Meine Bank untergräbt weiterhin die Anti-Phishing-Schulung

 (moritz-mander.de)
3 Punkte von GN⁺ 2025-07-19 | 2 Kommentare | Auf WhatsApp teilen
  • Die Bank verschickt Werbe-E-Mails zu Aktionen, die unzuverlässigen Phishing-Mails ähneln
  • Links und Website-Domains im Inhalt wirken unabhängig von der Bank, und durch die Aufforderung zur Eingabe persönlicher Daten ist eine Einstufung als Phishing schwer
  • Selbst nach der Überprüfung führt die Erkenntnis, dass es sich um eine offizielle Aktion handelt, zu Verwirrung und wachsendem Misstrauen
  • Dieses Vorgehen untergräbt den Zweck von Phishing-Schulungen und erhöht das Risiko, dass die Bank rechtliche Verantwortung tragen muss
  • Zur Lösung des Problems wird die Nutzung vertrauenswürdiger Domains und eine Umsetzung innerhalb der App betont

Vorwort

Ich habe erlebt, wie meine Bank direkt die Anti-Phishing-Schulung untergräbt. Eine von der Bank versandte E-Mail zu einer Aktion hatte so viele verdächtige Merkmale, dass sie sich kaum von einem Phishing-Betrug unterscheiden ließ. Sie fordert dazu auf, persönliche Daten auf einer Website einzugeben, die nicht zur offiziellen Bank-Domain gehört, und zeigt Probleme beim Sicherheitsstandard und bei der Schulungsrealität von Banken und öffentlichen Einrichtungen im In- und Ausland auf.

Kapitel 1: Eine verdächtige E-Mail trifft ein

  • Ich erhielt von meiner Bank eine E-Mail zur „Wero-Win-Wochen“-Aktion (Gewinnspiel)
  • Die E-Mail wirbt mit der Teilnahme an einer Aktion, bei der bis zu 7.000 Euro pro Woche gewonnen werden können
  • In der Mail werden Sparkasse (deutscher Sparkassenverbund) und Wero (ein neues europäisches digitales Bezahlsystem) erwähnt
  • Der Link in der E-Mail führt zu „gewinnen-mit-wero.de“ und nicht zu einer offiziellen Domain der Bank
  • Inhalt und Tonfall ähneln einer gewöhnlichen Phishing-Mail; nur die Absenderadresse ist eine offizielle Sparkassen-Adresse
  • Ich musste auf der offiziellen Website der Bank prüfen, ob die Aktion tatsächlich echt ist

Was ist die Sparkasse?

  • Eine regional verankerte Sparkasse, die in jeder Region unabhängig betrieben wird
  • Eine der größten Finanzdienstleistungsgruppen Europas

Was ist Wero?

  • Ein neues digitales Bezahlsystem, das von der European Payments Initiative (EPI) geschaffen wurde
  • Entwickelt mit dem Ziel, lokale Zahlungssysteme zu integrieren (anfangs mit Fokus auf P2P-Zahlungen)
  • Ähnlich wie PayPal, jedoch mit einer über einzelne Banken verteilten Struktur

Kapitel 2: Die Lage verschärft sich – eine verdächtige Website

  • Die Teilnahmeseite der Aktion, die nach dem Klick auf den E-Mail-Link geöffnet wird, ähnelt in Design und Struktur stark einer Phishing-Seite
  • Es gibt keinerlei Hinweis auf eine Sparkassen-Filiale oder eine Unterscheidung nach einzelnen Banken (die Eigenständigkeit der jeweiligen Institute wird ignoriert)
  • Die Domain selbst hat keinen Bezug zur offiziellen Bank-Domain und verwendet einen generischen Namen, den jeder registrieren könnte
  • Selbst das SSL-Zertifikat stammt vom kostenlosen Let’s Encrypt, was das Vertrauen mindert
  • Es fehlt an Erklärung zum Kontext oder zur Grundlage der Aktion; betont wird nur die „Chance auf Geld“
  • Zur Teilnahme werden persönliche und finanzielle Daten wie Name, Geburtsdatum, IBAN und E-Mail-Adresse verlangt
  • Das widerspricht dem üblichen Muster moderner digitaler Finanzaktionen, die nur innerhalb der App umgesetzt werden

Dadurch entsteht das Ergebnis, dass Finanzinstitute die Sicherheitsaufklärung ihrer Nutzer absichtlich bedeutungslos machen.

