Wenn es um das Thema Online-Betrug oder Kreditkartenbetrug geht, sind viele Menschen schnell dabei, nicht die Täter, sondern die Opfer zu verurteilen. Opfer bekommen von ihrer Bank und den Kreditkartenunternehmen nicht selten Sätze wie: “Sie haben die Transaktion an irgendeiner Stelle autorisiert und freigegeben. Denken Sie noch einmal darüber nach, wie und wann das passiert sein könnte. Sie müssen irgendetwas gemacht haben oder irgendwo ‘draufgeklickt’ haben. Uns trifft keine Schuld, unsere Systeme sind sicher!”, zu hören.
Das ist der erste psychologische Hammerschlag nach allerbester Social-Engineering-Manier, mit dem die Opfer in die “Ich bin zu dumm für diese Welt”-Ecke oder auch in die Täterrolle gedrängt werden. Vertrauen sich die Opfer ihren Verwandten und Freunden an, schlagen diese meist in die gleiche Kerbe wie die Banken.
Für die Opfer ist das eine ziemlich vertrackte, Kopf- und Bauchschmerzen verursachende Scheißsituation, in der sie sich aufgrund solcher Äußerungen, Mutmaßungen, Verdächtigungen, Vorverurteilungen und Fingerzeige befinden.
Shit happens, oder?
Der Gang zur Polizei, um Strafanzeige gegen Unbekannt zu erstatten, fällt den Opfern infolgedessen meist auch nicht leicht, da sie ähnliche Reaktionen wie von den Banken, den Freunden und Verwandten à la “Du bist schuld, du hast es verbockt!” erwarten.
Wagen sie dennoch den Gang zur Polizei, wird ihre Anzeige via Formular und einigen Fragestellungen aufgenommen. Meist bereits kurze Zeit darauf erhalten sie eine förmliche Mitteilung, die sie darüber informiert, dass die Ermittlungen gegen Unbekannt ohne Ergebnis eingestellt wurden.
Wer den Schaden hat, braucht für den Spott nicht zu sorgen
In den Medien wird in puncto Kreditkartenbetrug oft behauptet, dass Opfer bei unbefugt und unautorisiert vorgenommenen betrügerischen Transaktionen den finanziellen Schaden von ihrer Bank oder dem Kreditkartengeber ersetzt bekommen. Meine Erfahrungen spiegeln allerdings ein anderes Bild wider: Oft erhalten die Opfer keinen Ersatz für den entstandenen finanziellen Schaden eines Kreditkartenbetrugs. Ihnen wird meist unbegründet ein Eigenverschulden in die Schuhe geschoben.
In den vergangenen Monaten haben mich Opfer um Hilfe gebeten und beauftragt, einem Online-Banking- bzw. Kreditkartenbetrug (IT-Forensik) nachzugehen. Dabei ging es selten um wenige hundert Euro, sondern oft um hohe 4- bis 5-stellige Beträge. Für die Opfer sind das bittere Pillen der Erfahrung, die sie zu schlucken haben. Insbesondere dann, wenn sie den Schaden in keiner Weise verursacht und auch nicht durch irgendeine Handlung oder Aktivität ausgelöst haben. Die zweite Pille, die sie dann zu schlucken haben: Keiner glaubt ihnen.
Woran liegt es nun aber, dass ihnen keiner glaubt? Die Banken, Finanzdienstleister, die Medien, IT-Dienstleister, Anbieter von Cybersicherheitslösungen, Behörden, Verbände und Institutionen, IT-affine Freunde, Verwandte, Kollegen und Bekannte suggerieren ihnen immer wieder, dass bei einem Online-Betrug immer ein gewisses Maß an Selbstverschulden mit im Spiel ist.
Aber, ist es denn tatsächlich so? Nein, es ist nicht immer so!
Trau, schau, wem!
