Karl Kunze weiß, wie man seine Daten vor Betrügern schützt. Dennoch fehlen ihm nun mehr als 20 000 Euro. Eine Geschichte über das lukrative, höchst professionelle Phishing und den Irrglauben, dass nur naive Menschen Opfer werden.
Karl Kunze fehlen 21 133 Euro. Genauer gesagt: Sie wurden ihm gestohlen. Eigentlich heißt der 67-jährige Rentner aus dem Kreis Ludwigsburg anders, seine Geschichte möchte er aber nur anonym erzählen. Im Oktober 2023 klingelt sein Festnetz-Telefon. Es ist die Bank - zumindest glaubt er das. Die ersten Zahlen stimmen. Karl Kunze ist seit mehr als zehn Jahren Kunde bei der Santander Bank, er kennt die Nummer fast auswendig. Am Telefon teilt ihm ein angeblicher Bankberater mit, dass auf sein Online-Banking zugegriffen wurde. Dabei sei kein Schaden entstanden.
Ein kurzer erster Schreck, dann Erleichterung bei Karl Kunze. Der Zugang sei nun gesperrt, teilt ihm der Anrufer weiter mit. Zur Sicherheit wird er gebeten, seine Bank-App auf dem Handy zu löschen. Dafür solle er davor noch einmal das Passwort eingeben. Karl Kunze wundert sich noch, dass er sich nicht wie üblich mit seinem Fingerabdruck in die App einloggen kann, gibt dann aber das Passwort ein, löscht die App – und wird somit innerhalb weniger Minuten zum Opfer eines Phishing-Betrugs.
Phishing-Betrüger setzten gefälschte Webseiten ein
Der Enkeltrick, bei dem sich Betrüger als Enkel in Not ausgeben, ist den meisten bekannt. Phishing – zusammengesetzt aus den englischen Wörtern Password und fishing - dagegen weniger. Dabei nehmen Betrüger telefonisch, per Mail oder Textnachricht Kontakt auf und verleiten Menschen dazu, persönliche Daten einzugeben. Häufig setzen sie dafür gefälschte Webseiten ein, beispielsweise die der Bank oder auch eines Online-Shops. Ein lukratives Geschäft. In Deutschland gelangen Betrüger so schätzungsweise jährlich an einen zweistelligen Millionenbetrag.
Im Kreis Ludwigsburg kam es im vergangenen Jahr offiziell lediglich zu 16 Fällen von Datenveränderung, Ausspähen oder Abfangen von Daten – Tatbestände, die als Vorstufe für einen Phishing-Betrug gelten. In Wirklichkeit dürften es viel mehr sein: „Sicherlich gibt es eine recht große Dunkelziffer“, sagt eine Polizeisprecherin.
Karl Kunze kennt die regelmäßigen Warnungen der Polizei, keine persönlichen Informationen an Unbekannte weiterzugeben. Aber bei diesem Telefonat bittet ihn eben keiner, Daten zu teilen, Geld zu überweisen, auf einen Link zu klicken oder einen QR-Code zu scannen. „Da hat keine Alarmglocke geklingelt“, erzählt er. Keine Stimme, die ihn davor gewarnt habe, dass er gerade ausgeraubt werde. Sein einziger Fehler sei seine Gutgläubigkeit gewesen.
Im Darknet werden Bankdaten für 20 Euro angeboten
Noch in derselben Nacht werden 5000 Euro an ein deutsches Konto überwiesen, drei Tage später räumen die Betrüger auch sein Girokonto und Tagesgeldkonto leer, reizen das Limit seiner Kreditkarte aus. Insgesamt fließen 21 133 Euro an Konten in Deutschland, der Slowakei und Frankreich. Seine Bank habe ihn per SMS über die Überweisungen informiert, sei danach aber telefonisch nicht erreichbar gewesen, erzählt Kunze.
Wie die Betrüger Zugang zu seinen Konten erlangten, kann der Rentner nur ahnen. Er vermutet einen Man-in-the-Middle Angriff. Dabei hackt sich ein Betrüger zwischen zwei Kommunikationspartner – in dem Fall ihm und die App und kann mitlesen. Karls Kunzes Bankdaten waren den Betrügern schon bekannt. Im Darknet werden diese Informationen für teilweise weniger als 50 Euro angeboten.
Santander Bank widerspricht Anschuldigungen
Karl Kunze neigt nicht dazu, emotional oder panisch zu werden. Er beschreibt sich als Analyst, der ein Problem strategisch angeht. Ein Schritt nach dem anderen. Die Kreditkartenrechnung kann er mithilfe seiner Verwandten begleichen, seine Rente reicht für die Miete, aber der Puffer für Eventuelles, der ist weg. Ihn ärgert: Um die Frage zu klären, wie Betrüger an sein Geld kommen konnten und – noch wichtiger – wie er Geld zurückbekommt, erhält er in seinen Augen enttäuschend wenig Unterstützung von seiner Bank. Die Santander habe beispielsweise nicht versucht nachzuweisen, dass sich ein fremdes Gerät in sein Online-Banking eingeloggt habe. „Ich habe kein Mitgefühl oder Hilfsbereitschaft erfahren“, sagt Kunze.
Die Santander Bank teilt auf Anfrage mit, umfangreiche Sicherheitsmaßnahmen etabliert zu haben. Zum einen würden die Kunden bereits präventiv sensibilisiert werden, kriminelle Aktivitäten selbst zu erkennen, zum anderen hätten sie „Sicherheitsmechanismen implementiert, wie beispielsweise die Übersendung von SMS, Mails oder Push-Benachrichtigungen, welche den Kunden über Kontoaktivitäten informieren“, sagt eine Sprecherin.
So werde zum Beispiel die Warn-SMS ab dem ersten Cent an alle Kunden mit Überweisungen ins Ausland gesendet. Die Kundenhotline unterstütze und sei, anders als es Karl Kunze beschreibt, 24 Stunden erreichbar, sagt die Vertreterin der Bank.
Bank sieht Schuld bei ihrem Kunden
Karl Kunze versucht kurz nach dem Angriff mit einem Schiedsgerichtsverfahren, das bedeutet einer außergerichtlichen Streitbeilegung, zumindest ein Teil seines Geldes zurückzubekommen. Es ist mit seiner nachträglich abgeschlossenen Rechtsschutzversicherung die einzige Möglichkeit, ein rechtskräftiges Urteil zu erreichen. Im Verfahrenstext, das der Redaktion vorliegt, wird entschieden, dass die Santander Bank 90 Prozent der Schadenssumme übernehmen muss. Das Geldinstitut lehnt den Schlichtungsspruch ab. Sein Kunde sei seinen Sorgfaltspflichten nicht in der gebotenen Weise nachgekommen. Die Überweisung sei nur „unter Mitwirkung von Herrn Kunze möglich“ gewesen, so die Sprecherin.
Und so fehlen Karl Kunze weiterhin 21 133 Euro. Geld, das er sich „über die Jahre mühsam angespart hat“. Für ein Gerichtsverfahren fehlen ihm die finanziellen Mittel. Er ist jetzt auf der Suche nach einem Anwalt, der den Fall unentgeltlich übernimmt oder sich darauf einlässt, erst bei gerichtlichem Erfolg finanziell beteiligt zu werden.