werden.
Weiterhin sollte darauf geachtet werden, dass beim Onlinebanking keine Updates für das mobile Endgerät forciert werden. Hier kann es sein, dass die auf dem Computer befindliche Schadsoftware versucht, die entsprechende Schadsoftware auf das Smartphone zu übertragen. Dies kann einerseits per Update über eine SMS oder MMS, andererseits aber auch über die kabelgebundene Verbindung (z.B. bei der Synchronisierung) zum Computer erfolgen.
Achten Sie darauf, dass Ihr Smartphone „virenfrei“ bleibt!
Ebenfalls besteht die Gefahr, dass die Täter die Mobilfunkdaten im Onlinebanking ändern. Hier gibt es bei den Banken unterschiedliche Alarmierungsoptionen, die eine solche Veränderung dem ursprünglichen Kunden mitteilen. Kontrollieren Sie regelmäßig Ihre beim Onlinebanking hinterlegten Stamm- und Kontaktdaten.
Eine aktuelle Entwicklung zeigt, dass die Täter bei den Mobilfunkanbietern eine zusätzliche SIM-Karte (Ersatz- oder Multi-SIM) bestellen, diese aber an eine andere Adresse liefern lassen. Durch z.B. spezielle Tastencodes am Mobiltelefon kann diese neue SIM-Karte dann allein für den Empfang von SMS und somit auch für den Empfang von mobilen TAN geschaltet werden. Die Täter können dann in Verbindung mit den gehackten oder ausspionierten Onlinebankingdaten selbsttätig Überweisungen veranlassen, ohne dass es der eigentliche Kunde sofort mitbekommt. Liegt dann auch noch ein Zugriff über das Onlinebanking auf Festgeldkonten vor, so haben die Täter noch mehr Möglichkeiten für Überweisungen. Diese Vorgehensweise wird durch derzeit noch teilweise unzureichende Sicherheitsmaßnahmen bei den Mobilfunkprovidern, aber auch durch die Unvorsichtigkeit der Mobilfunkkunden (z.B. keine Kundenkennwörter vergeben) unterstützt. Hier bessern derzeit einige Provider nach und verschicken Multi-SIM-Karten nur an bekannte Kundenadressen.
Unsere Tipps in Kurzform:
- Getrennte Wege der Übertragungen beibehalten – kein Onlinebanking und TAN-Empfang auf demselben Gerät
- Nutzung eines alten Mobiltelefons (kein Smartphone) minimiert die Gefahr des Einspielens von Schadsoftware und ist für den Empfang von SMS gut geeignet.
- Vorsicht bei der Abfrage von Mobilfunkdaten (z.B. Kundenupdate notwendig) oder dem notwendigen Softwareupdate eines Mobiltelefons beim Onlinebanking
- Richten Sie bei Ihrem Mobilfunkprovider ein sicheres Kundenkennwort für den Telefonsupport, aber auch für den Onlinesupport ein.
- Beschränken Sie die täglichen Auszahlungen/Überweisungen auf ein mögliches Minimum. Reduzieren Sie Ihren Dispo. Fragen Sie hierfür nach den Möglichkeiten in Ihrer Bank.
- Setzen Sie, falls nicht benötigt, eine Sperre für Auslandsüberweisungen.
- Sichern Sie Ihren Computer, aber auch Ihr Smartphone, soweit möglich mit einem aktuellen Antivirenschutz ab. Aktualisieren Sie nach längerer Nichtnutzung vor dem Onlinebanking Ihre Antivirensoftware und führen Sie einen Scan durch. Tun Sie dies auch regelmäßig!
- Seien Sie vorsichtig bei telefonischen Nachfragen nach Kundendaten und Passwörtern, wenn Sie angerufen werden oder nach den gleichen Daten, wenn diese unerwartet per E-Mail gefordert werden.
- Lesen Sie die angezeigten/übermittelten Daten von der Bank auf dem Display des mobilen Endgerätes genau und brechen Sie die Überweisung bei Unstimmigkeiten ab!
TAN-Generatoren
Egal, welchen TAN-Generator Sie benutzen. Achten Sie immer darauf, dass Täter Sie nicht durch die Vorgabe falscher Behauptungen dazu verleiten, Überweisungsdaten einzugeben, die letztendlich eine TAN generieren mit der Sie eine Überweisung bestätigen können.
Smart-TAN / Sm@rt-TAN
Hier erhält der Bankkunde einen Kartenleser. Um eine gültige TAN zu erhalten muss der Bankkunde seine Kundenkarte in das Lesegerät einführen. Die gültige TAN wird auf dem Display angezeigt. Verliert ein Kunde seine Karte, so können mit einem anderen Kartenleser ebenfalls gültige TAN erzeugt und benutzt werden. Die Kundenkarte ist in diesem Fall nicht die Karte, mit der am Geldautomaten Geld abgehoben wird.
eTAN-Generator
Hier erhält der Kunde einen personalisierten TAN-Generator. Jede Transaktionsnummer muss durch die Angabe der Empfängerkontonummer im Generator erzeugt werden. Die erzeugte TAN wird dann auf dem Display des eTAN-Generators angezeigt und kann anschließend im Computer eingegeben werden. Ein Einführen der Kundenkarte ist nicht vorgesehen.
Chip-TAN/smart-TAN plus
Der Bankkunde erhält ein Lesegerät, in welcher er seine Kundenkarte bei Anforderung am Computer einführen muss. In das Lesegerät ist zuvor ein Startcode einzutippen, der am Monitor bei Onlinebanking angezeigt wird. Ggf. wird noch eine Eingabe von Empfängerbankdaten und Betrag gefordert. Im Anschluss wird die TAN angezeigt, die am Computer entsprechend eingetippt werden muss.
Hier konnten schon Vorfälle festgestellt werden, bei denen der Kunde durch die Schadsoftware der Täter aufgefordert wurde, eine Kalibrierung des Lesegerätes durchzuführen. Dabei sollte der Kunde vorgegebene Zahlenfolgen in das Lesegerät eingeben und im Anschluss die generierte TAN online eintippen. Hierbei handelte es sich jedoch nicht um Kalibrierungscodes, sondern um die Bankdaten des Geldempfängers, den die Täter ausgewählt haben. Mit der Eingabe der TAN wurde stattdessen ein normaler Überweisungsvorgang ausgelöst.
