Wer in die Phishing-Falle hineintappt, muss schnell handeln.
CC0 / Pixabay / Peggy_Marco
Phishing & Co ist ausgeklügelter Betrug und führt dazu, dass dein Konto leer ist und das Geld gestohlen. Gerichte müssen klären, wann Bankkunden sich grob fahrlässig verhalten und entscheiden meist zugunsten der Banken.
Das beliebte und weit verbreitete Internet-Banking beflügelt die Fantasie von Kriminellen. Durch immer neue und raffiniertere Tricks versuchen sie an deine Bankdaten zu kommen, um dein Konto abzuräumen. Neben Phishing (Passwort- und Datendiebstahl) und Pharming (Umleitung auf eine gefälschte Website) gibt es eine Vielzahl weiterer Maschen, mit denen sie die Banking-Zugänge kapern. Nach dem ersten großen Schock stellt sich für Betroffenen sofort die Frage, ob und wie sie ihr Geld zurückbekommen. Das ist aber nicht so einfach, insbesondere dann, wenn die Bank nachweisen kann, dass du dich als Kunde grob fahrlässig verhalten hast. Gerichte urteilen dann oft zu Gunsten der Bank.
Das grob fahrlässige Verhalten eines Bankkunden
Wenn beim Online-Banking die Website anders aussieht als sonst und eine "Bankmitarbeiterin" anruft, sollten bei dir die Alarmglocken läuten. Denn es ist eine Masche. Ein Beispiel: Ein Bankkunde erhält binnen kurzer Zeit mehrfach Telefonanrufe, bei denen sich die Anrufende als Bankmitarbeiterin vorstellt. Beim dritten Anruf fordert sie den Kunden dazu auf, eine Internetseite zu öffnen und diktiert ihm die Webadresse Wort für Wort.
Weiter erklärt die Anruferin, der Kunde erhalte gleich einen Link per SMS, den er in die Eingabemaske auf der Internetseite eingeben müsse. Die besagte SMS erhält der Kunde sodann mit dem Einleitungssatz: "Bitte klicken Sie hier, um die PushTAN-App einzurichten." Außerdem den Hinweis: "Bitte leiten Sie diese SMS nicht an dritte Personen weiter! Kein Mitarbeiter wird Sie um Weitergabe dieser Daten bitten."
Der Kunde gibt die Linkadresse ein und es erscheint der Hinweis, die Allgemeinen Geschäftsbedingungen (AGB) seien erfolgreich aktualisiert. In Wirklichkeit handelt es sich bei dem Link jedoch um einen Registrierungscode für ein mobiles TAN-Verfahren. An den darauffolgenden Tagen werden von dem Konto des Kunden knapp 10.000 Euro abgebucht. Als der Kunde dies bemerkt, lässt er sein Konto sperren.
Ein betrügerischer Link führt zum leeren Bankkonto
Vor dem Landgericht (LG) Lübeck verlangt der Kunde von der Bank die Erstattung. Er habe den Anrufer für eine Bankmitarbeiterin gehalten und sei aufgefordert worden, der Aktualisierung der neuen AGB zuzustimmen. Die Bank verweigert die Zahlung – sie wirft dem Kunden eine grob fahrlässige Verletzung seiner Sorgfaltspflichten vor. Der Kunde hätte den Betrug in Form des sogenannten Phishings (Password Fishing) erkennen müssen.
Die Richter am LG folgten den Argumenten der Bank. Personalisierte Bankdaten sind nicht an andere weiterzugeben. Geschieht dies trotz deutlicher Warnhinweise doch und wird daraufhin das Konto eines Kunden geplündert, muss die Bank das Geld nicht erstatten. Das geht aus einem Urteil des Landgerichts Lübeck hervor (Urteil: LG vom 1.12.2023, Az.: 3 O 153/23).
Laut Gesetz muss eine Bank ihren Kunden Geld zwar zunächst erstatten, welches ohne Zustimmung der Kunden von deren Konto abgebucht worden ist (§ 675 u Satz 2 BGB). Wenn sich aber herausstellt, dass die Abbuchungen auf ein grob fahrlässiges Verhalten des Kunden zurückzuführen sind – weil der Kunde nicht beachtet, was jedem hätte einleuchten müssen –, kann die Bank verlangen, dass der Kunde das Geld wieder an sie zurückzahlt (§ 675 v Abs. 3 Nr. 2 BGB).
Die Schwachstelle ist der gutgläubige Bankkunde
Das LG Köln urteilte schon 2019, dass die Weitergabe einer TAN am Telefon grob fahrlässig ist (Urteil: LG Köln vom 10.9.2019, Az.: 21 O 116/19). Inzwischen ist das klassische PIN/TAN-Verfahren weitgehend durch die Zwei-Faktor-Authentifizierung abgelöst. Das Grundproblem sind aber weiterhin gutgläubige Bankkunden, die den Sicherheitsanweisungen der Bank nicht folgen und auf die Tricks der Cyberkriminellen hereinfallen.
So hat das Oberlandesgericht (OLG) Dresden das Verhalten eines Bankkunden als grob fahrlässig beurteilt, weil dieser vor der Bestätigung des Zahlungsauftrags die Übereinstimmung der ihm auf dem Chipkarten-Lesegerät (TAN-Generator) angezeigten Daten (IBAN des Zahlungsempfängers und Überweisungsbetrag) mit den für den Auftrag vorgesehenen Daten nicht überprüft hat (OLG Dresden, Urteil vom 13.10.2022, Az.: 8 U 760/22).
Das OLG in München bewertet das Verhalten eines Bankkunden ebenfalls als grobe Fahrlässigkeit, weil er am Telefon mit einem vermeintlichen Bankmitarbeiter das personalisierte Sicherheitsmerkmal in Form des Freischaltcodes für die SecureGo App weitergegeben hat (OLG München Beschluss vom 4.9.2023 – Az.: 19 U 1508/23). Der Mann hätte wissen müssen, dass Kunden durch betrügerische Anrufe von vermeintlichen Bankmitarbeitern zur Herausgabe relevanter Zugangsdaten veranlasst werden könnten, so das Gericht.
Wer in die Phishing-Falle hineintappt, muss schnell handeln
Die Verbraucherzentrale in Bayern berichtet, dass sich immer öfter Kriminelle täuschend echte E-Mail-Adressen und Internetseiten anlegen, um so Zugang zu fremden Konten und Geld zu bekommen. "In unserer Rechtsberatung melden sich derzeit viele Opfer von Phishing-Angriffen", sagtSibylle Miller-Trach, Finanzjuristin bei der Verbraucherzentrale Bayern. Wenn Bankkunden einen Betrugsfall entdecken, ist schnelles Handeln wichtig. Konto, Karte und Zugang zum Online-Banking sind bei der Bank sofort zu sperren und außerdem ist eine Strafanzeige bei der Polizei empfehlenswert.
Es komme immer wieder vor, dass Banken und Sparkassen den Anspruch auf Wiedergutschrift zunächst ablehnen, erläutert Sibylle Miller-Trach. Die Begründung lautet meist: Die Zahlung sei mit einer Zwei-Faktor-Authentifizierung durchgeführt oder das 3D-Secure-Verfahren von VISA verwendet worden.
Laut Banken handele es sich bei dem abgebuchten Betrag entweder um eine autorisierte Zahlung oder um eine grobe Fahrlässigkeit des Kunden. In beiden Fällen besteht laut Banken und Sparkassen kein Erstattungsanspruch. "Wer auf eine Phishing-Falle hereinfällt, handelt nicht automatisch grob fahrlässig", betont hingegen Miller-Trach. Dies gegenüber den Banken durchzusetzen, bleibt allerdings schwierig. Denn: Banken haften nicht für unberechtigte Kontoabbuchung, wenn der Kunde persönliche Bankdaten an Dritte weitergibt, so die Entscheidung der Gerichte.
Derzeit sind falsche Schreiben mit QR-Code im Umlauf, die angeblich von der Commerzbank stammen. Aber Achtung: Wer den Code scannt, landet direkt auf der Webseite von raffinierten Betrügern. Es gibt viele unterschiedliche Möglichkeiten, Geld anzusparen: Auf dem Girokonto der Bank, Zuhause unter dem berühmten Kopfkissen, angelegt in Aktien, ETF-Fonds oder investiert in Immobilien. Aber wie viel Geld solltest du eigentlich auf dem Konto haben?
*Hinweis: In der Redaktion sind wir immer auf der Suche nach nützlichen Produkten für unsere Leser. Es handelt sich bei den in diesem Artikel bereitgestellten und mit einem Piktogramm beziehungsweise einem Einkaufswagen-Symbol, einem Ticket-Symbol, einem Hotel-/Reise-Symbol oder Sternchen gekennzeichneten Links um sogenannte Affiliate-Links/Werbelinks. Wenn du auf einen dieser Links klickst bzw. darüber einkaufst, bekommen wir eine Provision vom Händler oder Dienstleister. Für dich ändert sich dadurch nichts am Preis. Unsere redaktionelle Berichterstattung ist grundsätzlich unabhängig vom Bestehen oder der Höhe einer Provision.
