Kontoauszüge sind oft unerfreulich. Aber manchmal führt die Lektüre auch zum Schock: Ohne jeden Auftrag sind Beträge an völlig unbekannte Empfänger überwiesen worden. Hinter den angemaßten Transaktionen stecken versierte Täter, die sich die technischen Unzulänglichkeiten des Internet zu Nutze machen.
Ist Onlinebanking wirklich sicher?
Die Banken behaupten dies beharrlich. Die jüngeren Entwicklungen geben aber zu der Vermutung Anlass, dass die Banktransfers am privaten Rechner ganz erhebliche Sicherheitsrisiken mit sich bringen. Denn in zunehmendem Maße gelingt es Tätern, vertrauliche Kontodaten wie Zugangspasswörter, Geheimnummer (PINs) und Transaktionsnummern (TANs) herauszufinden und sie zu ihren Gunsten zu nutzen.
Phishing-Mails: gefälschte E-Mail für Datenklau
Dies geschieht zum einen im Wege so genannter „Phishing-Mails“. Dies sind gefälschte E-Mails, die dem Empfänger vorspiegeln, sie seien von seiner Hausbank versendet worden. In ihnen werden die Bankkunden aufgefordert, vertrauliche Kontodaten preiszugeben. Wer der Anweisung folgt, macht sich zum klassischen Betrugsopfer: Mit den Daten nehmen die Täter eigene Transaktionen auf dem Konto des Verbrauchers vor. Die Beträge werden an Drittkonten im Ausland überwiesen und dort vereinnahmt. In der Vergangenheit sind zahlreiche Verbraucher auf die an sich plumpe Masche hereingefallen. In jüngerer Zeit häufen sich Fälle, die durch eine wesentlich subtilere und perfidere Vorgehensweise der Betrüger gekennzeichnet sind.
Der Kontodatenklau erfolgt im Wege so genannter Trojaner-Mails, die den Bankkunden nicht zu einer wissentlichen Preisgabe seiner Daten veranlassen. Vielmehr werden E-Mail-Anhänge mit Virenprogrammen gespickt, die sämtliche vertraulichen Daten wie Passwörter und Geheimnummern erkennen. Selbst ohne Öffnung eines derartigen Anhangs nisten sich die Viren unbemerkt auf der Festplatte des Rechners ein und torpedieren die nächste elektronische Transaktion des Users: Sobald er die persönlichen Angaben eingetragen und das Überweisungsformular ausgefüllt hat, fragt ihn der Bankserver nach einer gültigen TAN. Ist diese eingegeben und per Mausklick bestätigt, fängt das Virus die TAN ab und macht sie sich für eine eigene, von den Tätern bereits programmierte Überweisung zu Nutze. Der User bemerkt zunächst nicht, dass er in Wahrheit eine völlig andere Transaktion, als die eigentlich von ihm eingegebene veranlasst hat.
In der Regel werden die Fehlanweisungen erst bei späterer Lektüre des Kontoauszugs bemerkt. Im Normalfall veranlassen die Betrüger Überweisungen von maximal etwa 1.000 bis 2.000 Euro, um den Deckungsrahmen eines durchschnittlichen Verbraucherkontos nicht zu sprengen oder das Misstrauen der Bank zu wecken. Es gehört zu den Vorgehensweisen der Täter, die Geldflüsse zu verschleiern, noch bevor die Ermittlungsbehörden ihre Tätigkeit aufgenommen haben. In der Regel werden so genannte Finanzagenten angeworben, die gegen eine Beteiligung die Empfängerkonten zügig kündigen und die Beträge ins Ausland transferieren. Bevorzugt werden Unternehmen wie Western Union eingeschaltet; weder Absender noch Empfänger benötigen einen festen Wohnsitz oder ein Girokonto.
Welche Rechte haben die Opfer?
Allgemein gilt: Wer durch nicht veranlasste Transaktionen um seine Gutschriften gebracht wird, hat einen Anspruch auf Rückerstattung der abgebuchten Beträge gegen die Bank, wenn und soweit er den Schaden nicht durch eigene Fahrlässigkeit verursacht hat.
