Vorsicht vor Phishing-Mails! – In letzter Zeit steigt nach Auskunft der Banken und Sparkassen die Zahl der Phishing-Opfer. Hintergrund hierfür könnte die Umstellung auf das neue SEPA-System sein.
Phishing-Täter forderten in diversen E-Mails ihre Opfer auf die eigene PIN einzugeben und die persönlichen Daten zu überprüfen. Die E-Mails wirken auf die Opfer authentisch, von der Gestaltung wie von der eigenen Sparkasse, von der Postbank oder von der Commerzbank und dass anlässlich der SEPA-Umstellung die seitens der Bank hinterlegten Kundendaten zu überprüfen. Alleine im Juni 2014 sind diverse Phishing-Mails vermeintlich der Advanzia Bank S.A., der Volksbank (Betreff z.B. „bestätigung Ihrer Zahlung an #317345“) oder der Deutschen Telekom AG (Betreff z.B. „RechnungOnline Monat Juni 2014, Buchungskonto: 1861618041“) bekannt geworden. Nichts ahnend lockten sich daraufhin einige Kunden mit ihrer PIN auf der Seite ein, zu der sie durch den Link in der E-Mail gelangten. Hier konnten sie nun ihre eigenen Daten verifizieren, wobei auch diese Seite täuschend echt aussah. „Vielen Dank“ erscheint vielen Bankkunden rückwirkend als blanker Hohn.
Schon 2014 warnte Rechtsanwalt Dr. Thomas Schulte eindringlich vor der zunehmenden Gefahr durch Phishing-Mails. Anlass war damals die Umstellung auf das europaweit einheitliche SEPA-System, die Kriminelle geschickt nutzten, um Bankkunden mit täuschend echten E-Mails zur Preisgabe ihrer PIN und sensiblen Kontodaten zu verleiten. Das Resultat: finanzieller Schaden und schwierige Rechtslagen für Opfer, die oft leer ausgingen. Mehr als zehn Jahre später haben sich die Betrugsmaschen zwar technisch weiterentwickelt, doch das Prinzip blieb erschreckend ähnlich – Verbraucher werden immer noch Opfer von Phishing, besonders im Zeitalter digitaler Bankgeschäfte und zunehmender Nutzung mobiler Endgeräte. Anlass genug, die Erkenntnisse von damals erneut ins Bewusstsein zu rufen.
Betrugsmasche mit Erfolg für Täter und großem Nachsehen für Phishing-Opfer – gegen Sorgfaltspflicht für PIN verstoßen
Denn die Täter nutzen die PIN, um kurze Zeit später horrende Geldbeträge vom Konto abzuheben. Jeder Bankkunde, der hierauf reingefallen ist, scheint rechtlich Pech zu haben: Ein Anspruch gegen die eigene Bank, die Kontobelastung der Überweisung rückgängig zu machen, besteht grundsätzlich nämlich nicht. Zwar hat der Kunde die Überweisung nicht selbst in Auftrag gegeben, sodass an sich kein Aufwendungsersatzanspruch der Bank besteht, gegen einen Zurückbuchungsanspruch des Kunden aber in der Regel ein aufrechenbarer Schadensersatzanspruch der Bank, weil der Kunde durch die Preisgabe seiner PIN in der Phishing-Mail zumeist gegen seine Sorgfaltspflichten verstoßen hat. Es bleibt dann nur die Möglichkeit, mittels einer Strafanzeige sowie eines beauftragten Rechtsanwalts, der Akteneinsicht dann nimmt, zu hoffen, dass die Täter ermittelt werden und das erlangte Geld noch nicht ausgegeben haben.
Beweiserbringung: Hackerangriff auf Bankserver oder Phishing-Mail
Lässt sich dagegen nicht mehr aufklären, ob der Kunde tatsächlich auf eine Phishing-Mail reingefallen ist, oder ob die Täter auf andere Weise an die PIN gelangt sind (grundsätzlich nicht auszuschließen ist ein Hackerangriff auf den Server der Bank), so sehen die rechtlichen Karten des geschädigten Kunden durchaus besser aus. Denn die Bank hat nicht nur nachzuweisen, dass der Kunde selbst die Überweisungen in Auftrag gegeben hat, sondern vielmehr auch, dass er seine Sorgfaltspflichten eventuell verletzt hat. Die Bank müsste dann beweisen, dass entweder der Kunde selbst die Überweisung getätigt hat (ein Anscheinsbeweis durch die Verwendung der richtigen PIN ist seit der gesetzlichen Neuregelung zweifelhaft und zumindest im Telefon-Banking ausgeschlossen) oder, dass der Kunde auf eine Phishing-Mail geantwortet hat. Dies kann und wird der Bank in vielen Fällen nicht gelingen.
Fazit: Inhalte von E-Mails unter Vorsicht betrachten
Vorsicht beim öffnen von E-Mails. Falls der Absender nicht bekannt ist oder eine seltsame Schreibweise verwendet wird, diese E-Mail mit angeblich wichtigen Daten nicht öffnen. Falls dann noch die Eingabe der PIN verlangt wird, lieber beim Kreditinstitut anrufen und nachfragen, ob solch eine E-Mail verschickt wurde. Wichtig niemals für eine Überprüfung der persönlichen Daten einfach die PIN eingeben.
Ausblick auf 2025
Die Warnungen von 2014 sind heute aktueller denn je: Phishing-Angriffe haben im Zuge der Digitalisierung und des Einsatzes von KI-Technologien deutlich zugenommen. Kriminelle verschicken inzwischen automatisiert Mails und Nachrichten, die nicht nur täuschend echt wirken, sondern oft sogar persönliche Details enthalten, wodurch Opfer noch leichter manipuliert werden können. Doch auch Banken und Gesetzgeber haben reagiert. Die Einführung der Zwei-Faktor-Authentifizierung (2FA) und das sogenannte „Strong Customer Authentication“-Verfahren (SCA), das in der EU gesetzlich vorgeschrieben ist, bieten Kunden inzwischen einen besseren Schutz. Dennoch bleibt das Risiko bestehen, dass Kunden durch Nachlässigkeit oder Unwissenheit Opfer von Phishing werden und finanziellen Schaden erleiden. Auch 2025 gilt deshalb:
Bleiben Sie wachsam, schützen Sie Ihre sensiblen Daten, und hinterfragen Sie jede verdächtige Nachricht sorgfältig – bevor es zu spät ist.