Smart-TAN optic /chip-TAN comfort
Hierbei handelt es sich um ein Lesegerät, welches zunächst die zuvor online eingegeben Empfänger- und Zahlungsdaten mittels eines optischen Codes (Flickercode) auf dem Monitor durch optische Sensoren ausliest. Weiterhin muss die Kundenkarte in das Lesegerät eingefügt werden. Die somit übermittelten Daten werden zum Vergleich nochmals auf dem Display des Lesegerätes angezeigt. Nach Bestätigung der Richtigkeit wird die gültige TAN angezeigt.
photoTAN
Hier wird im Bankingvorgang auf dem Computermonitor ein farbiger Barcode angezeigt, der mittels zugehöriger App auf einem Smartphone oder mittels Lesegerät gescannt wird. Die relevanten Daten der Überweisung soweit eine photoTAN werden dann auf diesen Lesegeräten angezeigt. Die TAN kann dann nach Überprüfung der Überweisungsdaten durch den Kunden im Onlinebanking zur Bestätigung eingegeben werden.
BestSign und Seal One®
Aktuell wird von der Postbank ein neues Verfahren angeboten. Hier wird für das Onlinebanking ein zusätzlicher USB-Stick, der Seal One®, genutzt.
Nach einer Einrichtung/Aktivierung im Onlinebanking-Portal mit den entsprechenden Daten, die durch die Bank an den Kunden geschickt wurden, kann der USB-Stick zur Verifizierung und Überprüfung der gerade getätigten Überweisung genutzt werden. Die Daten der aktuellen Überweisung werden auf einem kleinen Display im Stick angezeigt. Stimmen die dort angezeigten Daten mit den Daten auf dem Monitor und natürlich mit den gewünschten Zahlungsdaten überein, so kann der Kunde durch Knopfdruck am USB-Stick die Überweisung bestätigen. Gibt es Unterschiede, z.B. durch eine manipulierte Darstellung im Onlinebanking am Monitor, so soll der Kunde die Überweisung nicht durch Knopfdruck bestätigen, die Transaktion abbrechen, den Seal One® vom Computer abziehen und seine Bank informieren. Diese Art der Verifizierung wird durch die Postbank „BestSign“ genannt.
Der Polizei Niedersachsen sind derzeit keine Vorkommnisse mit diesem neuen Verfahren bekannt.
HBCI
Das HBCI-Verfahren (Homebanking Computer Interface) ist bereits seit längerer Zeit in Umlauf und liegt in verschiedenen Ausführungen vor.
Hierbei wird eine Kundenkarte in ein mit dem Computer verbundenen Lesegerät eingeführt. Je nach Lesegerät wird für eine Transaktion die Eingabe der zur Karte gehörigen PIN gefordert. Verfügt das Lesegerät über eine eigene Tastatur, so wird die PIN-Eingabe auf dem Display angefordert und am Gerät eingegeben. Alternativ sind noch Lesegeräte im Umlauf, die eine PIN-Eingabe über die Computertastatur verlangen. Eine TAN-Eingabe ist hier nicht mehr notwendig. Die Kombination aus Kundenkarte, PIN und angeschlossenem Lesegerät bieten hier die Bestätigung zur Überweisung.
Lesegeräte werden dem Bankkunden ggf. vergünstigt oder gratis zur Verfügung gestellt. Diese können aber auch in verschiedenen Ausführungen (z.B. mit der Lesefunktion für den neuen Personalausweis, Bluetooth für Tablets) im Fachhandel erworben werden.
Solche Lesegeräte finden Anwendung beim Onlinebanking mittels Internetbrowser und eigenständiger Onlinebanking-Software.
Wir empfehlen hier ausdrücklich die Nutzung des HBCI-Verfahrens in Verbindung mit einer Onlinebanking-Software und USB-Kartenleser. Die Schwachstelle „Internetbrowser“ wird somit umgangen.
Banking Software
Als Alternative zum Onlinebanking über den Webbrowser, der durch Schadsoftware sehr leicht manipulierbar ist, gibt es die Möglichkeit, eine eigenständige Software zu benutzen. Diese Softwarelösungen bieten oft neben dem Onlinebanking zahlreiche Zusatzfunktionen für Bankgeschäfte. Je nach Bank und Kontotyp besteht die Option, diese Software zu kaufen, zu mieten oder als Inklusivleistung zu bekommen. Alternativ kann die Software auch im Fachhandel oder beim Hersteller bezogen werden. Einige Computerzeitschriften bieten solche Programme auch immer wieder auf den beigefügten Heft-CDs an. Hierbei handelt es sich dann meist um Sonderausgaben oder ältere Versionen der Software. Ihre Bank sollte Ihnen bezüglich der geeigneten Programme Auskunft geben können. In Verbindung mit einer HBCI-Karte und einem entsprechenden Kartenleser (mit USB-Anschluss) erfolgt dann z.B. die Verifizierung der Transaktion. Von Seiten der Polizei wird eine solche Onlinebanking-Lösung derzeit befürwortet. Mit zusätzlichen Kosten für Software und Lesegerät ist zu rechnen.
Virtuelle Tastatur
Einige Banken und Programme bieten für die Eingabe der vertraulichen Daten eine virtuelle Tastatur an. Hier können dann statt mit der eigentlichen Tastatur mittels Mausklick die geheimen Ziffern angeklickt werden. Dies soll ein ausspionieren durch Keylogger verhindern. Vereinzelt wird diese Tastatur auch automatisch auf verschiedenen Positionen am Monitor angezeigt. Dies ist kein Fehler, sondern soll zusätzlich ein Auslesen der Daten durch Schadsoftware verhindern.
Apps
Für die verschiedenen Betriebssysteme von Smartphones und Tablets werden diverse Banking-Applikationen angeboten. Hierbei handelt es sich um eigenständige Programme, die eine Alternative/Ergänzung zum Onlinebanking über Internetbrowser darstellen. Viele Banken unterstützen das Onlinebanking mittels solcher Apps. Vereinzelte Banken bieten eigenständige Apps an. Innerhalb der Apps werden zur Bestätigung der Transaktionen die Verfahren mTan, smart-Tan optic, Push TAN usw. verwendet. Ebenso gibt es auch zusätzliche Apps, die die Transaktion beim Browserbanking verifizieren (z.B. SpardaSecureApp der Spardabank, SmartSecureApp der ING DiBa, pushTAN-App der DKB oder photoTAN der Commerzbank). Hier werden dann als Bestätigung zu Kontrollzwecken die Überweisungsdaten angezeigt. Oder es wird in der zusätzlichen App eine kurzzeitig gültige TAN generiert, die dann in der anderen Banking-App oder beim Onlinebanking eingetragen werden muss. Ist alles korrekt, kann der Nutzer die Freigabe der Überweisung über die App veranlassen. Solche Apps müssen ggf. über verschiedene Startpasswörter und Zugangsdaten gesondert freigeschaltet werden und zusätzlich mit einem selbstgewählten Passwort, Fingerabdruck oder Face-ID gesichert werden.