Im Bereich des Onlinebanking verwenden die meisten Banken standardisierte AGB; die allgemein übliche Klausel enthält zum Pflichtenkatalog des Nutzers nur vage Aussagen: Er muss dafür Sorge tragen, dass keine andere Person Kenntnis der ihm übersandten PIN oder der verwendeten TAN erlangt. Insbesondere dürfen PINs und TANs nicht elektronisch gespeichert oder in anderer Form notiert werden, die TAN-Liste ist sicher zu verwahren und bei Eingabe von PIN und TAN ist sicherzustellen, dass diese nicht durch Dritte ausgespäht werden können. Was bedeutet das konkret für Phishing- und Trojaner-Mails? Bislang sind nur strafrechtliche Entscheidungen der Gerichte ergangen. So hat das LG Darmstadt mit Urteil vom 11. Januar 2006 (212 Ls 360 Js 33848/05) das Phishing mit anschließendem Auslandstransfer als gewerbsmäßige Geldwäsche nach § 261 IV StGB angesehen. Regelmäßig machen sich die Täter auch des Computerbetruges (§263a StGB) und des Ausspähens von Daten (§ 202a StGB) strafbar.
In zivilrechtlicher Hinsicht kommt es für eine Erstattungspflicht der Bank letztlich auf Art und Umstände der Täuschung an. Je schwieriger die Fälschung der Fishing Mail zu entdecken war, desto weniger wird dem Kunden eine Sorgfaltspflichtverletzung vorgeworfen werden können. Dies gilt insbesondere im Falle einer Trojaner-Mail, die praktisch nicht als solche erkannt werden kann. Die Banken haben auf die neue Bedrohung bislang nicht durch Änderung ihrer AGB reagiert, sondern nur Empfehlungen abgegeben, wie derartige Attacken zu vermeiden sind. Hierzu gehört, Dateianhänge von unbekannten E-Mails nicht zu öffnen, das Betriebssystem regelmäßig durch Updates zu aktualisieren und die Festplatte mit einer Firewall auszustatten. Eine Nichtbeachtung dieser Empfehlungen wird aber nicht ohne weiteres eine Sorgfaltspflichtverletzung des Kunden darstellen.
Vielmehr müssten die Banken bestimmte Vorkehrungen vertraglich vorschreiben. Ob damit zukünftig zu rechnen ist, bleibt abzuwarten. Jedenfalls dürften zu hohe Anforderungen an die Computersicherheit oder eine grundsätzliche Abwälzung des Kriminalitätsrisikos unangemessene Benachteiligungen des Bankkunden darstellen.
Einige Banken haben zwischenzeitlich durch Einführung des indizierten TAN-Verfahrens reagiert. Bei diesem Verfahren wird der Bankkunde aufgefordert, eine nach dem Zufallsprinzip ausgewählte, unverbrauchte TAN aus seiner Liste einzugeben. Diese TAN-Nummer ist dann an den Überweisungsvorgang gebunden und kann nur in diesem Zusammenhang verwendet werden. Wird die angeforderte TAN für einen anderen Vorgang verwendet – etwa weil der Kunde die Transaktionsdaten korrigiert hat – so wird sie durch den Server der Bank automatisch entwertet. Dieses Verfahren soll sicherstellen, dass die TAN nicht durch Trojaner-Mails für betrügerische Zwecke verwendet werden kann. Teil des neuen, indizierten TAN-Verfahrens ist es auch, dass dieTAN-Anfrage eine Gültigkeit von nur sieben Minuten hat. Wenn der Kunde innerhalb dieses Zeitraumes die Anfrage nicht beantwortet, wird die angeforderte Nummer automatisch verbraucht. Allerdings wird durch diese Maßnahmen lediglich ein Sicherheitsvorsprung im Internet geschaffen.