Das Problem des sinkenden Nutzens von Sicherheitsschulungen

  • Wenn selbst echte Banken Methoden verwenden, die Phishing-Mails oder -Websites ähneln, verlieren Nutzer das Vertrauen in die Schulung zur Phishing-Erkennung selbst
  • Es verbreitet sich die Wahrnehmung: „Das sieht wie Spam aus, könnte aber tatsächlich legitim sein“
  • Schon früher hat die betreffende Bank offizielle SMS mit verdächtigen Formulierungen und Domains verschickt (z. B. mit einem Link zu paperless.io)
  • Sogar der Support versteht nicht, warum das wie Spam wirken kann

Kapitel 3: Was ist die Lösung?

  • Die sicherste Lösung ist, den Teilnahmeprozess direkt in der App umzusetzen
  • Wenn das unvermeidbar ist, sollten offizielle Domains (z. B. sparkasse.de) oder Subdomains der jeweiligen Filialen verwendet werden, damit die Glaubwürdigkeit erhalten bleibt
  • Auch die deutsche Regierung hat in einem ähnlichen Fall mit der digitalen Markenpolitik von gov.de die Vertrauenswürdigkeit ihrer Dienste gestärkt

Kapitel 4: Wie Nachlässigkeit zu einem Rechtsproblem werden könnte

  • In jüngster Zeit nimmt die Zahl der Urteile zu Bankentschädigungen für Phishing-Opfer zu
  • Gerichte kommen bei der Frage, ob beim Abfluss persönlicher Daten „Fahrlässigkeit“ vorliegt, zu dem Schluss, dass die Bank haftet, wenn dem Nutzer kein Verschulden nachgewiesen werden kann
  • Wenn ein Phishing-Angriff mit einer E-Mail- und Website-Struktur wie der aktuellen durchgeführt würde, dürfte es der Bank schwerfallen zu belegen, dass das Opfer nicht vorsichtig genug war
  • Offizielle E-Mails und Websites der Bank und Phishing sind sich tatsächlich zu ähnlich, wodurch das rechtliche Risiko steigt

Fazit

  • Die technische Sicherheit entwickelt sich weiter, aber bei der Nutzbarkeitssicherheit (USABLE SECURITY) bestehen weiterhin Lücken
  • Solche Fälle untergraben das Vertrauen in Anti-Phishing-Schulungen selbst und wirken sich negativ auf die rechtliche Belastung der Banken sowie auf den gesamten Finanzsektor aus
  • Das Problem ist ein strukturelles Systemproblem, das sich kaum durch individuelles Feedback lösen lässt
  • Es muss noch ernster genommen werden, dass selbst in einer der größten Finanzgruppen Europas solche Probleme auftreten
  • Die Lehre lautet: „Untergrabt die Sicherheitsschulung nicht. Kümmert euch lieber endlich darum.“

Verwandte Beiträge

2 Kommentare

 
unsure4000 2025-07-19

Das Déjà-vu scheint keine Einbildung zu sein 🤣
 
GN⁺ 2025-07-19
Hacker-News-Kommentare

  • Meine Bank nutzt ein Betrugserkennungssystem, das mich anruft, wenn verdächtige Aktivitäten auf meinem Konto erkannt werden, und mich dann bittet, eine bestimmte Nummer zurückzurufen. Das Problem ist, dass jedes Mal eine andere Rückrufnummer angegeben wird. Wenn man diese Nummer online sucht, gibt es genau ein Ergebnis, und das ist die offizielle Webseite des Betrugserkennungssystems mit dem Hinweis, keinem Anruf zu vertrauen. Dieser Rat ist zwar sinnvoll, bedeutet aber ironischerweise auch, dass man sogar ihre legitimen Kontaktaufnahmen ignorieren soll.