Anzumerken ist, dass auch Smartphones mittels Schadsoftware kompromittiert sein können. Ebenfalls könnten zwielichtige Apps oder manipulierte Apps (der original Banking-App nachempfunden, jedoch mit Schadcodes) in den entsprechenden Stores zu erwerben sein. Informieren Sie sich hierfür bei Ihrer Bank über eine geeignete und empfohlene Software (z.B. auf der Original-Bankseite). Nutzen Sie in Bankangelegenheiten keine unseriösen Apps. Verwenden Sie, soweit verfügbar auch eine Antivirenlösung auf Ihrem Smartphone oder Tablet. Zusätzlich sollten die Geräte immer gegen Fremdnutzung gesichert sein (z.B. sichere Passwörter).
Videoidentifizierungsverfahren
In immer mehr Bereichen von Online-Vertragsabschlüssen wird das Videoidentifizierungsverfahren zur Identitätsprüfung des Antragstellers angeboten, insbesondere im Bereich von Banken,- Versicherungs- und Mobilfunkdienstleistern. Wer in Deutschland Bank- oder Versicherungsgeschäfte betreiben, Finanzdienstleistungen oder Zahlungsdienste erbringen oder Investmentvermögen verwalten will, bedarf zuvor einer schriftlichen Erlaubnis. Diese Erlaubnis erteilt die Aufsichtsbehörde für die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin). Deshalb gibt die BaFin auch die Anforderungen und Regeln für die Nutzung von Videoidentifizierungsverfahren vor.
Diese sind im Rundschreiben 3/2017 (GW) – Videoidentifizierungsverfahren vom 10.04.2017 beschrieben (Auszüge):
- Das Rundschreiben richtet sich u.a. an alle Kreditinstitute, Finanzdienstleistungsinstitute, Zahlungsinstitute und E-Geld-Institute.
- Es bestehen erhöhte Sorgfaltspflichten in Fällen einer Fernidentifizierung.
- Eine Videoidentifizierung darf nur von geschulten Mitarbeitern des Verpflichteten oder eines Dritten, auf den der Verpflichtete die Identifizierungspflicht ausgelagert hat oder zurückgreift, durchgeführt werden.
- Vorausgesetzt wird die Kenntnis der prüfbaren Merkmale einschließlich der anzuwendenden Prüfverfahren derjenigen Dokumente, die im Rahmen des Videoidentifizierungsverfahrens akzeptiert werden, samt gängiger Fälschungsmöglichkeiten dieser Dokumente sowie die Kenntnis der geldwäscherechtlichen und datenschutzrechtlichen Vorschriften und der im Rundschreiben gestellten Anforderungen. Zu den Dokumenten, ihren prüfbaren Merkmalen und den entsprechenden Schulungsmaßnahmen muss eine geeignete Dokumentation vorliegen.
- Die zu identifizierende Person hat ihr ausdrückliches Einverständnis zu erklären, dass der gesamte Identifizierungsprozess sowie Fotos bzw. Screenshots ihrer Person und ihres Ausweisdokuments aufgezeichnet werden. Das Einverständnis ist zu protokollieren/aufzuzeichnen.
- Es sind nur Ende-zu-Ende verschlüsselte Videochats zulässig.
- Die Bild- und Tonqualität der Kommunikation muss in einem ausreichenden Maße gegeben sein, um eine zweifelsfreie Identifizierung uneingeschränkt zu ermöglichen.
- Es sind Fotos/Screenshots anzufertigen, auf denen die zu identifizierende Person sowie Vorder- und Rückseite des verwendeten Ausweisdokuments und die darauf jeweils enthaltenen Angaben deutlich erkennbar sind.
- Der Mitarbeiter hat zu prüfen, ob das Dokument hinsichtlich der im Weißlicht visuell zu erkennenden optischen Sicherheitsmerkmale mit den bei dieser Art von Dokumenten vorhandenen Merkmalen übereinstimmt.
- Der Mitarbeiter muss sich durch psychologische Fragestellungen und Beobachtungen während der Durchführung des Identifizierungsvorgangs von der Plausibilität der Angaben im Ausweisdokument, der Angaben der zu identifizierenden Person im Gespräch sowie der vorgegebenen Absicht der zu identifizierenden Person überzeugen.
- Die Mitarbeiter haben zweifelsfrei feststellen, dass die zu identifizierende Person nach eigenem Willen das jeweilige Produkt beim entsprechenden Anbieter erwirbt (Gefährdung durch Phishing, Social-Engineering, Verhalten unter Druck durch zweite Person etc.).
- Die zu identifizierende Person muss während der Videoübertragung eine eigens für diesen Zweck gültige, zentral generierte und von dem Mitarbeiter an sie (per E-Mail oder SMS) übermittelte Ziffernfolge (TAN) unmittelbar online eingeben und an den Mitarbeiter elektronisch zurücksenden. Mit Eingabe dieser TAN durch die zu identifizierende Person ist das Identifizierungsverfahren, einen erfolgreichen systemseitigen Abgleich der TAN vorausgesetzt, abgeschlossen.
- Die Aufzeichnungen sind fünf Jahre aufzubewahren
Paypal
Eine Ausführliche Beschreibung dieses Dienstes ist unter der Homepage von Paypal selbst oder unter http://de.wikipedia.org/wiki/Paypal einsehbar.
Beachten Sie nachfolgende Sicherheitstipps bei der Nutzung von Paypal:
Reagieren Sie nicht auf Mails, die Sie zur Herausgabe Ihrer Zugangsdaten (z.B. Aktualisierung, Verifizierung oder Störung des Paypalkontos) auffordern. Sollten Sie eine solche Mail erhalten, wenden Sie sich an den Kundendienst von Paypal. Paypal hat für solche möglichen Phishingmails auch ein extra Mailkonto unter spoof(at)paypal(dot)de eingerichtet, an welches Sie die verdächtigen Mails weiterleiten können.