Vorläufiges Fazit: Erste zivilgerichtliche Urteile zum manipulierten Onlinebanking stehen noch aus.
Nach Einschätzung von Dr. Schulte und sein Team Rechtsanwälte mbB darf sich die Bank im Falle einer durch eine Phishing- oder Trojaner-Mail veranlassten Fehlüberweisung dem Rückerstattungsanspruch des Kunden nicht ohne weiteres entgegenstellen, sondern muss plausibel darlegen, worin die Sorgfaltspflichtverletzung des Nutzers bestanden haben soll. Außerdem ist es höchstwahrscheinlich nur eine Frage der Zeit, bis sich die professionellen Passwortdiebe auch auf das indizierte TAN-Verfahren eingestellt haben.
Alles klar. Ich recherchiere, wie sich Betrug durch Phishing und Onlinebanking-Sicherheitsmaßnahmen seit dem ursprünglichen Beitrag entwickelt haben – einschließlich rechtlicher Entwicklungen, neuer Täterstrategien und technischer Gegenmaßnahmen (z. B. TAN-Verfahren, Zwei-Faktor-Authentifizierung). Ich werde auch aktuelle Urteile und Tendenzen zur Haftungsverteilung zwischen Bank und Kunde berücksichtigen.
Betrug durch Phishing: Was können Opfer tun? – Aktuelle Entwicklungen und rechtliche Lage
Entwicklungen seit der ersten Veröffentlichung
Seit der Veröffentlichung des obigen Beitrags hat sich im Bereich Onlinebanking und Phishing-Betrug viel getan. Banken und Gesetzgeber haben auf die damals geschilderten Sicherheitsrisiken reagiert – zugleich haben jedoch auch die Täter ihre Methoden weiterentwickelt, um Bankkunden auszutricksen. Erste zivilgerichtliche Urteile sind inzwischen ergangen, und neue gesetzliche Regelungen stärken die Rechte der Verbraucher. Im Folgenden werden die wichtigsten Entwicklungen der letzten Jahre zusammengefasst.
Neue Sicherheitsverfahren und raffinierte Betrugsmaschen
Fortentwicklung der TAN-Verfahren: In Reaktion auf die geschilderten Trojaner-Angriffe führten viele Banken nach 2006 verbesserte TAN-Verfahren ein. Auf das indizierte TAN-Verfahren („iTAN“) folgten insbesondere das mobile TAN-Verfahren (Versand der TAN per SMS, mTAN) sowie hardwarebasierte Verfahren wie das chipTAN-System. Beim chipTAN-Verfahren erzeugt ein kleines TAN-Generator-Gerät mithilfe der Bankkarte und eines Codes am Bildschirm eine nur für die konkrete Überweisung gültige TAN. Dieses Verfahren gilt unter Experten als besonders sicher, da die TAN an die Transaktionsdetails gebunden und von einem separaten Gerät erzeugt wird. Viele Banken stellen ihren Kunden solche TAN-Generatoren zur Verfügung (oft gegen eine geringe Gebühr), um die Sicherheit des Onlinebankings zu erhöhen. Alternativ setzten sich App-basierte TAN-Verfahren (z.B. pushTAN oder Photo-TAN) durch, bei denen eine Smartphone-App die TAN generiert oder die Überweisung per Fingerabdruck/Freigabe bestätigt.
Kreativere Angriffe der Kriminellen: Leider blieben auch die Betrüger nicht untätig. Schon bald gelang es ihnen, auch die neuen Verfahren ins Visier zu nehmen. Das früher als sicher geltende mTAN-Verfahren (SMS-TAN) wurde beispielsweise durch ausgeklügelte Angriffe kompromittiert: So nutzten Hacker Schwachstellen im Mobilfunk-Netz (SS7-Protokoll) aus, um TAN-SMS abzufangen und Überweisungen unbemerkt umzuleiten. In bekannt gewordenen Fällen bestellten sich Täter mit zuvor erbeuteten Bank-Zugangsdaten sogar eine zweite SIM-Karte auf den Namen des Opfers, um die TAN abzufangen. Zudem streuen Angreifer vermehrt Smartphone-Malware aus, die auf Mobilgeräten mit Bank-Apps oder SMS-Empfang installiert wird und TANs direkt auf dem Handy auslesen kann.