    • Ich hatte nur einmal den Fall, dass bei meiner Karte das Betrugserkennungssystem ausgelöst wurde. Damals bekam ich von der Bank eine SMS: „Ihre Karte wurde wegen verdächtiger Nutzung gesperrt, bitte rufen Sie die folgende Nummer an.“ Auch diese Nummer war eine zufällig zugewiesene, nicht gelistete Nummer. Der einzige Grund, warum ich das nicht ignoriert habe, war, dass ich kurz zuvor auf einer neuen Website bezahlt hatte. Also rief ich direkt bei meiner örtlichen Bank an, um zu prüfen, ob das echt war, und bekam bestätigt, dass es tatsächlich stimmte. Ich war kurz davor, mich darüber auszulassen, wie miserabel dieser Ablauf ist.

    • Es scheint niemanden zu geben, der sich um den gesamten UX-Ablauf der Bank kümmert. Meine Bank funktioniert ähnlich merkwürdig. Zum Beispiel muss ich jedes Mal, wenn ich meiner Frau Geld überweise, mehrere Fragen zur Betrugsprävention beantworten. Wenn ich sie beantwortet habe, erscheint noch eine Mitteilung, dass wegen der häufigen Überweisungen kein 2FA-Code oder keine zusätzliche Authentifizierung verlangt werde. Solche unlogischen UX-Abläufe gibt es vermutlich, weil keine einzelne Person oder kein Team den Gesamtfluss verantwortet.

    • Banken halten sich nicht an ihre eigenen Regeln. Einmal rief mich die Bank wegen einer Versicherungsänderung an, die ich einen Monat zuvor beantragt hatte, und verlangte, dass ich mich mit einem Security-Dongle authentifiziere. Bei so etwas ist es kein Wunder, dass Leute auf Betrüger hereinfallen.

    • Die Bank, bei der ich arbeite, verschickt SMS nach dem Muster „Haben Sie einen Scheck über $x ausgestellt?“, um Unregelmäßigkeiten zu prüfen. Das Problem ist, dass der häufigste Scheckbetrug „Check Washing“ ist, bei dem der Betrag unverändert bleibt und nur der Empfänger gefälscht wird. Dann wirkt es wie eine legitime Transaktion mit korrektem Betrag, ohne dass geprüft wird, an wen tatsächlich ausgezahlt wurde.

    • Selbst wenn man die allgemeine Servicenummer der Bank anruft, lange wartet und endlich einen Mitarbeiter erreicht, heißt es oft, diese Nummer werde nicht anerkannt, obwohl sie tatsächlich korrekt ist. Noch lästiger ist es bei Banken, die ich gar nicht nutze: Ruft man die Nummer auf deren Website an, landet man sofort im Sprachmenü, und ohne Kontonummer kommt man nicht weiter. Man muss dann irgendeine andere erreichbare Nummer finden, um überhaupt mit einem Menschen sprechen zu können.

  • Meine Bank (USAA) hat früher tatsächlich Dinge umgesetzt, die ich vorgeschlagen hatte. Kürzlich bekam ich aber eine echt wirkende E-Mail an meine eindeutige E-Mail-Adresse, nur dass die Domain anders war als sonst. Das war besonders verdächtig, weil ich direkt zuvor etwas erledigt hatte. Ich rief sofort bei der Bank an und sprach mit jemandem aus der Betrugsabteilung. Ich erklärte, entweder sei ein internes System kompromittiert worden oder man gewöhne Kunden schleichend an Phishing, und bat darum, ein Ticket zu erstellen. Die Mitarbeiterin sagte, diese Domain gehöre nicht USAA und man verwende ausschließlich usaa.com, sperrte dabei aber kommentarlos mein Konto. Ich musste erneut anrufen, um das Konto entsperren zu lassen, und mir wurde gesagt, es sei ein Ticket erstellt worden. Jetzt bleibt abzuwarten, was daraus wird.

    • Ich hatte auch einmal ein Bewerbungsgespräch als Software Engineer bei USAA, und nach der Inkompetenz der Interviewer überrascht mich das Absurde dort überhaupt nicht mehr.

  • Die Technik und Marketingpraxis rund um die User Experience von Banken ist katastrophal. Alle Login-Formulare indischer Banken, die ich benutzt habe, sind

    • Passwortmanagern gegenüber unfreundlich
    • erlauben kein Kopieren/Einfügen von Passwörtern
    • verwenden clientseitiges Hashing
    • haben absurde Anforderungen wie maximal 15 Zeichen und nur Whitelist-Zeichen (bei HDFC besonders schlimm)
    • erzeugen ständig mehr Spam-Nachrichten Alles fühlt sich an, als käme es nicht aus der UX-Denke der frühen 2000er heraus.