Ebenfalls können Sie sich auch in Ihr Paypal-Konto einloggen und die behaupteten Verstöße oder Vorfälle überprüfen. Verwenden Sie dazu keine Links, die Ihnen per Mail zugeschickt wurden. Vergewissern Sie sich, dass Sie sich auf der echten Homepage von Paypal befinden, bevor Sie Ihre Nutzerdaten eingeben.
Auf der Paypal-Homepage finden Sie für den Notfall auch eine Kontaktmöglichkeit über ein entsprechendes Formular. Sollten Sie sich nicht mehr einloggen können, da die Täter ggf. bereits Ihre Zugangsdaten geändert haben, nutzen Sie das entsprechende Auswahlfeld.
Richten Sie vorab eine Kundenservice-PIN ein, mit der Sie sich gegenüber Paypal im Notfall am Telefon ausweisen können.
Nutzen Sie auch die Möglichkeit zusätzlicher PIN-Eingaben. Paypal bietet hierfür das Zusenden von Zugangscodes per SMS (SMS-Sicherheitsschlüssel) Aktuell wird nur noch die SMS-Variante für die Einrichtung angeboten.
Richten Sie die zusätzlichen Sicherheitsfragen ein, mit denen Sie sich im Notfall ebenfalls einloggen können. Beachten Sie hierbei, dass Unbekannte die jeweiligen Fragen leicht erraten oder beantworten können, wenn Sie selbst die Antworten z.B. in soziale Netzwerken indirekt verraten. Typische Fragen sind z.B. „Wo wurden Sie geboren?“ „Wie ist der Name Ihres Haustieres?“.
Sollten Sie ungewöhnliche Zahlungseingänge von Paypal auf Ihrem Konto (z.B. Girokonto) feststellen, so informieren Sie Paypal davon. Es kann sich dabei um eine unerlaubte Anmeldung bei Paypal mit Ihren Bankdaten handeln.
Es kann aber auch ein Verifizierungsprozess von Paypal sein. Um ein Konto als Inhaber zu bestätigen werden von Paypal zwei Überweisungen auf Ihr hinterlegtes Bankkonto in Verbindung mit jeweils einem Zahlencode im Betreff getätigt, die dann später bei Paypal online eingegeben werden müssen. Sollten Sie diesen Prozess nicht angestoßen haben, so hinterfragen Sie die Aktion bei Paypal.
Achtung! Achten Sie in Ihrem Paypal-Zugang (z.B. über die App) auf eingehende Rechnungen. Sollte dort eine Rechnung auftauchen, die Sie nicht kennen und veranlasst haben, kontaktieren Sie den Paypal-Support. Täter nutzen die Bekanntheit Ihrer bei Paypal hinterlegten Mailadresse (z.B. vorher bei Kleinanzeigenverkäufen in Erfahrung gebracht), um eine Rechnung auf Ihr Paypal-Konto einzureichen. Da Sie über diesen Umstand über die echte Paypal-App informiert werden, bekommt dieser Vorgang eine offizielle Wirkung. In der App haben Sie dann die Möglichkeit, diese Rechnung abzulehnen. Klicken Sie dafür auf den Schriftzug „Rechnung stornieren“ der sich klein unter dem auffälligen blauen Button „Jetzt bezahlen“ befindet. Wer versehentlich und abgelenkt auf „Jetzt bezahlen“ klickt, löst die Überweisung der unberechtigten Rechnung aus.
Möglich ist auch eine Auszahlung auf Ihr bereits bestehendes Konto. Schauen Sie online nach, um was für eine Zahlung es sich hierbei handeln kann. Fragen Sie im Zweifelsfall bei Paypal nach. Verfahren Sie gleichermaßen, wenn es zu unberechtigten Zahlungen von Ihrem Paypal-Konto gekommen sein sollte.
Lesen Sie ausführlich die allgemeinen Geschäftsbedingungen von Paypal und achten Sie darauf, wie Sie als Käufer oder Verkäufer im Streitfall geschützt werden. Nutzen Sie auch Versandbelege (nachverfolgbare Sendungen), um den Versand von Waren gegenüber dem Geschäftspartner und Paypal belegen zu können.
Paypal-Zahlung unter Freunden
Paypal bietet seit einiger Zeit die Möglichkeit an, an Freunde schnell und unkompliziert, sowie ohne Gebühren Geld zu übermitteln. Unter https://www.paypal.com/de/webapps/mpp/send-money-online findet man die Zahlungsmöglichkeit. Jedoch missbrauchen hier immer wieder Cyberkriminelle diesen Dienst für betrügerische Verkäufe (z.B. bei Ebay-Kleinanzeigen). Hier wird absichtlich nach dieser Bezahlvariante (z.B. Paypal for friends) gefragt, da hier keine Gebühren anfallen. Hat man das Geld überwiesen, wird der Empfänger wie ein vertrauter Freund eingestuft. Unter Freunden sollte dies auch kein Problem sein. Überweisen Sie so aber kein Geld an unbekannte Personen. Nach einem Betrug bekommen Sie hier keinen Verkäuferschutz durch Paypal. Das Geld ist dann in Täterhänden!
Kreditkarten
Haftung des Inhabers bei Missbrauch
In der Regel ist der Inhaber einer Kreditkarte gegen den Missbrauch abgesichert. Hierfür ist jedoch notwendig, dass der Inhaber den Verlust oder Diebstahl innerhalb kurzer Zeit beim herausgebenden Institut anzeigt und die Karte entsprechend sperren lässt. Es kann sein, dass der Inhaber für die Schäden, die durch den Missbrauch bis zu der Sperrung entstanden sind, mit einem Betrag (z.B. bis 50 Euro) selbst haften muss. Hierzu sollten die entsprechenden Geschäftsbedingungen des jeweiligen Institutes beachtet werden.
Kann dem Inhaber eine grobe Fahrlässigkeit nachgewiesen werden (z.B. PIN wurde im Portemonnaie aufbewahrt oder Karte im Auto gelassen) kann es dazu führen, dass das Kreditinstitut nicht für den Schaden aufkommt.
