Dank des Einsatzes von KI können Spear-Phishing-Mails nun in Sekundenschnelle hochgradig individuell gestaltet werden, wodurch diese Angriffe gefährlicher und effektiver sind als je zuvor. Ein kürzlich bekannt gewordener Phishing-Skandal bei den Sparkassen bestätigt dies.

Laut dem Verbrauchermagazin WISO beläuft sich der entstandene Schaden in vielen Bundesländern bereits auf mehrere Millionen Euro. Die Sicherheitslücke war den Banken jedoch schon seit geraumer Zeit bekannt.

Obwohl das Gesetz eine starke Kundenauthentifizierung vorschreibt, wenn sich ein Bankkunde online in sein Konto einloggt, machen viele Banken von einer gesetzlichen Ausnahme Gebrauch, die den Zugriff ohne zusätzliche TAN-Bestätigung erlaubt. Dabei dürfen jedoch keine sensiblen Zahlungsdaten einsehbar sein.

Bei vielen Sparkassen waren jedoch genau solche Daten wie Adresse, Geburtsdatum oder Telefonnummer jahrelang im „Lesezugriff“ hinterlegt, was den Kriminellen das Fehlen der Zwei-Faktor-Authentifizierung als Einfallstor ermöglichte. Die Bafin äußerte gegenüber dem Verbrauchermagazin: „Sofern einzelne Sparkassen diesen Lesezugriff ermöglichen, sollte dies umgehend behoben werden.“

Rechtlich gesehen müsste der Bankkunde nur für den entstandenen Schaden aufkommen, wenn ihm grobe Fahrlässigkeit im Umgang mit seinen Zahlungsdaten nachgewiesen werden kann. Angesichts maßgeschneiderter Phishing-Mails ist dies jedoch kaum möglich. Der Gesetzgeber hat zudem festgelegt, dass sich Banken nicht auf den Vorwurf grober Fahrlässigkeit berufen können, wenn keine Zwei-Faktor-Authentifizierung implementiert war, erklärt Rechtsanwalt Ruigrok van de Werve. Durch den Einsatz weiterer Anti-Phishing-Maßnahmen, die dem aktuellen Stand der Technik entsprechen, hätte die Bank den Hack ebenfalls verhindern können.