Eilmeldung:
+++ Jugendliche (14) aus dem Kreis Bamberg seit Tagen vermisst - wer hat sie gesehen? +++
Druckartikel: Phishing-Urteil: Sparkasse muss nach Cyberbetrug zahlen

Phishing-Urteil: Sparkasse muss nach Cyberbetrug zahlen


Autor: Kara Marie

Deutschland, Montag, 20. Oktober 2025

Nach einem Phishing-Betrug muss die Sparkasse zahlen: Das OLG Dresden sieht auch Banken in der Pflicht, Online-Banking sicherer zu machen.
Das Oberlandesgericht Dresden verurteilt die Sparkasse zu Schadensersatz nach einem Phishing-Betrug, bei dem Sicherheitslücken im pushTAN-Verfahren ausgenutzt wurden.


  • Sparkasse muss nach Phishing-Betrug 20 % des Schadens ersetzen
  • Gericht sieht auch bei Sicherheitslücken der Bank eine Mitschuld
  • PushTAN-Verfahren gilt als besonders anfällig für Cyberangriffe

Das Oberlandesgericht Dresden hat entschieden, dass die Sparkasse nach einem Phishing-Betrug mitverantwortlich ist. Ein Kunde hatte auf einer gefälschten Webseite persönliche Daten eingegeben, woraufhin Betrüger eine hohe Summe überwiesen. Das Gericht sieht eine Mitschuld der Bank, weil das PushTAN-Verfahren nicht ausreichend geschützt war. Deshalb muss die Sparkasse 20 Prozent des entstandenen Schadens ersetzen. Das Urteil betont, dass Banken mehr Verantwortung bei Sicherheitslücken im Online-Banking tragen. Auch wenn der Kunde grob fahrlässig handelte, wird die Bank in die Pflicht genommen. Das Urteil könnte andere Banken dazu bewegen, ihre Sicherheitsmaßnahmen zu verbessern.

Phishing-Betrug: Wie der Schaden entstand

Im Grunde genommen geht es um einen Mann, der für seine Bank-Aktivitäten das sogenannte S-pushTAN-Verfahren der Sparkasse in Anspruch genommen hat. Kriminelle legten ihn mit einer Phishing-Mail herein und fragten darüber seine persönlichen Log-in-Daten ab.

Durch geschickte telefonische Gesprächsführung schafften sie es tatsächlich, ihn Anfang des Jahres dazu zu bewegen, seinen Höchstbetrag für Überweisungen nach oben zu setzen. Daraufhin überredeten sie ihn, dass er ihnen eine Summe von 49.421,44 Euro in Echtzeit freigab, schreibt Techbook.

Im Gerichtssaal sagte der Mann aus, dass die S-pushTAN-App ihm keine Informationen zu den Transaktionen preisgegeben habe. Er habe weder die genaue Summe noch den Empfänger bei der Freigabe sehen können. Lediglich die Freigabeaufforderungen seien ihm angezeigt worden. Das Gericht traute dieser Aussage nicht, stufte die Situation der TAN-Freigabe am Telefon aber als "ungewöhnlich" ein. 

Was Bankkunden jetzt beachten sollten

Zunächst einmal muss sich der Kunde den Schuh anziehen, grob fahrlässig gehandelt zu haben. Denn er hat einfach so auf einer Fakeseite im Internet seine persönlichen Daten eingetippt und die Zahlungen freigegeben.

Amazon-Tipp: chipTAN-Tan Generator für Online Banking

Im Urteil steht geschrieben: "Aufgrund der in den letzten Jahren vielfach durch verschiedene Medien bekannt gewordenen Fälle ist die Erkenntnis, dass Kunden durch betrügerische Nachrichten und Anrufe angeblicher Bankmitarbeiter zur Preisgabe von Zugangsdaten zum Online-Banking veranlasst werden sollen, als allgemeines Wissen vorauszusetzen" (Auszug aus dem Urteil 8 U 1482/24).

Doch auch die Bank trifft eine Mitschuld. Denn der Log-in sei nicht durch eine starke Kundenauthentifizierung geschützt geworden. So hätten die Täter leichtes Spiel gehabt, Daten wie Geburtsdatum und Kartennummer auszulesen, die sie für das Ausführen der Überweisungen genutzt haben. Nur durch diese Sicherheitslücke war den Kriminellen diese Tat überhaupt möglich.

Welche Sicherheitslücken bestehen beim PushTAN-Verfahren der Sparkasse?

Generell sieht das OLG Dresden kein Problem darin, dass das pushTAN-Verfahren der Bank die Ansprüche einer starken Authentifizierung gerecht werden kann. Dies ist gegeben, wenn die Sicherheit ausreichend ist. Doch der Fall habe gezeigt, dass eine zusätzliche Authentifizierung erforderlich gewesen wäre, um Schlimmeres zu verhindern. Somit hat die Bank ihre aufsichtsrechtlichen Pflichten verletzt. 

Beispielsweise hätte die Bank gesichtsbiometrische Daten abfragen oder weitere hinterlegte Daten verlangen können, um die Transaktion zu genehmigen und den Kunden ausreichend zu schützen. Laut Techbook ist der Schluss, zu dem das OLG Dresden gekommen ist, nichts Neues. 

Schon zwei Jahre zuvor hatte das Landgericht Heilbronn sich damit auseinandergesetzt, wie sicher das pushTAN-Verfahren ist. Es kam zu dem Urteil, "dass das sog. pushTAN-Verfahren […] ein erhöhtes Gefährdungspotenzial" aufweist. Besonders bedenklich sei es, wenn für die TAN- und Banking-App dasselbe Gerät genutzt werde. 

Welche Summe muss die Sparkasse zahlen?

Die Sparkasse muss nun tief in die Tasche greifen und dem Mann eine Entschädigung zahlen. Denn die Mitschuld sah das OLG Dresden als erwiesen an. Somit erhält der Mann immerhin einen Teil seines verlorenen Geldes zurück. 

Mit 'sehr gut' getestet: Hier geht es zum kostenlosen Girokonto 'BestGiro' der Santander-Bank

20 Prozent der gezahlten Summe muss die Bank ihm gutschreiben. Der genaue Betrag entspricht 9884,29 Euro. Ebenfalls wurde die Sparkasse dazu verpflichtet, die vorgerichtlichen Anwaltskosten des Klägers zu begleichen. Diese belaufen sich auf 1119,79 Euro. Das Urteil ist bereits in Kraft getreten, eine Revision wurde abgewiesen.  

Wenn du dich jetzt fragst, wie sicher das Online-Banking deiner Bank ist, dann empfehlen wir dir einen Artikel des Verbraucherschutzes. Dort erfährst du, wie sicher welches TAN-Verfahren ist und warum du unbedingt eine Zwei-Faktor-Authentifizierung nutzen solltest. 

Artikel enthält Affiliate Links