Kontoauszüge
Überprüfen Sie regelmäßig die Kontoauszüge auf ungewöhnliche Aktivitäten. Bedenken Sie, dass Einkäufe in fremden Ländern ggf. zeitverzögert, in fremder Währung und unter einem vielleicht unbekannten Namen erscheinen. Heben Sie für einen späteren Vergleich die Kassenbelege und Quittungen auf. Auch Einkäufe über das Internet oder Abo-Dienste können dazu führen, dass auf den Kontoauszügen unerwartete Einträge (z.B. fremdes Land) stehen.
Sollten Sie ungewöhnliche Zahlungsvorgänge auf Ihren Kontoauszügen feststellen, informieren Sie unverzüglich Ihr Kreditinstitut.
Sicherheit
Nutzen Sie die Ihnen von Ihrem Kreditinstitut zur Verfügung gestellten Sicherheitsmaßnahmen. Informieren Sie sich regelmäßig über aktuelle Sicherheitsstandards und rüsten Sie ggf. auf oder tauschen Sie veraltete Methoden gegen neuere Varianten aus.
Sperrung
Nutzen Sie bei Verlust oder Diebstahl die Rufnummer Ihres Kreditinstitutes, die Ihnen als Notfallnummer mitgeteilt wurde. Notieren Sie dazu auch die Kartendaten an einem sicheren Ort zu Hause. Alternativ kann der Sperr-Notruf 116 116 (auch aus dem Ausland mit der Vorwahl +49 erreichbar) genutzt werden. Überprüfen Sie, ob Ihr Kreditinstitut an diesem Verfahren teilnimmt.
https://www.kartensicherheit.de
http://sperr-notruf.de/
Handhabung der Karte und Kartendaten
Seien Sie sorgfältig im Umgang mit Ihrer Kreditkarte und den Kartendaten. Behalten Sie die Karte beim Zahlungsvorgang im Auge und gehen Sie ggf. mit zum Zahlungsterminal. Lassen Sie sich immer eine Quittung über den Bezahlvorgang aushändigen und nehmen Sie auch Quittungen mit, die einen Fehlerbericht enthalten und angeblich keine Zahlung erfolgt, insbesondere dann, wenn Sie bereits eine PIN eingegeben haben.
Geben Sie, wie auch bei anderen Zahlungskarten, die PIN verdeckt ein.
Notieren Sie keine PIN auf der Karte oder in Kartennähe. Lernen Sie Ihre PIN auswendig.
Achten Sie bei der Eingabe der Kartendaten im Internet auf eine gesicherte Verbindung (https://) und einen seriösen Onlineshop.
Prepaid-Kreditkarte
Mehrere Kreditinstitute bieten die Möglichkeit, eine Kreditkarte zu erhalten, die auf Guthabenbasis funktioniert. Das bedeutet, dass der Inhaber vor Benutzung die Karte mit einem gewünschten Betrag aufladen muss. Zum Teil sind solche Karten auch z.B. in Tankstellen oder Drogerien erhältlich.
Die Vorteile liegen darin, dass bei einem Missbrauch der Karte lediglich der Betrag verwendet werden kann, der auf der Karte aufgeladen ist.
Durch die Kreditinstitute können für die Benutzung oder Aufladung ggf. zusätzliche Gebühren anfallen. Weiterhin sollte geprüft werden, ob die Karten bei den Stellen akzeptiert werden, bei denen man diese einsetzen möchte. Möglichweise sind einige Kartentypen nur auf eine Benutzung im Internet beschränkt.
Solche Prepaid-Kreditkarten eignen sich auch als Kreditkarten für Jugendliche, die somit ihre ersten Erfahrungen im Umgang mit den Karten erhalten. Die Gefahr ins Minus zu gelangen ist nicht vorhanden. Informieren Sie sich über Preise und Verwendungsmöglichkeiten bei Ihrem Kreditinstitut.
Guthaben-Karten/Geschenkgutscheine
Viele Internetdienstleister bieten inzwischen auch die Benutzung von Guthaben-Karten oder Geschenkgutscheinen an. Diese Karten sind oft beim Dienstleister selbst oder bei diversen Verkaufsstellen (Tankstellen, Drogerie, Elektronikfachmarkt usw. als Rubbelkarte oder Kassenbon) erhältlich. Das Konto wird um den Betrag aufgeladen.
Der Vorteil von diesen Karten liegt darin, dass hier keine Zahlungskartendaten hinterlegt werden müssen und bei einem Missbrauch des Dienstes lediglich der aufgebuchte Betrag benutzt werden kann.
Solche Guthabenkarten eignen sich auch perfekt für Kinder und Jugendliche, um eine Kostenkontrolle in den jeweiligen App-Stores zu erhalten.
Vorkasse
Hier wird die bestellte Ware an den Besteller in der Regel erst nach Eingang der Zahlung beim Versender ausgeliefert. Dieses kann je nach Bank und Wochentag unterschiedlich sein. Zu Bedenken sind auch die Lieferzeiten und Verfügbarkeit der Ware im jeweiligen Shop.
Wird diese Zahlungsvariante ausgewählt, so besteht aber auch die Gefahr, dass die bereits bezahlte Ware nicht oder falsch ausgeliefert wird. Sollte es zu einem solchen Vorfall kommen, so setzen Sie sich zunächst mit dem Verkäufer in Verbindung, um den Vorfall zu klären. Setzen Sie ggf. Fristen für eine Klärung und stellen Sie in Aussicht, bei Nichterfüllung vom Kaufvertrag zurückzutreten. Nutzen Sie hierfür die Zustellung per Einschreiben/Rückschein, um eine entsprechende Zustellung zu dokumentieren. Ggf. können Sie auch einen Rechtsanwalt in der Sache beauftragen.
Sollten Sie der Überzeugung sein, dass Sie auf einen Betrüger hereingefallen sind, so haben Sie die Möglichkeit, neben einer Strafanzeige bei der Polizei/Staatsanwaltschaft, auch weitere zivilrechtliche Schritte (z.B. Mahnbescheid) einzuleiten.
Sollten Sie den Verkäufer nicht kennen, so wählen Sie eine sicherere Zahlungsweise (z.B. auf Rechnung).
