Neue Betrugsmasche: Welcher Versicherer zahlt bei „Quishing“?
Man muss schon sehr genau hinschauen, um zu erkennen, dass hier etwas nicht stimmt: Derzeit erreichen den einen oder anderen in Deutschland vermeintlich Briefe der Commerzbank, in denen der Empfänger zur Aktualisierung seines photoTan-Verfahrens aufgerufen wird. „Diese Maßnahme stellt sich, dass nur Sie persönlich und autorisiert Überweisungen und andere Bankgeschäfte durchführen können“, ist zu lesen. Zur Aktualisierung des Verfahrens wird der Empfänger dazu aufgefordert, einen beigefügten QR-Code zu scannen.
Wer den Brief genau betrachtet, findet einige Punkte, die einen stutzig werden lassen. So ist der Brief an die „sehr geehrte Kontoinhaberin“ sowie den „sehr geehrten Kontoinhaber“ gerichtet und nicht persönlich adressiert.
Auch die Unterschriften von Arno Walter und Aydin Sahin könnten für Stirnrunzeln sorgen – zumindest, wenn man sich für das Personalkarussell in der Finanzbranche interessiert. Denn Arno Walter, ehemaliger Chef der Commerzbank-Tochter Comdirect, hat das Unternehmen im vergangenen Jahr verlassen. Auch Aydin Sahin hat längst einen anderen Arbeitgeber.
Neue Masche auch im Straßenverkehr zu finden
Wer diese Fehler jedoch nicht erkennt und den QR-Code scannt, landet auf einer von den Kriminellen betriebenen Seite. Alle Daten, die dort vom ahnungslosen Nutzer eingegeben werden, können von den Tätern abgefischt werden. Teilweise wird sogar durch das Scannen direkt ein Geldtransfer veranlasst, warnt das Landeskriminalamt Nordrhein-Westfalen.
„Quishing“ heißt die neue Methode, die derzeit offenbar verstärkt die Runde macht. Nicht nur via Bank-Brief – auch im Straßenverkehr sehen die Täter offenbar eine Chance, mit der neuen Masche an Daten bzw. Geld zu kommen. So berichtet beispielsweise der Automobilclub ADAC, dass Kriminelle die QR-Code-Aufkleber an E-Ladesäulen überkleben und die Kunden auf nachgebaute Webseiten des Anbieters locken, wo sie schließlich ihre Kontodaten eingeben sollen.
Welche Versicherung leistet?
Doch können sich die Menschen gegen diese neue Betrugsform absichern? Einschlägig wäre hier die private Cyberversicherung – schließlich leistet diese auch im Fall von „Phishing“, also der Erlangung sensibler Daten via gefälschter Mails, Webseiten oder Kurznachrichten.
Doch der Sachverhalt ist komplexer: So deckt beispielsweise die „CyberGuard“-Police der Inter „Quishing“ nicht ab – zumindest derzeit nicht. „In unserem CyberGuard sind solche Schäden durch Phishing, Pharming und Skimming abgedeckt. Quishing ist jedoch nicht versichert, da es sich vom Phishing unterscheidet“, teilt eine Unternehmenssprecherin mit.
Bei Cyberversicherungen handelt es sich nicht um All-Risk-Versicherungen, erklärt Maklerin Astra Hübner gegenüber procontra. Das versicherte Risiko muss folglich klar in den Versicherungsbedingungen benannt sein.
Bei neuen Betrugsmaschen dürfte das kaum möglich sein. So heißt es auch von der Inter: „Bei unserem letzten Produktupdate war Quishing noch nicht als Betrugsmasche bekannt, weshalb es nicht berücksichtigt wurde.“
Quishing = Phishing?
Es ist also gut möglich, dass beim nächsten Produktupdate „Quishing“ in den Versicherungsschutz einbezogen wird. Auch andere Anbieter signalisieren derzeit, Quishing-Fälle künftig in den Versicherungsschutz integrieren zu wollen.
Allerdings gibt es auch Cyberversicherungen, die bereits jetzt schon Schutz bieten. So sieht die Provinzial „Quishing“ als eine Unterform des Phishings an. Wer also den „InternetSchutz“ der Provinzial abgeschlossen hat oder über entsprechende Bausteine in der Hausratversicherung verfügt, kann auch heute schon Schutz durch seinen Versicherer beanspruchen.
Aber es wird noch komplexer. Denn es kommt auch auf die genaue Ausgestaltung des Schadensfalls an, erklärt ein Sprecher der VGH. Fällt ein Kunde beispielsweise auf den oben genannten Brief herein, gibt so seine Kontodaten preis und verliert auf diese Weise Geld an die Betrüger, liegt ein Identitätsmissbrauch vor - ein solcher werde von der privaten Cyberversicherung der VGH gedeckt. Diese sieht nämlich keine Eingrenzung auf bestimmte Angriffsszenarien vor, wie beispielsweise Phishing oder Skimming, so der Sprecher.
Anders liegt die Sachlage allerdings dann, wenn ein Versicherungsnehmer auf einen gefälschten Strafzettel hereinfällt, der via QR-Code dazu auffordert, die Strafe sofort zu bezahlen. Überweist der Versicherungsnehmer dann die vermeintliche Strafe an die Betrüger, ist das Geld verloren. "Da der Kunde in diesem Fall selbstständig Gelder überweist, besteht kein Identitätsmissbrauch und somit auch kein Versicherungsschutz in der privaten Cyberversicherung", heißt es von der VGH.
Allgemein lohnt es sich also, auch beim Thema private Cyberversicherungen genau hinzuschauen.