Auch das Szenario der Man-in-the-Middle– bzw. Man-in-the-Browser-Angriffe hat sich verschärft. Hierbei nistet sich ein Trojaner auf dem Rechner oder Smartphone des Bankkunden ein und manipuliert Überweisungen in Echtzeit. So werden dem Kunden etwa gefälschte Aufforderungen eingeblendet, mehrere TAN einzugeben – unter einem Vorwand wie einer vermeintlichen “Testüberweisung” oder einem neuen Sicherheitsverfahren. In einem dokumentierten Fall forderte ein Banking-Trojaner den Kunden scheinbar im Namen der Bank auf, zur Einführung eines neuen Verschlüsselungsalgorithmus eine Testüberweisung zu bestätigen. In der Überweisungsmaske standen die Platzhalter “Muster” anstelle der Empfängerdaten, dennoch folgte der Kunde der Aufforderung und gab die per SMS erhaltene TAN ein – woraufhin tatsächlich 8.000 Euro auf ein polnisches Konto transferiert wurden. Hier zeigt sich, wie perfide die aktuellen Betrugsmaschen sein können: Die Schadsoftware fälscht die Anzeige so geschickt, dass arglosen Nutzern kein unmittelbarer Fehler auffällt. Erst ein Abgleich der TAN-SMS mit den echten Auftragsdaten hätte hier Misstrauen erwecken können – genau dazu mahnen die Banken mittlerweile auch ausdrücklich in ihren Sicherheitsrichtlinien.
Social Engineering: Phishing, Vishing und Co.: Die klassische Phishing-E-Mail gibt es zwar noch, doch viele Verbraucher sind vorsichtiger geworden und erkennen plumpe Betrugsversuche eher. Die Täter greifen daher verstärkt zu “Social Engineering”-Tricks, um das Opfer auf alternativen Wegen hereinzulegen. Eine Variante ist das sogenannte Smishing (SMS-Phishing), bei dem per SMS dringende Links oder Aufforderungen versandt werden („Bitte aktualisieren Sie umgehend Ihre Sicherheitsdaten über folgenden Link…“). Ähnlich gefährlich ist Vishing (Voice-Phishing): Hier rufen Betrüger das Opfer telefonisch an, oft unter Verwendung von technisch manipulierten Nummernanzeigen der Hausbank, und geben sich überzeugend als Bankmitarbeiter aus. Ziel solcher Anrufe ist es etwa, den Kunden zur Herausgabe von TANs zu bewegen oder ihn dazu zu bringen, selbst eine Transaktion am Handy freizugeben.
Ein aktueller Fall verdeutlicht diese Vorgehensweise: Eine Bankkundin erhielt einen Anruf eines angeblichen Bankangestellten, der von verdächtigen Kreditkartenbuchungen berichtete. Er forderte sie auf, zur Sicherheit das pushTAN-Verfahren zu durchlaufen, um das Konto zu verifizieren. Die Kundin öffnete daraufhin ihre Banking-App und bestätigte mehrere Vorgänge mittels pushTAN. Tatsächlich autorisierte sie so unbemerkt Überweisungen an die Betrüger in Höhe von insgesamt rund 8.000 Euro. Im Glauben, korrekt zu handeln, wiederholte sie das Procedere sogar vier Mal und vertraute den Aussagen des Anrufers, ihr Konto werde nun gesperrt und sei geschützt. Solche Fälle zeigen, dass kriminelle Angreifer zunehmend die Gutgläubigkeit und Unsicherheit der Bankkunden ausnutzen, anstatt sich allein auf technische Exploits zu verlassen. Banken weisen daher ausdrücklich darauf hin, dass niemals Mitarbeiter am Telefon nach einer TAN fragen oder Kunden auffordern werden, Überweisungen oder Freigaben “zu Testzwecken” durchzuführen. Wer dennoch einer solchen telefonischen Aufforderung nachkommt, riskiert als Opfer später eventuell rechtliche Nachteile (siehe unten).