Immer wieder nutzen Betreiber von sogenannten Fakeshops die Zahlungsart „Vorkasse“ für ihre Betrügereien. Wir raten generell von einer Zahlung per Vorkasse ab, wenn Sie den Verkäufer nicht persönlich kennen, bereits dort schon Kunde sind oder Sie sich von der Echtheit (z.B. Ladengeschäft vor Ort) überzeugt haben.
Kaufen auf Rechnung
Wird dieser Weg gewählt, sind Sie als Käufer in der Regel auf der sicheren Seite. Die Bezahlung erfolgt nach Erhalt und Prüfung der Ware. Sollten Sie als Verkäufer diese Zahlmethode anbieten, so besteht die Gefahr, dass Sie die Ware verschickt haben, eine Bezahlung jedoch nicht erhalten. Hier stehen Ihnen wieder die bekannten Rechtsmittel zur Verfügung.
Versand
Nutzen Sie für Ihre Bestellung/Ihren Versand sichere, versicherte und nachverfolgbare Sendungsmöglichkeiten. Nehmen Sie erhöhte Versandkosten in Kauf. Bei Verlust/Nichtlieferung nicht nachverfolgbarer Lieferungen besteht immer die Gefahr eines möglichen Rechtsstreites der beteiligten Parteien. Über die Sendungsverfolgung (Webseite, Apps) von Lieferungen der diversen Versandunternehmen können Sie und Ihr Geschäftspartner jederzeit den Lieferstatus nachvollziehen.
Mobile Bezahlsysteme über Smartphone- oder Tablet-Apps mit externen Kartenlesern
Seit einiger Zeit werden von einigen Herstellern auch mobil nutzbare Endgeräte zur Bezahlung mittels Debit- oder Kreditkarte (auch kontaktlos) angeboten. Diese Kartenlesegeräte, die dann entweder über die Kopfhörerbuchse des Smartphones/Tablets oder über die Bluetooth-Schnittstelle verbunden werden, können dann im Zusammenspiel mit einer entsprechenden App und einem zuvor registrierten Bankkonto für Kartenzahlungen eingesetzt werden. Als Zielgruppe sind hier Kleinunternehmer (z.B. Bistros, Taxifahrer, Flohmarktbetreiber usw.) angedacht. Auch Privatpersonen können diesen Dienst zum Teil nutzen.
Bedingung für die Nutzung ist eine Anmeldung beim entsprechenden Dienstanbieter. Hierbei wird das angegebene Bankkonto überprüft (z.B. durch eine Überweisung eines geringen Betrages in Zusammenhang mit einer Kennziffer im Betreff). Ist das Konto freigeschaltet, kann der Nutzer nun Bezahlungen durch Debit- und Kreditkarten empfangen. Bei der Bluetooth-Variante wird erfolgt in der Regel eine PIN-Abfrage beim zahlenden Kunden. Die Kopfhörerbuchsen-Variante dagegen erfordert die Unterschrift auf dem Display des Smartphones/Tablets. Eine gute Übersicht über die Anbieter solcher Zahlungslösungen sind z.B. iZettle, Payleven, Square, Streetpay und SumUp.
ApplePay und GooglePay
Bei diesen Bezahlverfahren handelt es sich um eine Möglichkeit, eine vorhandene physische Karte (z.B. Debit- oder Kreditkarte) als digitales Abbild im Smartphone zu hinterlegen.
In der Regel richtet eine Bankkundin/ein Bankkunde, wenn die Bank diese Möglichkeit zur Verfügung stellt, die digitale Karte von einer Debit oder Kreditkarte im eigenen Smartphone und/oder auf der Smartwatch ein. Das entsprechende Gerät muss dafür NFC als Funktion haben und sollte über das aktuelle Betriebssystem verfügen. Einige Banken bieten dafür spezielle Pay Apps an. Für Android nennt sich dann die Nutzung „Google Pay“ und für iOS „Apple Pay“. Je nach Bank/Kreditinstitut und Gerät wird die digitale Karte direkt und/oder ggf. über das Onlinebanking oder die Onlinebanking App hinzugefügt. Eine allg. Anleitung für Apple finden Sie hier. Eine allg. Anleitung für Google Pay finden Sie hier. Zudem sollten Sie die Vorgaben Ihrer Bank beachten.
In der Regel wird dann noch die offizielle Bestätigung der Einrichtung z.B. durch eine TAN-Eingabe im Onlinebanking oder der TAN-App Ihrer Bank benötigt.
In iPhones (als Beispiel) wird dann die digitale Karte im sogenannten „Wallet“ hinterlegt. Mit einem Doppelklick auf eine Taste am Gerät (z.B. Seitentaste) wird das Wallet ausgelöst und die hinterlegte(n) Karte(n) eingeblendet. Nun erfolgt beim Bezahlen an der Kasse noch die Freigabe mittels Smartphone-PIN (nicht der PIN der physischen Debitkarte!), Face-ID oder Fingerabdruck. Danach bekommt man eine kurze Rückmeldung über die Zahlung auf dem entsprechenden Gerät. Erst im eigentlichen Kontoauszug sieht man später auch die Zahlung. Die physische Karte und die zugehörige PIN werden beim Bezahlen nicht benötigt. Ebenfalls entfällt die Eingabe der Karten-PIN beim Lesegerät an der Kasse. Eine Benachrichtung auf einem Zweitgerät (z.B. Smartwatch, anderes Smartphone) über die getätigte Zahlung erfolgt nicht. Diese Umstände können Täter ausnutzen, um fremde Karten unberechtigter Weise auf dem Täter-Smartphone zu hinterlegen.
Paysafecard
Das Unternehmen Paysafecard bietet die Möglichkeit an, an diversen lokalen Verkaufsstellen (z.B. Tankstellen, Drogerien usw.) Prepaidcodes käuflich zu erwerben. Hier erhält man z.B. für 100 € einen speziellen Kassenbeleg, auf der eine einmalige Ziffernfolge aufgedruckt ist. Dieser Code ist wie Bargeld zu betrachten und kann vom Nutzer nun auf verschiedenen, unterstützten Verkaufsportalen und Internetseiten zwecks Bezahlung eingelöst werden.
Der Vorteil in dieser Art der Bezahlung liegt darin, dass keine persönlichen Zahlungsdaten (z.B. Bankkonto oder Kreditkarte) in den Shops hinterlegt werden müssen.
Ein Missbrauch von solchen persönlichen Zahlungsdaten wäre somit ausgeschlossen. Ein Verlust der Daten würde hier lediglich den Verlust des jeweils erworbenen Geldbetrages bedeuten.
