Volksbank in Sottrum: Wie Banken gegen Betrüger schützen
Wie locken Betrüger Bankkunden am häufigsten in die Falle – und was tut die Bank dagegen? Darüber geben Karin Frese und Friedhelm Schulz von der Volksbank Wümme-Wieste in Sottrum Auskunft.
Sottrum – „Das kann wirklich jeden treffen“, sagen Karin Frese und Friedhelm Schulz von der Volksbank Wümme-Wieste. Die Verantwortliche für Qualitätsmanagement in dem Kreditinstitut und der Ansprechpartner für elektronische Bankleistungen haben in ihrem Haus schon so gut wie jede Masche gesehen, bei der Kunden Opfer von Betrügern geworden sind – „in allen Formen und Farben“, wie Schulz sagt. Wenn plötzlich ein Kunde am Schalter steht und die Umstände der Auszahlung verdächtig wirken, wenn eine Überweisung an ein auffällig gewordenes Konto gehen soll, wird die Bank zur potenziellen Schnittstelle für Betrug. Wie sie diesem vorbeugen kann, darüber haben wir mit Frese und Schulz gesprochen.
Herr Schulz, Frau Frese – die Vielfalt von Betrugsmöglichkeiten sind groß – was sind momentan die gängigsten Maschen, mit denen Sie konfrontiert sind?
Schulz: Im Moment würde ich sagen, geht es häufig um WhatsApp-Geschichten, bei denen die Opfer von ihren vermeintlichen Enkeln, Geschwistern, Müttern oder Vätern angeschrieben und dann dazu aufgefordert werden, irgendwelche Beträge zu überweisen. Und dann gibt es noch die üblichen Banking-Betrugsversuche mit ausgespähten Rechnern.
Da spielt sicher „Phishing“ eine Rolle.
Schulz: Ja, das geht nur über Phishing. Sonst funktioniert das nicht. Das Online-Banking an sich, das Rechenzentrum, ist noch nie geknackt worden. Was zu Betrugsfällen führt, sind immer die Endanwender, die in irgendeiner Form verseuchte Rechner haben, auf Nachrichten reagieren oder auf dem Handy Zahlungen und Vorgänge legitimieren, die sie nicht hätten legitimieren dürfen. Das ist das eigentliche Problem, das wir als Bank haben.
Frese: Es geht meist um Kunden, die manipuliert werden. Da kommt eine WhatsApp, in der es heißt: „Hallo Mama, ich habe eine neue Handynummer, bitte melde dich mal.“ So fängt es an. Und dann interagiert man, man hört eine glaubwürdige Geschichte, bei der schnell eine Überweisung getätigt werden soll, und dann reagiert der Kunde entsprechend und überweist.
Haben Betrüger, die so vorgehen, eine Zielgruppe, die sich deutlich in den Vordergrund stellt? Oder trifft das alle?
Schulz: Alle Altersgruppen, alle Schichten. Dafür sind alle empfänglich.
Frese: Natürlich klappt das bei Älteren eher, wenn „Mama“ oder „Papa“ angeschrieben werden. Kinder sind eher weniger betroffen, denn die haben aus Erfahrung weniger Geld.
Schulz: Bei anderen Maschen ist es so, dass es häufig damit losgeht, dass ein Rechner verseucht sein muss. Und Leute, die gerade einmal wissen, wie das Ding angeht und wie sie ins Internet kommen und da womöglich noch Lesezeichen angelegt haben, sind dafür empfänglicher, weil zum Beispiele keine Windows-Updates gemacht werden oder keine aktuellen Virenscanner vorliegen. Die wissen im Grunde gar nicht, was sie machen. Das ist das Problem.
Jetzt kommt ein Kunde in die Bank, der im Begriff ist, eine hohe Überweisung oder Auszahlung vorzunehmen und so einem Betrüger auf den Leim zu gehen. Was muss dann konkret passieren, damit ein Bankmitarbeiter eingreift?
Schulz: Wir haben Hinweis-Flyer, die wir bei Verdacht aushändigen. Die gehen der Frage nach: Brauchst du wirklich die 5 000 Euro oder bist du von jemandem angerufen oder angeschrieben worden, der dir sagt, dass du das Geld holen sollst? Dann kann der Kunde das noch einmal selbst hinterfragen. Ich habe das vor ein paar Wochen live erlebt. Eine Kundin wollte 2 000 Euro an ihren Sohn überweisen, weil sein Handy kaputt ist. Klassische Whatsapp-Geschichte. Dann war die IBAN falsch und die Kundin holte ihr Handy raus, darauf ließ sich der Chatverlauf nachvollziehen. Aber sie wollte sich partout nicht überzeugen lassen, dass es sich um Betrug handelt. Erst als meine Kollegin den echten Sohn angerufen hat, der dann böse geworden ist, hat sie den Betrugsversuch bemerkt.
Frese: Bei jedem Fall ist das eine Abwägung: Inwieweit habe ich jetzt überhaupt das Recht, das zu hinterfragen, was der Kunde macht? Es ist ja nicht unsere Aufgabe, zu hinterfragen, wofür der Kunde sein Geld nutzt.
Schulz: Das ist ein Balance-Akt. Dazu kommt, dass die Opfer von den Tätern auch instruiert werden, damit das nicht aufgedeckt wird. Die werden angewiesen, zu sagen: „Ich will mir ein neues Fahrrad kaufen.“
Frese: Aber wir sensibilisieren natürlich unsere Mitarbeiter. Die wissen zum Beispiel, welche Schlüsselbegriffe häufig bei Betrugsszenarien Verwendung finden. „Handy kaputt“ gehört zum Beispiel dazu.
Wie kann man als Bank noch vorbeugen, dass sich die Leute so übers Ohr hauen lassen?
Schulz: Auf unserer Internetseite haben wir immer die aktuellsten Sicherheitstipps. Die neusten Maschen tauchen da stets mit auf. Aber ob Sie das da haben oder nicht – das liest im Grunde keiner. Keiner setzt sich da auch nur zwei Minuten mit auseinander. Das ist das große Problem. Sonst würde da nie etwas passieren.
Frese: Wir sind im Gespräch mit dem Kunden, wir führen Informationsveranstaltungen in Zusammenarbeit mit der Polizei durch. Letztes Jahr haben wir auch Online-Banking-Seminare angeboten, für Leute, die in der Sache etwas unsicher waren. Da sind wir in der Kommunikation. Aber es ist oft schwierig, die Leute auch zu erreichen.
Hat die Bank solche Zahlungen im Blick?
Schulz: Also zunächst Mal sind für den normalsterblichen Kunden Auslandszahlungen gar nicht möglich. Innerhalb des Sepa-Raums geht es. Aber wenn sie dann wirklich nach China oder sonst wohin überweisen wollen, können sie das gar nicht, weil wir das aus Sicherheitsgründen beschränken. Dann haben wir Verfügungshöchstbeträge im Online-Banking, die wir relativ knapp gesetzt haben. Wenn Sie dann schon mal Opfer werden, geht das nur bis zu einer bestimmten Summe.
Wie hoch ist die?
Für Privatkunden 5 000 Euro, bei Firmenkunden sind es 25 000 Euro, weil die eben größere Beträge bewegen.
Und bei Zahlungen mit verdächtig wirkendem Empfänger?
Schulz: Im Hintergrund haben wir ein Fraud-Detection-System [Zu deutsch etwa: Betrugserkennung], das von sämtlichen Volksbanken in Deutschland gespeist wird. Und wenn dann mal eine Zahlung auffällig wird – wenn etwa die Volksbank Hintertupfingen sagt: Hier war ein Betrugsfall –, dann ist die zugehörige Ziel-IBAN für alle Zeit verbrannt. Wenn dann der nächste Kunde an dieses Konto überweisen will, wird das angehalten und wir setzen uns mit dem Kunden in Verbindung. Da fängt man schon eine Menge ab.
Das heißt, es muss erst einmal ein Betrugsfall gegeben haben, der mit einer konkreten IBAN in Verbindung steht? Sind bestimmte Zahlungswege nicht automatisch verdächtig?
Frese: Wie genau der Algorithmus funktioniert, das wird uns aus Sicherheitsgründen niemand sagen. Wenn eine Bank besonders häufig in Sachen Betrug auffällig wird, wird die automatisch ausgesteuert. Oder wenn ein Kunde mit bescheidenem Zahlungsverkehr dieses Verhalten plötzlich radikal ändert, dann kommt die Warnung. Genauso, wenn eine Bankverbindung verdächtig oft genutzt wird. Der Algorithmus lernt aus allen Daten, die eingespeist werden, und identifiziert so verdächtige Zahlungen. Das passiert aber im Hintergrund.
Gibt es Möglichkeiten, das Geld zurückzuholen, wenn man schon Opfer geworden und die Überweisung schon raus ist?
Schulz: Schwierig. Grundsätzlich starten wir einen Rückruf. Aber die Empfängerbank muss diesen Rückruf nur beachten, solange das Geld noch nicht angekommen ist. In Zeiten von Online-Banking dauert das maximal einen Tag. Bei Betrug wird in der Regel Echtzeitüberweisung verwendet. Da nützt das gar nichts mehr. Zumal das Geld gleich weitergeleitet und der Weg verschleiert wird. Tendenziell sind die Erfolgsaussichten für einen Rückruf also eher gering.