Druckartikel: Cyberbetrug: Sparkasse verurteilt - Phishing-Betrug

Cyberbetrug: Sparkasse verurteilt - Phishing-Betrug


Autor: Kara Marie

Deutschland, Sonntag, 28. Sept. 2025

Das Oberlandesgericht Dresden spricht ein wegweisendes Urteil zu Phishing-Betrug. Kunden und Banken müssen sich nun verstärkt mit Sicherheitsfragen im Online-Banking auseinandersetzen.
Das Oberlandesgericht Dresden hat die Sparkasse aufgrund von Sicherheitslücken im PushTAN-Verfahren für einen Phishing-Betrug mitschuldig gesprochen und zur Zahlung von Schadensersatz verurteilt.


Das Oberlandesgericht Dresden hat ein wegweisendes Urteil zum Online-Banking gefällt. Ein Sparkassenkunde wurde Opfer einer Phishing-Attacke und verlor dadurch eine hohe Geldsumme. Besonders bemerkenswert: Die Sparkasse trägt laut Gericht eine Mitschuld, da das PushTAN-Verfahren nicht ausreichend geschützt war. Das Urteil verpflichtet die Bank, einen Teil des Schadens zu ersetzen. Damit rückt die Verantwortung der Banken bei Sicherheitslücken stärker in den Fokus. Viele Bankkunden fragen sich nun, wie sicher ihr Online-Banking wirklich ist.

Im konkreten Fall hatte der Kunde persönliche Daten auf einer gefälschten Webseite eingegeben. Die Betrüger nutzten diese Informationen für eine Echtzeitüberweisung. Obwohl der Mann grob fahrlässig handelte, sieht das Gericht auch Versäumnisse bei der Bank. Die Sparkasse muss deshalb 20 Prozent des Schadens ersetzen. Dieses Urteil könnte auch andere Banken zu mehr Sicherheitsmaßnahmen zwingen. 

Phishing-Betrug: Das ist passiert - Hintergründe

Im Grunde genommen geht es um einen Mann, der für seine Bank-Aktivitäten das sogenannte S-pushTAN-Verfahren der Sparkasse in Anspruch genommen hat. Kriminelle legten ihn mit einer Phishing-Mail herein und fragten darüber seine persönlichen Log-in-Daten ab.

Durch geschickte telefonische Gesprächsführung schafften sie es tatsächlich, ihn Anfang des Jahres dazu zu bewegen, seinen Höchstbetrag für Überweisungen nach oben zu setzen. Daraufhin überredeten sie ihn, dass er ihnen eine Summe von 49.421,44 Euro in Echtzeit freigab, schreibt Techbook.

Im Gerichtssaal sagte der Mann aus, dass die S-pushTAN-App ihm keine Informationen zu den Transaktionen preisgegeben habe. Er habe weder die genaue Summe noch den Empfänger bei der Freigabe sehen können. Lediglich die Freigabeaufforderungen seien ihm angezeigt worden. Das Gericht traute dieser Aussage nicht, stufte die Situation der TAN-Freigabe am Telefon aber als "ungewöhnlich" ein. 

Warum trägt die Sparkasse eine Mitschuld?

Zunächst einmal muss sich der Kunde den Schuh anziehen, grob fahrlässig gehandelt zu haben. Denn er hat einfach so auf einer Fakeseite im Internet seine persönlichen Daten eingetippt und die Zahlungen freigegeben.

Amazon-Tipp: chipTAN-Tan Generator für Online Banking

Im Urteil steht geschrieben: "Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Nachrichten und Anrufe angeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen" (Auszug aus dem Urteil 8 U 1482/24).

Doch auch die Bank trifft eine Mitschuld. Denn der Log-in sei nicht durch eine starke Kundenauthentifizierung geschützt geworden. So hätten die Täter leichtes Spiel gehabt, Daten wie Geburtsdatum und Kartennummer auszulesen, die sie für das Ausführen der Überweisungen genutzt haben. Nur durch diese Sicherheitslücke war den Kriminellen diese Tat überhaupt möglich.

Welche Sicherheitslücken bestehen beim PushTAN-Verfahren der Sparkasse?

Generell sieht das OLG Dresden kein Problem darin, dass das pushTAN-Verfahren der Bank die Ansprüche einer starken Authentifizierung gerecht werden kann. Dies ist gegeben, wenn die Sicherheit ausreichend ist. Doch der Fall habe gezeigt, dass eine zusätzliche Authentifizierung erforderlich gewesen wäre, um Schlimmeres zu verhindern. Somit hat die Bank ihre aufsichtsrechtlichen Pflichten verletzt. 

Beispielsweise hätte die Bank gesichtsbiometrische Daten abfragen oder weitere hinterlegte Daten verlangen können, um die Transaktion zu genehmigen und den Kunden ausreichend zu schützen. Laut Techbook ist der Schluss, zu dem das OLG Dresden gekommen ist, nichts Neues. 

Schon zwei Jahre zuvor hatte das Landgericht Heilbronn sich damit auseinandergesetzt, wie sicher das pushTAN-Verfahren ist. Es kam zu dem Urteil, "dass das sog. pushTAN-Verfahren […] ein erhöhtes Gefährdungspotenzial" aufweist. Besonders bedenklich sei es, wenn für die TAN- und Banking-App dasselbe Gerät genutzt werde. 

Welche Summe muss die Sparkasse zahlen?

Die Sparkasse muss nun tief in die Tasche greifen und dem Mann eine Entschädigung zahlen. Denn die Mitschuld sah das OLG Dresden als erwiesen an. Somit erhält der Mann immerhin einen Teil seines verlorenen Geldes zurück. 

Mit 'sehr gut' getestet: Hier geht es zum kostenlosen Girokonto 'BestGiro' der Santander-Bank

20 Prozent der gezahlten Summe muss die Bank ihm gutschreiben. Der genaue Betrag entspricht 9884,29 Euro. Ebenfalls wurde die Sparkasse dazu verpflichtet, die vorgerichtlichen Anwaltskosten des Klägers zu begleichen. Diese belaufen sich auf 1119,79 Euro. Das Urteil ist bereits in Kraft getreten, eine Revision wurde abgewiesen.  

Wenn du dich jetzt fragst, wie sicher das Online-Banking deiner Bank ist, dann empfehlen wir dir einen Artikel des Verbraucherschutzes. Dort erfährst du, wie sicher welches TAN-Verfahren ist und warum du unbedingt eine Zwei-Faktor-Authentifizierung nutzen solltest. 

Artikel enthält Affiliate Links