Die Nachteile liegen jedoch derzeit im Missbrauch dieser legalen Dienste. Hier nutzen Täter derzeit diese Zahlungsmethode aus, um nahezu anonym durch die sogenannte Ransomware Geld von Geschädigten zu erpressen.
Notfallkontakte Paysafecard
https://customer.cc.at.paysafecard.com/plock/plock.xhtml
https://www.paysafecard.com/de-de/sicherheit/
Allgemeine Hinweise beim Umgang mit Paysafe-Karten:
- Seien Sie vorsichtig, wenn Sie durch eine Ihnen unbekannte Person zum Kauf von solchen Zahlungskarten auffordert werden (z.B. Gewinneinlösung, Ransomware, Internet-Love-Scam/Romancescamming, Guthabenverdopplung usw.).
- Informieren Sie als Verkäufer/Verkaufsstelle von Paysafe Ihre Kunden über mögliche Gefahren, besonders, wenn mehrere Karten eingekauft werden.
- Werden Sie als Verkaufsstelle per Telefon von angeblichen Paysafe-Mitarbeitern aufgefordert Codes telefonisch herauszugeben, notieren Sie die Anruferdaten (z.B. Rufnummer von Display) und informieren Sie die Polizei. Geben Sie keine Codes an Anrufer bekannt. Paysafe führt solche Handlungen nicht durch.
- Seien Sie als Verkäufer vorsichtig, wenn es um die Rückgabe oder einen versehentlichen Kauf von bereits gedruckten und ausgehändigten Codes geht. Verweisen Sie auf den Support der Anbieter. Nehmen Sie die Codes nicht zurück.
Western Union und MoneyGram
Dieser Dienst bietet die Möglichkeit, Bargeld als Versender aus z.B. Deutschland einem Empfänger z. B. im Ausland zukommen zu lassen.
Bei einer Transaktion mittels Western Union handelt es sich in der Regel nicht um eine Banküberweisung auf ein anderes Konto. Für die Auszahlung benötigt der Empfänger lediglich ein amtliches Ausweisdokument (je nach Empfängerland kann dieses unterschiedlich beschaffen sein) und die Transaktionsnummer (MTCN). Alternativ kann in diverse Länder auch Geld auf Bankkonten oder Mobile Dienste (Mobile Wallet im Handy) übertragen werden.
Generell sollte der Aufforderung, Geld via Western Union oder MoneyGram zu überweisen, nicht nachgekommen werden, wenn der Empfänger nicht eindeutig persönlich bekannt ist. Immer wieder nutzen Betrüger die Möglichkeit, auf diesem Weg an Ihr Geld zu gelangen. So werden angeblich Lotterieausschüttungen oder andere Gewinne nur gegen eine Gebühr, die mittels Western Union gezahlt werden muss, ausgegeben. Ebenso denkbar ist eine finanzielle Notlage oder ein Unfall eines Freundes. Nicht selten sind in diesem Zusammenhang Emails, die über gehackte Mailaccounts an die echten Personen aus dem darin befindlichen Adressbuch geschickt werden. Sollten Sie einen solchen Hilferuf eines Ihnen tatsächlichen Bekannten erhalten, halten Sie über andere Wege (z.B. Telefon) persönliche Rücksprache. Zudem geben Betrüger bei Wohnungsvermietung vor, man müsse eine Kaution übersenden oder zumindest belegen, dass man über das Geld verfügt. Hierfür fordern die Täter auf, eine Zahlung an sich selbst vorzunehmen und den Beleg dafür an den angeblichen Mieter zu senden. Weitere Betrugsmaschen in Verbindung mit Zahlungsverkehr sind denkbar.
Überprüfen Sie im Notfall zunächst auch den Verlauf der Transaktion:
Erstatten Sie bei Bedarf Anzeige bei einer für Sie zuständigen Polizeidienststelle.
Sofortüberweisung
Wählt der Käufer zur Bezahlung die Dienstleistung von Sofortüberweisung, so muss er diesem Dienst seine Bankdaten mit PIN und TAN zwecks Überweisung übermitteln. Diverse Banken erlauben in Ihren AGB diese Art der Weitergabe und Überweisung nicht. Wollen Sie diesen Dienst nutzen, so fragen Sie bei Ihrer Bank vorher nach.
Die Herausgabe der Bankdaten mit PIN und TAN kann auch zur Folge haben, dass unbekannte Täter diese Daten abfangen können und somit einen Zugriff auf das Konto erlangen.
1-Click-Bezahlung
Diverse Onlineshops bieten diese Funktion unter diesem oder einem ähnlichen Namen für das schnelle Bezahlen an. Mit nur einem Klick auf den entsprechenden Button können Waren, Apps, Musik, Software usw. gekauft und bei digitalen Produkten auch gleich nach dem Download und der Installation genutzt werden. Hierfür muss diese Bezahlvariante ggf. zuvor entsprechend freigeschaltet werden.
Der Vorteil liegt in der sehr kurzen Bezahlphase. Der Kunde muss in der Regel nicht mehr den vollständigen Bestellprozess, der auch die Adressdateneingabe oder vergleichbares beinhalten kann, durchlaufen.
Die Gefahr hierbei liegt jedoch in ungewollten Kaufaktionen, die vielleicht durch einen unachtsamen Klick auf den Button erfolgen. Ebenfalls kann man so auch schnell die Übersicht über die Käufe verlieren und finanzielle Probleme rücken möglicherweise näher. Auch können Kinder diese Funktion, ohne sich der Gefahren bewusst zu sein, nutzen. Loggen Sie sich zur Sicherheit immer vollständig aus solchen Shops aus.
Rückgabe digitaler Produkte
Besonders bei digitalen Produkten kann es Probleme bei der Rückgabe bei Nichtgefallen geben. Hier liegt es dann oft im Ermessen der Shop Betreiber, ob eine Gutschrift erfolgt, wenn das Produkt nicht gefällt oder versehentlich gekauft wurde. Informieren Sie sich vor Nutzung dieser Bezahlmöglichkeit, wie sie sich im Notfall verhalten müssten und wie sie beim Betreiber einen entsprechenden Support erhalten.