Rechtliche Entwicklungen: Stärkung der Verbraucher und neue Urteile
Zahlungsdiensterichtlinie und Haftungsgrenzen: Gesetzlich hat die EU die Position der Bankkunden erheblich verbessert. Im Zuge der Umsetzung der ersten EU-Zahlungsdiensterichtlinie 2007 (in Deutschland seit 2009 in Kraft) und nochmals verschärft durch die zweite Zahlungsdiensterichtlinie (PSD2, seit Januar 2018 in Kraft) wurde der Haftungsmaßstab zugunsten der Verbraucher neu justiert. Heute gilt: Für nicht autorisierte Zahlungen (etwa infolge von Phishing oder Trojaner-Betrug) muss die Bank dem Kunden den Schaden grundsätzlich ersetzen, sofern der Kunde nicht vorsätzlich oder grob fahrlässig zur Schadensentstehung beigetragen hat. Selbst wenn dem Kunden einfache Fahrlässigkeit vorzuwerfen wäre, ist seine Haftung gesetzlich auf einen geringen Eigenanteil begrenzt. Seit 2018 beträgt diese Selbstbeteiligung maximal 50 Euro (zuvor 150 Euro). Der Hintergrund: Man will verhindern, dass arglose Bankkunden auf hohen Schäden sitzenbleiben, solange sie sich an die grundlegenden Sicherheitsregeln halten. Außerdem sind Banken verpflichtet, missbräuchliche Zahlungen, die ihnen gemeldet werden, sehr zügig – im Regelfall bis zum nächsten Geschäftstag – vorläufig zu erstatten. Diese strenge Regulierung hat dazu geführt, dass Banken in Phishing-Fällen zunächst oft zahlen und erst in einem zweiten Schritt prüfen, ob dem Kunden ein Sorgfaltsverstoß anzulasten ist.
Beweislast und Anscheinsbeweis: Eine wichtige rechtliche Frage war lange, wer vor Gericht was beweisen muss, wenn eine Überweisung mit gültiger PIN/TAN erfolgt ist, der Kunde aber behauptet, diese nie autorisiert zu haben. Früher versuchten Banken häufig, sich auf den sogenannten Anscheinsbeweis zu berufen: Weil PIN und TAN korrekt genutzt wurden, müsse der Auftrag vom Kunden selbst stammen oder von ihm fahrlässig ermöglicht worden sein. Der Bundesgerichtshof (BGH) hat jedoch in einer Grundsatzentscheidung vom 26. Januar 2016 (Az. XI ZR 91/14) klargestellt, dass an diesen Anscheinsbeweis sehr hohe Anforderungen zu stellen sind. Die Bank darf sich nicht allein darauf zurückziehen, dass technisch alles “korrekt” aussah. Vielmehr muss das Sicherheitsverfahren zum Zeitpunkt der Überweisung als allgemein praktisch unüberwindbar gegolten haben, vorschriftsmäßig vom Kunden genutzt worden sein und einwandfrei funktioniert haben. In der Praxis bedeutet dies: Wenn bekannte Sicherheitslücken existierten oder unklar ist, ob der Zahlungsauftrag durch eine Malware manipuliert wurde, kann die Bank nicht einfach pauschal auf Kundenschuld erkennen. Die Beweislast für eine vom Kunden autorisierte Zahlung liegt nach § 675w BGB beim Zahlungsdienstleister. Der BGH hat damit die Position der Bankkunden gestärkt. Gleichzeitig ließ das Gericht Raum für den Anscheinsbeweis im Onlinebanking, sofern all diese strengen Voraussetzungen erfüllt sind – was bei modernen TAN-Systemen jedoch einer genauen Prüfung im Einzelfall bedarf.
