Nils Bergert
Elisa Härder
Ines Heck
Manuel Hemm
Ingo Hochheim
Selina Hohe
Peter Huhn
Domenic Ipta
Kathrin Klein
Sophia Laas
Dr. Alexander Lang
Julian Pfeil
Magdalena Püschel
Thomas Rotzal
Susanna Schäfer
Valeria Schmidt
Christian Stadler
Alexander Stegmann
Jörg Steinbock
Bad Kissingen 
Bamberg 
Gerbrunn 
Gotha 
Kürnach 
München 
Randersacker 
Rottendorf 
Würzburg Onlinebanking – Betrug und Missbrauch
Die zunehmende Digitalisierung des Alltags führt auch zu einer Vermehrung von Missbrauchsfällen in Bezug auf das Onlinebanking. Der Kontoinhaber bemerkt die kriminellen Aktivitäten häufig zunächst nicht. Erst beim nächsten Überprüfen des Kontoauszugs stellt dieser nicht autorisierte Überweisungen fest.
Wie gehen Täter vor? Pishing, Social Engineering oder Man-in-the-Middle-Angriff
In der Regel haben die Täter das Ziel, Zugriff auf das Onlinebanking zu erlangen, um eigenständig Überweisungen durchführen zu können. In einigen Fällen versuchen sie zudem, Kreditkartendaten zu stehlen.
Die Betrugsformen im Onlinebanking sind vielfältig und unterliegen ständigen Veränderungen. Die folgenden Methoden gehören zu den häufigsten Arten von Betrug, die im Online-Banking vorkommen.
Phishing
Beim Phishing versuchen die Täter, sich durch täuschend echt aussehende gefälschte Webseiten, E-Mails oder SMS als Bank auszugeben. Sie zielen darauf ab, die Kunden dazu zu bringen, ihre Authentifizierungsdaten wie Benutzerkennung, PIN und TAN preiszugeben. Mit diesen erbeuteten Informationen können die Täter sich dann im echten Online-Banking anmelden, Überweisungen durchführen oder sogar den gesamten Zugang übernehmen.
Social Engineering
Beim Social Engineering kommen keine technischen Hilfsmittel zum Einsatz, um an die benötigten Informationen zu gelangen. Stattdessen treten die Täter unter einem Vorwand an die Kunden heran, häufig per E-Mail oder Telefon, und fordern sie auf, vertrauliche Informationen freiwillig preiszugeben. Oft geht einem Social-Engineering-Angriff ein Phishing-Angriff voraus, sodass die Täter bereits über sensible Informationen des Kunden verfügen. In aktuellen Fällen gaben sich die Täter als Bankmitarbeiter aus und täuschten durch sogenanntes „Spoofing“ die Telefonnummer der Bank vor, um den Eindruck zu erwecken, dass sie tatsächlich mit der Bank kommunizierten. Dadurch konnten sie die Kunden dazu bringen, die von ihnen angeforderten TANs preiszugeben, mit denen dann Überweisungen durchgeführt oder der Zugang zum Online-Banking vollständig übernommen wurde.
Man-in-the-Middle-Angriff
Bei einem Man-in-the-Middle-Angriff wird das digitale Gerät des Kunden mit Schadsoftware infiziert. Diese Software hat die Aufgabe, das Passwort für das Online-Banking auszuspionieren. Wenn der Kunde die Webseite aufruft, wird er auf eine gefälschte Seite umgeleitet, die von den Tätern erstellt wurde. Währenddessen loggen sich die Täter mit den gestohlenen Daten in das echte Online-Banking ein und initiieren eine Überweisung. Wenn der Kunde dann die TAN, die durch die Täter ausgelöst wurde, auf der gefälschten Webseite eingibt, glaubt er, eine legitime Überweisung durchzuführen. Dadurch autorisiert er unwissentlich die Täter, die als „Mann-in-der-Mitte“ agieren, ihre eigene Überweisung auf der echten Bankseite durchzuführen.
Zusammenfassend bleibt festzuhalten, dass grundsätzlich nicht das Onlinebanking „gehackt“ wird, es werden also keine Sicherheitslücken der Bank ausgenutzt. Vielmehr haben die Täter komplexe Vorgehensweisen entwickelt, um Kunden unbemerkt sicherheitsrelevante Informationen zu entlocken.
Betrug gegenüber Bankkunden: Häufige Vorgehensweisen
Der Ablauf des Betrugs kann von Fall zu Fall variieren. Dennoch gibt es einige grundlegende Methoden, die wir aus unserer Erfahrung heraus häufig beobachten.