    • Nicht mehr als 15 Zeichen! Meine Bank verlangt exakt 6 Ziffern, keine Buchstaben, nur Zahlen. Passwortmanager funktionieren nicht, Kopieren/Einfügen ist gesperrt, und man muss die Zahlenfelder mit der Maus anklicken. In ihrem Sicherheitswahn ist die zweite Authentifizierung von einem physischen Token über eine App am Ende bei SMS gelandet. Und das ist keine kleine Lokalbank, sondern die größte Bank Frankreichs.

    • Vor ein paar Wochen gab es auf Reddit Aufregung über einen Screenshot, wonach die App einer indischen Staatsbank Nutzer blockiert, nur weil sie Firefox installiert haben. Banken- und Regierungsseiten sind extrem benutzerfeindlich. Früher dachte ich, dieser Ansatz solle technisch weniger versierte Nutzer schützen, inzwischen wirkt er eher wie eine Ausrede dafür, keine wirklich sicheren und benutzerfreundlichen Frameworks einzuführen.

    • Eine bestimmte App einer indischen Staatsbank startet gar nicht erst, wenn man keine essenziellen Berechtigungen wie Kamera oder das komplette Dateisystem freigibt. Solchen Spam wie im OP habe ich bei meiner Bank allerdings nie erlebt. Es gibt aber in der öffentlichen Wahrnehmung das Gerücht, dass untere Mitarbeiter regelmäßig Kontodaten an Betrüger weitergeben.

    • Meine Bank zwingt mich alle 180 Tage zum Passwortwechsel, erlaubt aber nur 6 bis 11 Zeichen und eine festgelegte Zeichenauswahl. Wenn ich mich anmelden will, muss ich also wieder das Passwort ändern. Die automatisch generierten Passwörter von Firefox erfüllen die Bankregeln nicht, also muss ich mir im Terminal mühsam selbst ein zufälliges Passwort erzeugen, das den Vorgaben entspricht.

    • Ich verstehe nicht ganz, warum clientseitiges Passwort-Hashing ein Problem sein soll.

  • Beim Hauskauf wird dieses Problem noch schlimmer. Da wird es durch verschiedene Unterorganisationen mit jeweils unterschiedlichen Domains schnell unübersichtlich. Ich hatte selbst einmal den Ärger, bei einem Rückruf für ein Medizinprodukt einer verdächtigen Domain vertrauen zu müssen. Das ließe sich leicht lösen, indem man auf der Website einfach eine Liste vertrauenswürdiger Partner-Domains veröffentlicht. Mein persönliches Sicherheitsprotokoll ist, auf einer .gov-Seite nach den Kontaktdaten des Finanzinstituts zu suchen, dann diese Domain aufzurufen, dort die Kundendienstnummer zu nehmen und telefonisch zu erfragen, welche Domains tatsächlich vertrauenswürdig sind. Die Mitarbeiter im Kundenservice hielten mich oft für seltsam. Einmal sagte mir sogar eine Servicekraft: „Wenn auf LinkedIn steht, dass die zuständige Person bei <Bank Name> arbeitet, wissen Sie, dass sie echt ist.“

    • Als man mir sagte: „Wenn bei LinkedIn <Bank Name> als Arbeitgeber steht, kann man der Person vertrauen“, habe ich erwidert: „Geben Sie mir zwei Minuten, dann trage ich das auch in mein Profil ein. Würden Sie mir dann auch meine persönlichen Daten geben?“

    • Ich hatte beim Hauskauf aber auch schon eine völlig unkomplizierte Erfahrung. Ich habe die Hypothek über einen Makler abgewickelt und nur mit einer einzigen Person direkt zu tun gehabt.

  • Naive Menschen mit Entscheidungsmacht erkennen solche Risiken oft erst dann wirklich, wenn sie selbst oder jemand in ihrem Umfeld von Betrug oder rechtlichen Problemen betroffen sind. In den USA haben vor 2012 viele solche Leute Unternehmen geführt, aber durch die schnelle Verbreitung von Whitehat- und Blackhat-Hacking wurden diese Probleme vergleichsweise zügig angegangen.