Eine Erfahrung, die ich nicht nur als Cybersecurity-Spezialistin und Inhaberin sowie Gesellschafterin einer GbR für Cybersicherheit, sondern auch als Digitale Ersthelferin im Cybersicherheits-Netzwerk (CSN) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gemacht habe, ist, dass ein großer Teil der Privatpersonen und Unternehmen, die sich in Sachen Online- und Kreditkartenbetrug an uns bzw. mich wenden, sehr ehrlich in ihren Schilderungen des Vorfalls sind.
Diejenigen, die beispielsweise tatsächlich versehentlich auf einen unsicheren Link geklickt haben oder dubiose Seiten im Internet besucht haben, gestehen mir das ungefragt, meist sofort innerhalb der ersten Minuten in einem Gespräch ein. Ohne, dass diese Personen mich kennen, bringen sie mir großes Vertrauen entgegen. Das entgegengebrachte Vertrauen und die Offenheit helfen sehr dabei, einen IT-Vorfall oder einen Online- oder Kreditkartenbetrug aufzuklären.
Beteuern und beschwören mir Menschen oder auch Unternehmen, dass sie sich bei einem Online-Betrug keinerlei Schuld bewusst sind und wirklich nichts gemacht hätten, so bringe ich diesen Opfern das gebührende Vertrauen entgegen, indem ich ihnen glaube und mich der Sache vorurteilsfrei annehme.
Verkehrte Welt: Die Opfer werden schuldig gesprochen, die Täter und die Mittäter nicht
Mittlerweile stößt es mir mehr als sehr sauer auf, wie Banken mit Betrugsopfern beim Online- und Kreditkartenbetrug umgehen. Selbst wenn die Opfer keine Schuld trifft, versuchen die Banken und Kreditkartengeber den Betrug mit hanebüchenen Erklärungen und Statements von eingebundenen Drittanbietern so zu drehen, als ob die Opfer die Täter wären.
Apropos Drittanbieter: Die Menschen, die mich um Hilfe und Unterstützung beim Online- und Kreditkartenbetrug gebeten haben, waren sehr überrascht und auch erschrocken über die vielen Dritt- und Cloud-Anbieter, die in die Online-Banking-Dienste, Anwendungen, Bereitstellung von Apps, Datenverarbeitung, den Datenschutz und die -sicherheit eingebunden sind.
Auch das ist ein Punkt, der nicht nur mir, sondern inzwischen glücklicherweise auch endlich der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) sauer aufstößt und besorgniserregend ist:
Risiken im Fokus 2024, hier: Risiken aus Cyber-Attacken mit gravierenden Auswirkungen und Risiken aus Konzentration bei der Auslagerung von IT-Dienstleistungen, veröffentlicht am 23. Januar 2024 von der BaFin.
Die Tipps zum “Online- und Kreditkartenbetrug” gehen in Serie
In der Beitragsreihe “Online- und Kreditkartenbetrug” werde ich euch in den kommenden Wochen Tipps im Umgang mit Banken, Kreditkartenunternehmen & Co. im Falle eines Online-Betrugs sowie Schutzmaßnahmen an die Hand geben.
Außerdem werde ich euch digitale Betrugsmethoden aufzeigen, die kein aktives, versehentliches Handeln oder etwaige Aktivitäten von Opfern erfordern, damit der Betrug erfolgreich über die Bühne gehen kann.
In meinem ersten Beitrag wird es um das Thema Web-Skimming, auch Digital-Skimming, Online-Card-Skimming, Formjacking oder MageCart genannt, gehen.
Im Fokus dieser finanz- und kreditkartendatenabgreifenden Betrugsmethode stehen große, kleine und mittlere Online-Shops sowie E-Commerce-Plattformen von bekannten und unbekannten Marken, die viel eher schlecht als recht gesichert sind. Die Leidtragenden dieser Nachlässigkeiten in puncto Daten- und IT-Sicherheit sind nicht selten die lieben, vertrauensvollen Kunden.
Die Beiträge aus der Serie “Online- und Kreditkartenbetrug” werde ich hier an dieser Stelle übersichtlich auflisten und abschließend in einem Ratgeber zusammenfassen: