Wie ein IT-Experte Opfer eines Onlinebetrugs wurde
Dominik Häger ist Informatiker, spezialisiert auf Banken. Phishing? Davor ist er geschützt, denkt er sich - bis zu einem vermeintlichen Anruf seiner Bank. Durch einen Betrug verliert er Tausende Euro.
Dominik Häger sitzt an seinem Wohnzimmertisch und kann es immer noch nicht glauben: Fast zwei Monate ist es her, dass der 55-Jährige aus Altenholz (Kreis Rendsburg-Eckernförde) Opfer eines Onlinebetrugs geworden ist. Er ist sauer auf die Betrüger, doch vor allem auch auf sich, sagt er. Denn Dominik Häger ist studierter Informatiker und arbeitet viele Jahre als Experte im Bankwesen - er kennt sich bestens aus mit Onlinebanking und weiß um die Gefahren des Internets. "Ich dachte mir: Mensch, du fällst doch nicht rein auf sowas", ist er überzeugt. Doch all das hilft ihm am 9. Oktober trotzdem nicht, als plötzlich sein Telefon klingelt.
Sein Konto wurde gehackt - heißt es
Es ist die Direktbank, bei der Dominik Häger seine Konten hat - auf dem Handy werden Name und Telefonnummer angezeigt. Als er ran geht, meldet sich eine Frau zu Wort, die sich als Sachbearbeiterin vorstellt. Im Hintergrund hört er das Stimmengewirr der anderen Bankmitarbeitenden und das Klappern ihrer Tastaturen. "Das kam alles sehr authentisch rüber", erzählt der IT-Spezialist. Die Dame kommt schnell auf den Punkt: "Ihr Konto wurde gehackt." Geld soll auf ein anderes Konto transferiert worden sein, so ihre Hiobsbotschaft an ihn.
Geld bereits weg? Anruferin setzt ihn unter Druck
Dominik Häger ist überrumpelt, hat Angst, dass all sein Geld gestohlen wird. Doch die Dame am Telefon beruhigt ihn: Wenn er all ihren Anweisungen folge, dann könnten sie sein Erspartes retten. Letzter Schritt: Er muss die Transaktionsnummern (TANs) durchgeben, die er als SMS auf sein Handy bekommt. Mit dieser Legitimation könnten sie schlussendlich sein Geld zurückholen, versichert sie ihm. Er kooperiert. "Oh wunderbar, das klappt ja wie am Schnürchen", denkt er sich - nicht ahnend, dass er erst damit den Kriminellen den Weg für den Betrug freimacht.
Kein Zweifel an der Echtheit der Bankmitarbeiterin
"Geschafft", denkt sich Dominik Häger. Die vermeintliche Bankmitarbeiterin sagt ihm am Ende des Gesprächs noch, er könne sich vorerst nicht in sein Konto einloggen, da es wegen des Hackerangriffs gesperrt würde. Er lässt die Sache ein paar Tage ruhen und ist erleichtert, weil er glaubt, dass sein Geld gerettet werden konnte. "Ich habe denen absolut vertraut, weil ich wirklich gedacht habe, die waren von meiner Bank", sagt er. Kurz darauf erhält er plötzlich einen Anruf: Ein Polizist aus Kiel ist dran.
Dominik Häger versteht die Welt nicht mehr
Kriminelle hätten sein Konto geplündert, erzählt ihm der Beamte am Telefon. Ein Déjà-vu? In diesem Moment dämmert es dem gelernten Informatiker: Er ist Opfer eines Onlinebetrugs geworden - dieses Mal wirklich. "Das war der Moment, wo mir alles klar geworden ist: Das war ein Fake." Denn als Dominik Häger vor einigen Tagen denkt, er hilft der Bankmitarbeiterin dabei, sein Geld zu retten, bestätigt er in Wahrheit die Überweisungen an die Kriminellen. In mehreren Schritten holen sie sich eine mittlere fünfstellige Summe von seinem Konto. "Das hat eine unglaubliche Wut ausgelöst. Auch Ärger über mich selbst."
Bank wird skeptisch und greift eigenständig ein
Der Beamte erklärt ihm, dass Dominik Hägers Direktbank auf die Überweisungen aufmerksam geworden sei und als Betrug identifiziert habe. Sofort seien alle Transaktionen gestoppt worden. Mit Erfolg: Zumindest in einigen Fällen kann die Bank das Geld von Dominik Häger retten. Am Ende steht ein Schaden von 9.790 Euro auf dem Papier. "Ich bin froh, dass es nicht wesentlich mehr gewesen ist, aber es ist immer noch ein Batzen Geld", sagt er rückblickend. Und auch der emotionale Schaden bleibt.
Polizei verfolgt den Weg des Geldes
Die Kriminalpolizei nimmt die Ermittlungen auf. Die Rückverfolgung der Täter gestaltet sich wie in den meisten Fällen jedoch als knifflig: Häufig werde das Geld von Zwischenkonten auf weitere Konten transferiert, meist ins Ausland, sagt Henning Dibbern, Ermittler für Cybercrime bei der Kripo Kiel. "Da ist es für uns schwierig, Sicherungsmaßnahmen zu ergreifen, um an die Gelder zu kommen." Ausländische Banken würden nur bedingt Auskünfte geben. So auch im Fall von Dominik Häger. Es ist noch offen, ob er sein Geld zurück bekommen wird. "Wir sind abhängig von den Daten, die wir kriegen. Das ist halt immer unser Problem", so Dibbern. Im Zweifel müsse man Monate warten.
Phishing: Daten vermutlich im Darknet gekauft
Sein Kollege Sören Hanke vermutet, dass die Betrüger bereits vor dem Telefonat mit Dominik Häger Zugriff auf sein Konto hatten. Die Daten stammen wahrscheinlich aus dem Darknet und wurden zuvor über Phishing-Methoden vom Geschädigten abgegriffen: In der Regel schicken Betrüger täuschend echt aussehende E-Mails oder SMS von Banken an ihre Opfer. Ein Link führt dann auf nachgebaute Bank-Webseiten. Wer dort seine Daten eingibt, verliert sie an die Cyberkriminellen. Jedoch fehlt ihnen häufig wegen der Zwei-Faktor-Authentifizierung die Möglichkeit, eigenständig Geld zu überweisen. Dafür folge dann der Anruf beim potenziellen Opfer, erklärt Hanke.
KI kann in Zukunft zum Problem werden
Fast täglich gebe es im Bereich der Polizeidirektion Kiel Versuche, durch Phishing auf Onlinebanking-Accounts zuzugreifen, erzählt Henning Dibbern. Pro Jahr seien das mehr als 100 Fälle von Geschädigten. Genauere Zahlen dazu gebe es im Moment nicht. "Wir müssen uns da immer wieder mit neuen Varianten auseinandersetzen, da kann man sich nicht ausruhen. Es ist nicht absehbar, dass das weniger wird in den nächsten Jahren." Auch künstliche Intelligenz in der Videotelefonie sei eine neue Gefahr im Bereich der Cyberkriminalität, so Dibbern.
Was die Polizei in solchen Fällen rät
Der Ermittler empfiehlt, generell vorsichtig zu sein, wenn die vermeintliche Bank in einer E-Mail oder SMS dazu auffordert, auf einen Link zu klicken und persönliche Daten einzugeben. Meist hilft es, sich auf den entsprechenden Seiten umzusehen und auf Fehler oder Ungereimtheiten zu achten. So führten auf Betrügerwebseiten viele der weiterführenden Links häufig ins nichts, erklärt Dibbern. Und: "Normalerweise ruft die Bank einen nicht an", sagt der Cyber-Experte. Wenn man doch angerufen wird, sollte man sich nie unter Druck setzen lassen und keine sensiblen Daten herausgeben oder Transaktionen freigeben. "Banken werden nie nach so etwas fragen."
Wer jedoch Opfer eines Betruges geworden ist, solle sich über die jeweilige Service-Hotline umgehend bei seiner Bank melden. So hätten Banken eventuell noch die Möglichkeit, Gelder zurückzuholen. Außerdem empfiehlt er, stets eine Anzeige bei der Polizei zu erstatten, damit die Beamten tätig werden können. Betroffen sein könne davon jeder, nicht nur Menschen, die sich wenig im Internet auskennen, erklärt Henning Dibbern.
"Wir haben eine Altersspanne von 18- bis über 80-jährigen Geschädigten. Auch ob sich jemand mit IT auskennt oder nicht - das macht keinen Unterschied. Häufig überrumpeln einen die Täter mit einem Anruf. Dadurch ist man so gestresst, dass am Ende jeder Mensch Fehler macht." Henning Dibbern, Cybercrime-Ermittler bei der Kriminalpolizei Kiel
Nicht unter Druck setzen lassen
Dominik Häger kann sich trotzdem nicht erklären, wie selbst ihm als IT-Experten im Bankwesen so etwas passieren konnte. Doch die Betrüger haben ihren Plan perfekt einstudiert. Auf jede Frage hatten sie eine plausible Antwort, sagt er rückblickend, nichts blieb dem Zufall überlassen. Auch die auf seinem Handy angezeigte Nummer der Direktbank war manipuliert. "Es kann jeder reinfallen. Es war wie Hollywood - super gespielt am Telefon. Da kann ich nur jeden vor warnen."
Für ihn ist der Fall eine Lektion, sich von solchen Anrufen nicht unter Druck setzen zu lassen, auch wenn vermeintlich die Bank dran ist. Im Zweifel besser auflegen und eigenständig die Bank anrufen, rät er. Erst dann könne man sicher sein, dass auch die Bank dran ist. "Jetzt kann ich zumindest andere Menschen davor warnen und sagen: Passt da auf."