Gerichtsentscheidungen zu Kundenpflichten: In den letzten Jahren wurden mehrere Fälle vor Gericht verhandelt, in denen Banken die Erstattung verweigerten mit dem Argument, der Kunde habe grob fahrlässig gehandelt. Die Urteile zeigen eine Tendenz: Je offensichtlicher die Fälschung oder die Warnsignale waren, desto eher wird dem Kunden ein Sorgfaltspflichtverstoß vorgeworfen. So hatte der BGH bereits 2012 im Falle eines sogenannten Pharming-Angriffs (Manipulation der Bank-Website) entschieden, dass ein Kunde keinen Ersatz erhält, wenn er trotz deutlicher Warnhinweise zehn TAN nacheinander auf einer gefälschten Login-Seite eingibt. In jenem Fall hatte die Bank den Kunden im Login ausdrücklich gewarnt, niemals mehr als eine TAN einzugeben – der Kläger tat es trotzdem und verlor rund 5.000 € an Betrüger. Hier nahm der BGH sogar an, dass schon einfache Fahrlässigkeit des Kunden für dessen Haftung ausreichte, weil zum damaligen Zeitpunkt (2008) die neue gesetzliche Beschränkung der Kundenhaftung auf grobe Fahrlässigkeit noch nicht in Kraft war. Diese Entscheidung betraf zwar noch die alte Rechtslage, machte aber deutlich, dass ein derart leichtfertiges Verhalten (Übergehen klarer Sicherheitswarnungen) dem Kunden als grobe Fahrlässigkeit angelastet wird – mit der Folge, dass er auf dem Schaden sitzenbleibt.
In jüngerer Zeit standen insbesondere Fälle im Fokus, in denen Schadsoftware die Transaktionsdaten veränderte oder zusätzliche TAN abgriff. Ein exemplarisches Urteil fällte das Oberlandesgericht Oldenburg im August 2018: Ein Bankkunde hatte – getäuscht durch einen Trojaner – eine “Testüberweisung” mit TAN bestätigt, ohne die in der TAN-SMS angegebenen Überweisungsdaten zu prüfen. Dadurch wurde unbemerkt Geld ins Ausland transferiert. Das OLG wertete dieses Verhalten als grobe Fahrlässigkeit, denn der Kunde hätte bei sorgfältiger Prüfung merken müssen, dass in der Bestätigungs-SMS ein völlig anderer Empfänger (ausländische IBAN) und Betrag genannt waren. Zudem sei die Aufforderung zu einer Testüberweisung an sich hochgradig verdächtig gewesen und von der Bank – sogar auf ihrer Webseite – als Betrugsmasche bekannt gemacht worden. Ähnlich entschied aktuell das OLG Braunschweig (Urteil vom 15.02.2023, Az. 4 U 4/22) im oben geschilderten Fall des pushTAN-Betrugs per Telefon: Die Kundin habe grob ihre Sorgfaltspflichten verletzt, indem sie entgegen eindeutiger Bankhinweise am Telefon einem Unbekannten mehrere TAN/Freigaben mitteilte. Die Bank durfte daher die Erstattung verweigern. Aus den Urteilsgründen wird klar, dass Gerichte von Bankkunden zumindest basale Wachsamkeit erwarten: Ungewöhnliche Vorgänge (mehrfache TAN-Eingaben, angebliche Sicherheitsüberprüfungen, Telefonanrufe von Bankmitarbeitern etc.) müssen skeptisch hinterfragt werden. Andernfalls – so die Botschaft – handelt der Kunde auf eigenes Risiko.