    • Ich habe früher bei einem Finanzunternehmen mit starker Informationssicherheitskultur gearbeitet. Nachdem es übernommen worden war, kamen ständig Anfragen von externen Dienstleistern im Namen von Leuten aus der Zentrale. Nach den bisherigen Sicherheitsrichtlinien war es jedoch verboten, solche Mails zu bearbeiten, also haben wir uns in Slack darauf verständigt, dass diese Mails zwar vermutlich echt sind, wir sie aber nach Richtlinie trotzdem konsequent als Phishing melden. Das war zwar gutwillige Nichtbefolgung, aber eigentlich Best Practice. Später schickte ein Manager aus der Zentrale sogar Vorab-Mails nach dem Motto: „Solche Nachrichten werden kommen, bitte reagieren Sie so darauf.“ Daraufhin hatten wir erneut Diskussionen wie: „Woher wissen wir dann, dass diese Vorab-Mail echt ist?“ Irgendwann waren alle nur noch müde und haben die lascheren Sicherheitspraktiken der Zentrale akzeptiert.

    • Ich glaube, in solchen Organisationen gibt es eine soziale Struktur, die es fähigen Leuten, die die richtigen Entscheidungen treffen könnten, schwer macht, in tatsächliche Entscheidungspositionen aufzusteigen. Um gute Richtlinien zu machen, muss man an vielen Stellen „nein“ sagen, und dabei ist es am schwierigsten, den Leuten zu gefallen, die über Karrieren entscheiden.

    • Auf dem Papier gibt es dann CISO, EVP, SVP, Sicherheitsdirektoren und andere hohe Titel, und trotzdem ist völlig unklar, warum so absurde Entscheidungen getroffen werden. In solchen Fällen ist es schwer, Inkompetenz von Böswilligkeit zu unterscheiden. Wenn man das als „naiv“ beschönigt, wirkt es eher so, als würde man kundenfeindliches Verhalten entschuldigen. Sich um Sicherheit zu kümmern kostet Geld, sie zu ignorieren kostet ebenfalls viel, aber offenbar ist der Schaden durch verlorene Nutzer immer noch kleiner als die Kosten dafür, die Dinge sicher und richtig zu machen. Das ist am Ende eine traurige Realität für alle.

  • Meine Bank ruft mich häufig mit zufälligen Marketinganrufen an und wollte, bevor sie mir ihr Angebot erklärt, mein Geburtsdatum und den Mädchennamen meiner Mutter wissen. Wenn ich zurückfrage, sie sollten mir erst einmal beweisen, dass sie wirklich die Bank sind, sind sie immer irritiert.

    • Wenn mich ein unbekannter Anrufer bittet, meine persönlichen Daten zu bestätigen, antworte ich immer: „Ich weiß nicht, wer Sie sind, also kann ich Ihnen keine persönlichen Daten geben.“ Etwa die Hälfte legt dann einfach auf, der Rest beginnt sofort mit seinem Verkaufsskript.

    • Im Gesundheitswesen erlebe ich genau dasselbe ständig. Eine Facharztpraxis ruft an und fragt als Erstes nach meinem Geburtsdatum, und wenn ich ablehne, reagieren sie völlig überrascht. Ich sehe das genauso: Wenn sie mich anrufen, müssen sie zuerst ihre Identität beweisen.

    • Meine Bank hat das inzwischen verstanden und ein System eingeführt, bei dem man in der App sehen kann, dass genau dieser Mitarbeiter tatsächlich gerade im Rahmen einer Kampagne tätig ist.

  • Die Idee „Dann registrieren wir eben Subdomains“ entsteht deshalb, weil irgendjemand in der IT weiß, dass es riskant ist, für so etwas Berechtigungen auf Subdomain-Ebene zu vergeben, und es deshalb ablehnt. Am Ende umgehen andere Abteilungen im Unternehmen, etwa das Marketing, das Problem, indem sie eigenständig eigene Domains registrieren. Ich frage mich, wie Unternehmen wie Google das lösen. Eine kompromittierte Subdomain von google.com wäre eines der attraktivsten Ziele überhaupt, und trotzdem nutzt auch Google ziemlich oft Subdomains. Ein Beispiel dazu gibt es in diesem Gist-Link.