Manipulierte E-Mail oder SMS
Kriminelle versuchen häufig, Kunden auf gefälschte Webseiten zu locken, indem sie manipulierte E-Mails oder SMS versenden. Diese Nachrichten scheinen von der Bank zu stammen und fordern die Empfänger zu bestimmten Handlungen auf. Oftmals nutzen sie aktuelle Themen aus den Nachrichten als Vorwand. In anderen Fällen wird behauptet, dass das Sicherheitsverfahren aktualisiert werden muss oder dass das Onlinebanking gesperrt wurde und der Kunde es wieder freischalten muss.
Gefälschte Webseiten bei Google & Co
Kunden geben die Adresse für das Onlinebanking nicht direkt in die Adresszeile des jeweiligen Browsers ein, sondern suchen mittels einer Suchmaschine nach bestimmten Keywords (Schlüsselwörter). Dies machen sich die Täter zunutze, indem sie bewusst gefälschte Werbeanzeigen oder Webseiten schalten, die angeblich von der Bank stammen. In Wirklichkeit führen sie jedoch nicht zur Webseite der Bank, sondern auf eine exakte Kopie, über die Zugangsdaten abgegriffen werden.
Digitale Girocard oder Kreditkarte
In einem solchen Fall teilt der betrügerische Anrufer dem Kunden mit, dass er aufgrund aktueller Betrugsfälle vorsorglich dessen Konto und Karte gesperrt habe und diese nun wieder mit ihm zusammen entsperren würde. Er bat den Kunden hierfür eine pushTAN freizugeben, die er nun erhalten werde. Tatsächlich meldete sich in diesem Moment die pushTAN-App des Klägers und verlangte die Freigabe eines Auftrags mit dem Text „Registrierung Karte“. Der Kunde gibt in der Regel unwissend den Auftrag frei. Infolgedessen wird eine digitale Version der Debitkarte des Kunden auf einem mobilen Endgerät des Täters freigegeben. Diese konnten sodann beispielsweise über ApplePay oder Google Pay Zahlungen vornehmen.
Kreditkartenmissbrauch bei eBay & Kleinanzeigen
Sie verkaufen etwas über eBay-Kleinanzeigen. Hierauf meldet sich ein Interessent. Infolgedessen erfolgt eine Kommunikation über WhatsApp oder den plattformeigenen Chat. Im Gespräch behauptet der „Käufer“, dass dieser über eBay gezahlt haben. Sie müssten die Zahlung jedoch über einen Link bestätigen. Dieser Link sieht so aus, als stamme er von eBay, in Wahrheit handelt es sich um eine Webseite der Täter. Geben Sie auf dieser beispielsweise Ihre Kreditkartendaten an, können die Kriminellen nach Belieben shoppen.
Für den Fall, dass das Geld erstmal vom Konto abgebucht wurde, ist es kaum möglich, dies von den Tätern zurückzubekommen. Grund hierfür ist, dass die Täter in der Regel unbekannt sind oder im Ausland sitzen. Es stellt sich daher die Frage: Haftet die Bank für Betrug im Onlinebanking?
Haftet die Bank für Schäden?
Im Betrugsfall kann die Bank gegenüber dem Kunden für den eingetretenen Schaden haften. Die Rechtsbeziehungen zwischen der Bank und ihren Kunden richten sich nach dem abgeschlossenen Zahlungsdienstevertrag. Nach § 675f BGB ist die Bank zur Ausführung von Zahlungsvorgängen gegenüber dem Kunden als Zahlungsdienstnutzer verpflichtet.
Im Allgemeinen darf die Bank nur die Zahlungsvorgänge ausführen, die vom Kunden autorisiert wurden.
Bei einem Missbrauch des Onlinebankings oder von Kreditkartendaten liegt eine solche Autorisierung nicht vor. Wenn ein Zahlungsvorgang nicht autorisiert ist, hat die Bank gemäß § 675u BGB keinen Anspruch auf Rückerstattung des abgebuchten Betrags durch den Kunden. Stattdessen ist sie verpflichtet, das Konto umgehend auf den ursprünglichen Stand zurückzusetzen. Versäumt sie dies, gerät sie in Verzug, es sei denn, sie kann nachweisen, dass eine Autorisierung vorlag oder dass ihr ein Gegenanspruch zusteht, weil der Kunde für den Schaden verantwortlich ist.
Die Gerichte untersuchen Schadensfälle in drei Schritten:
- Zunächst muss die Bank nachweisen, dass der Kunde den Zahlungsvorgang autorisiert hat. Laut § 675w BGB ist dafür erforderlich, dass eine Authentifizierung stattgefunden hat und der Zahlungsvorgang ordnungsgemäß aufgezeichnet und verbucht wurde, ohne dass Störungen aufgetreten sind.
- Kann die Bank diesen Nachweis erbringen, gilt dies als Anscheinsbeweis für die Autorisierung (BGH, Urteil vom 26.01.2016 – XI ZR 91/14). Der Kunde ist dann gefordert, diesen Anscheinsbeweis zu widerlegen, indem er eine ernsthafte, alternative Möglichkeit für den Vorfall darlegt, die nicht auf die Autorisierung zurückzuführen ist.
- Anschließend obliegt es der Bank, den Gegenbeweis zu erbringen oder nachzuweisen, dass der Kunde aufgrund grober Fahrlässigkeit für den entstandenen Schaden verantwortlich ist. Daher ist es entscheidend, die genauen technischen Abläufe zu rekonstruieren, die zu dem Schadensfall geführt haben.
Wann liegt grobe Fahrlässigkeit vor?
„Grobe Fahrlässigkeit erfordert einen in objektiver Hinsicht schweren und in subjektiver Hinsicht schlechthin unentschuldbaren Verstoß gegen die Anforderungen der konkret erforderlichen Sorgfalt“ (BGH, Urteil vom 26.01.2016 – XI ZR 91/14). Selbst wenn der Kunde also einen Fehler gemacht hat, führt dies nicht automatisch zu einem Gegenanspruch der Bank.
Kammergericht Berlin stärkt die Rechte der Betroffenen
Das Kammergericht Berlin hat entschieden, dass der Kartenemittent verpflichtet ist, eine algorithmische und automatisierte Überwachung von Transaktionen durchzuführen. Diese Maßnahme soll dazu dienen, auffällige und für den Karteninhaber untypische Transaktionen zu identifizieren, wie zum Beispiel ungewöhnlich hohe Beträge oder Zahlungen aus anderen Ländern. Diese Verpflichtung ergibt sich aus dem allgemeinen Sorgfaltsgebot für Zahlungsdienstleister. Im Urteil wird ausdrücklich darauf hingewiesen:
„Insoweit muss der Kartenemittent für eine algorithmische, automatisierte Transaktionsüberwachung sorgen, die es ihm ermöglicht, auffällige, für den Karteninhaber untypische Transaktionen (hinsichtlich der Summe, des Landes etc.) zu erkennen. Vom Zahlungsdienstleister wird erwartet, bereits auffällige Zahlungsaufträge zu erkennen, um auf diese Weise frühzeitig die Ausführung verdächtiger Zahlungen zu verhindern.“ Beschluss des Kammergerichts Berlin vom 04.09.2024 (Az. 4 U 79/23)
Wie kann ein Anwalt bei der Schadensregulierung helfen?
Ein Onlinebanking-Schadensfall bedarf daher einer gründlichen technischen und rechtlichen Analyse. Hierfür sind Spezialwissen im IT-Recht und umfangreiche Erfahrungen nötig.
Im Falle eines Betrugs über das Onlinebanking gehen wir in drei Schritten vor:
- Bestandsaufnahme: In einem Beratungsgespräch klären wir den Ablauf des Betrugs und ermitteln, welche Informationen wir noch benötigen.
- Sachverhaltsermittlung: Wir wenden uns an die Bank und ermitteln parallel den Sachverhalt, auch in Zusammenarbeit mit den Ermittlungsbehörden.
- Durchsetzung des Erstattungsanspruchs: Zunächst fordern wir den Schadensbetrag außergerichtlich von der Bank ein. Sollte die Bank nicht zahlen, besprechen wir das Prozessrisiko und erheben gegebenenfalls Zahlungsklage.
Wenn Sie eine Rechtsschutzversicherung haben, die allgemeines Zivilrecht abdeckt, können die anfallenden Anwaltskosten teilweise übernommen werden. Bei Fragen dazu stehen wir Ihnen gerne zur Verfügung.
Sollten auch Sie von einem Betrugsfall betroffen sein, können Sie sich unkompliziert und vertrauensvoll an uns wenden. Wir sorgen dafür, dass Ihre Rechte gewahrt bleiben und setzten uns für Sie ein. Selbstverständlich stehen wir für Sie auch per E-Mail unter info@steinbock-partner.de oder telefonisch zur Verfügung.