Demgegenüber gibt es aber auch Urteile, die Verbrauchern den Rücken stärken, wenn ihnen keine Verletzung der Sorgfaltspflichten zur Last fällt. So urteilte etwa das Landgericht Oldenburg 2016, dass eine Bank den vollen Phishing-Schaden von über 11.000 € ersetzen musste, weil sie nicht nachweisen konnte, dass der Kunde den Zahlungsvorgang autorisiert oder auch nur fahrlässig ermöglicht hatte. Insbesondere verneinte das Gericht einen Anscheinsbeweis zugunsten der Bank im mTAN-Verfahren, da dieses nicht als absolut sicher gelten könne. Zwar wurde jenes Urteil in der Berufung später aufgehoben, doch verdeutlicht es den Trend der Rechtsprechung, genau hinzuschauen und im Zweifel eher die Bank in der Pflicht zu sehen, wenn die technischen Sicherungen versagen. Schließlich obliegt es den Banken, ein möglichst sicheres System bereitzustellen – was 2008 z.B. mit dem iTAN-System noch erfüllt war, heute jedoch an höheren Maßstäben gemessen wird.
Fazit: Höhere Sicherheit, aber kein Grund zur Entwarnung
Zusammenfassend lässt sich feststellen, dass Onlinebanking für Verbraucher einerseits sicherer geworden ist: Moderne TAN-Systeme und die gesetzliche Haftungsbegrenzung schützen den sorgfältigen Kunden weitgehend vor finanziellem Verlust. Andererseits haben die Betrüger ihre Strategien so verfeinert, dass weiterhin erhebliche Risiken bestehen. Es bleibt – wie Dr. Schulte bereits 2007 prophezeit hat – ein Wettrüsten zwischen immer neuen Sicherheitsmaßnahmen und den Methoden professioneller Passwortdiebe. Gerade weil inzwischen viele technische Hürden bestehen, versuchen Kriminelle verstärkt, den “Faktor Mensch” auszunutzen.
Für Bankkunden heißt das: Wachsam bleiben! Keine Bank wird jemals per E-Mail oder Telefon nach Passwörtern oder TAN verlangen. Transaktionsdaten sollten immer überprüft werden, bevor man eine TAN eingibt oder freigibt. Aktuelle Antivirensoftware und Systemupdates sind unerlässlich, ebenso ein gesundes Misstrauen bei ungewöhnlichen Vorgängen. Wer diese Grundregeln beherzigt, hat gute Chancen, im Ernstfall als unschuldiges Phishing-Opfer seinen Schaden ersetzt zu bekommen. Sollte dennoch ein unautorisierter Kontozugriff erfolgen, ist schnelles Handeln geboten: Unverzüglich die Bank informieren, Anzeige erstatten und alle Vorgänge dokumentieren. Die Rechtslage ist heutzutage so, dass die Bank nur bei grober Fahrlässigkeit des Kunden die Erstattung verweigern darf – und diese grobe Fahrlässigkeit muss sie im Streitfall auch beweisen.
Die Entwicklung der letzten Jahre zeigt aber auch: Absolute Sicherheit gibt es im Internet nicht. Selbst scheinbar narrensichere Verfahren (wie SMS-TAN oder App-TAN) wurden bereits ausgetrickst. Daher arbeiten Banken kontinuierlich an Verbesserungen, etwa an der starken Kundenauthentifizierung mit mehreren Faktoren und an der Einbindung biometrischer Merkmale. Zugleich werden Betrüger weiter versuchen, Sicherheitslücken – technische und menschliche – auszunutzen. Opfer von Phishing sollten ihre Rechte kennen und nicht zögern, diese gegenüber der Bank geltend zu machen. Mit einer gut begründeten Reklamation und notfalls anwaltlicher Hilfe stehen die Chancen heute deutlich besser als noch vor zehn Jahren, den Schaden ersetzt zu bekommen. Und für alle gilt: Vorsicht und Aufklärung bleiben die beste Prävention gegen Phishing-Betrug im Onlinebanking.
ie Kanzlei Dr. Thomas Schulte ist Vertrauensanwalt des Netzwerks ABOWI LAW und Mitglied der ASSOCIATION OF EUROPEAN ATTORNEYS.
- E-Mail: dr.schulte@dr-schulte.de
- Telefon: +49 (0) 30 – 22 19 220 20
Autor (ViSdP):
Dr. iur. Thomas Schulte
Rechtsanwalt