    • Oft geht das nicht einmal über die IT-Abteilung. Marketing ist organisatorisch von der IT getrennt und hat keine Lust, Arbeit bei der IT einzureichen. Die IT arbeitet mit ineffizienten, langsamen Ticket-Systemen und bringt oft unnötige Einwände vor, weshalb das Marketing sie als lästig empfindet. Deshalb werden Marketingkampagnen an SaaS-Dienste oder externe Anbieter ausgelagert, die wiederum kaum Bezug zur Unternehmens-IT haben. Die Marketingverantwortlichen wissen oft nicht einmal, was eine Subdomain ist, und arbeiten einfach über Google-Suchen oder angeklickte Links. Den URL-Text schaut sich sowieso niemand an, daher fehlt jedes Bewusstsein dafür, warum Subdomains wichtig sein könnten. Wenn man sich anschaut, wie Nutzer das Internet tatsächlich verwenden, ist klassische Phishing-Prävention weitgehend wirkungslos. „Domains sorgfältig lesen“ ist weniger realistisch als „über Google suchen und auf das oberste Ergebnis klicken“.

    • Auch Google ist in dieser Hinsicht ähnlich frustrierend. Hinweise kommen in einem Format, das leicht für Phishing gehalten werden kann, und sie verwenden neben google.com auch verschiedene seltsame Domains wie goo.gl, foobar.google und andere. Die Zeit, in der man so etwas einfach gutgläubig vertrauen konnte, ist längst vorbei.

  • Ich finde, Punkt 4 ist der Kern: Wenn eine Bank ihren Kunden E-Mails schickt, die wie Phishing aussehen, sollte das als grobe Fahrlässigkeit gelten und rechtliche Folgen haben.

    • Ich frage mich, wie man dafür rechtliche Verantwortung begründen will, wenn es weder ein klares Opfer noch ein eindeutig begangenes Delikt gibt. Gerade für „grobe Fahrlässigkeit“ erscheint das, was man in der Praxis sieht, eher noch relativ geringfügig.

  • Das ist ein Paradebeispiel für Conways Gesetz in der Realität. Die Marketingabteilung hat ihre eigene IT und ist von der IT getrennt, die die zentrale Website verwaltet. Deshalb kann nicht gemeinsam unter derselben Webdomain entwickelt werden, und am Ende werden separate Sites mit separaten Erfahrungen veröffentlicht.

    • Beim deutschen „Sparkassen“-Beispiel ist es noch komplizierter. Das sind kleine bis mittlere kreditgenossenschaftsähnliche Institute, bei denen die Dachorganisation gemeinsame Dienste wie IT nur teilweise bereitstellt. Jede einzelne Bank kann auswählen, was sie selbst verwaltet. Die großen Filialen bekommen das gut hin, die kleinen haben oft zu wenig Personal und praktisch keine IT-Sicherheitskompetenz. Trotzdem bauen solche Banken mit dem Image der „Bank von nebenan“ Vertrauen auf. Tatsächlich sind die Gebühren hoch und die Anlageprodukte performen miserabel.

  • Bei einem Unternehmen, in dem ein Bekannter von mir arbeitet, verschickte der CISO einen Sicherheits-Newsletter an alle Mitarbeitenden. Die Mail kam aber nicht von der internen Domain, sondern von einer externen Domain, und die Links führten nicht auf die eigene Website, sondern auf eine extern gehostete Plattform. Dadurch sah das immer wie eine Phishing-Mail aus. Besonders bei Gewinnspielen war es noch leichter, das für eine Fälschung zu halten, zumal solche großzügigen Preise zum Ruf des Unternehmens gar nicht passten.

    • Auch der wöchentliche Newsletter in meiner Firma kommt immer von einem externen Absender, und die Links führen auf extern gehostete Seiten. Zur Klickverfolgung ist eine eindeutige ID angehängt. Outlook verarbeitet diese Links dann noch weiter, sodass sie noch schwerer zu erkennen sind. Auf der offiziellen Website meines Arbeitgebers fand ich keinerlei Hinweis darauf, ob dieser Absender oder die Hosting-Domain offiziell genutzt werden. Deshalb habe ich auf solche Links nicht geklickt und stattdessen überlegt, ob ich sie lieber als Phishing melden sollte.