Finanz- und Warenagenten – Der Weg zur Geldwäsche
Hierbei handelt es sich nicht um echte Agenten im Auftrag ihrer Majestät. Den Job eines Finanz- oder Warenagenten kann jeder übernehmen. Dieses sollte aber zwingend nicht erfolgen, da hier der Straftatbestand der Geldwäsche vorliegt. Nachfolgend soll die häufigste Variante dieser Vorgehensweise vorgestellt werden.
Wie wird man Finanz- oder Warenagent?
Die Täter suchen über das Internet (z.B. per Spammail oder Homepage) aber auch über normale Zeitungsannoncen ihre Opfer. Bei den Anzeigen handelt es sich um Jobangebote. Dem zukünftigen Arbeitgeber wird eine legale und seriöse Arbeit angeboten, die wenig Kenntnisse und Arbeitsaufwand erfordert, jedoch einen guten Verdienst verspricht.
Potentielle Opfer fühlen sich durch dieses Jobangebot angesprochen. Sie bewerben sich bei den Tätern mittels Bewerbungsschreiben. Die Täter haben somit schon erste wichtige private Daten der Opfer erhalten.
Im weiteren Verlauf bekommen die Opfer den Job. Sie werden durch die Täter in die Arbeitsaufgabe eingewiesen. Die Opfer müssten für die Firma lediglich ihr Bankkonto oder ihre postalische Anschrift zur Verfügung stellen. Im Verlauf der Arbeit würden dann die neuen Angestellten Überweisungen auf das Konto oder Pakete nach Hause bekommen. Sobald das Geld auf dem Konto oder die Ware zu Hause ist, bekommen die Empfänger die Mitteilung, wo und wie das Geld oder die Waren weiter zu senden sind. In der Regel sind dies neue Konten, die Umwandlung in Bitcoins oder Postanschriften anderer Mittäter oder „Agenten“ im Ausland.
Diese Abläufe müssen unbedingt schnell und häufig erfolgen, um die Mitarbeit der Arbeiter vollkommen auszunutzen. Jede Zeitverzögerung und jeder Zweifel können dazu führen, dass die Masche auffliegt und die Täter kein Geld mehr bekommen.
Leider ist es auch möglich, dass die Täter es durch andere Tricks schaffen, im Namen potentieller Opfer Bankkonten anzulegen. Dies kann durch vorgegaukelte Kautionszahlungen für Mietwohnungen, angebliche Online-Identifikation für Jobbewerbungen oder ähnliches erfolgen. mittels Videoidentverfahren. Im Hintergrund erstellen die Täter somit die Bankkonten im Namen anderer und bieten diese u.a. im Darknet zum Verkauf an.
Woher stammen die Warensendungen oder das Geld?
Bevor die Ware oder das Geld an die neu angeworbenen Waren- oder Finanzagenten geht, müssen die Täter in einem vorausgehenden Schritt genau an diese Waren oder das Geld gelangen. Hierfür nutzen sie die Daten von Zahlungskarten (z.B. Kreditkartenkonten), an die sie über Phishing gelangt sind. Die Täter versenden dafür Phishing-Mails, auf die die Opfer hereinfallen und Ihre Zahlungskartendaten bekanntgeben. Mit diesen Daten werden dann in Onlineshops hochwertige Waren eingekauft und an die Adressen der Warenagenten geschickt.
Alternativ wird mit Schadsoftware der Computer der Opfer manipuliert. Die Software führt dazu, dass das Onlinebanking der Opfer angegriffen wird. Echte Überweisungen werden abgefangen, verändert und auf ein neues Konto und zwar das Konto der Finanzagenten geleitet. Die Opfer und die Banken bekommen zunächst davon nichts mit. Erst eine spätere Überprüfung des Kontostandes kann dazu führen, dass die Banken und Polizei von den Geschädigten Kenntnis erhalten. Aus diesem Grund muss der Waren- und Zahlungsverkehr durch die Agenten schnell erfolgen, bevor Stornierungen oder Rückholaktionen durchgeführt werden können
Was passiert mit den Waren oder dem Geld?
Die Agenten überweisen die Gelder oder verschicken die Waren auf Anweisung der Täter in der Regel ins Ausland, häufig nach Osteuropa. Dort sind erneut Agenten eingesetzt, die wiederum Anweisungen von den Tätern erhalten. Durch diese Wege wird der Weg der Waren und des Geldes kompliziert verschleiert. Oft wird das Geld auch in Bitcoins oder vergleichbare Währungen umgewandelt und dann weitergeleitet.
Die eigentlichen Täter finanzieren damit unerkannt weitere Straftaten aber auch ihren persönlichen Luxus.
Die Agenten dagegen werden durch die Strafverfolgungsbehörden ausfindig gemacht, da ja das Bankkonto oder die Lieferadresse bekannt sind, auf das die Gelder geflossen sind oder der Waren bestellt wurden.
Was passiert mit den angeworbenen Agenten?
Bei dieser Tätigkeit handelt es sich um eine leichtfertige Geldwäsche gem. § 261 StGB. Die Gerichte gehen verstärkt dazu über, die Agenten entsprechend zu verurteilen. Hinzu kommen noch zivilrechtliche Ansprüche der Opfer, Kreditinstitute oder Onlineshops. Hohe Schulden und rechtliche Konsequenzen sind somit keine Seltenheit mehr. Weiterhin besteht die Gefahr, immer wieder in das Blickfeld der Ermittlungen zu kommen, da die Täter immer noch die Daten aus der Bewerbung zum Agentenjob haben und diese Daten ebenfalls zukünftig für Betrügereien missbrauchen können.
Unsere Tipps in Kurzform:
- Werden Sie nicht Finanz- oder Warenagent!
- Reagieren Sie nicht auf unseriöse Angebote (insb. bei Warenlieferung an Ihre Anschrift oder Überweisungen auf Ihr Konto)!
- Stellen Sie Ihr Bankkonto keinen fremden Personen zur Verfügung!
- Erstellen Sie nicht im Auftrag fremder Personen ein Bankkonto oder eine Lieferadresse bei einer Packstation!
- Führen Sie kein Videoidentverfahren durch, wenn Sie nicht selber bewusst ein Bankkonto erstellen wollen und Sie die dafür benötigten Zugangsdaten von unbekannten Personen vorgegeben bekommen haben!
- Übersenden Sie keine eingescannten Ausweisdokumente an unbekannte Personen!
- Geben Sie keine privaten Daten an Unbekannte weiter.