Wenn es zu einem Betrug beim Online-Banking kommt, haftet zunächst einmal die Bank. Doch immer wieder weisen Banken und Sparkassen die Ansprüche von Kunden in solchen Fällen zurück. Um aus der Haftung zu kommen, unterstellen sie, dass der Kunde seine Pflichten grob fahrlässig verletzt habe...
In Köln hat nun ein Landgericht eine Sparkasse zur Rückzahlung von unautorisierten Überweisungen verurteilt. Tatsächlich werden Betrüger immer raffinierter, um an das Geld von Bankkunden zu kommen.
Falsche Rufnummer im Display
Im September 2022 erhielt ein Kunde der Sparkasse KölnBonn einen Anruf von einem vermeintlichen Mitarbeiter der Bank. Im Display wurde die Rufnummer der Sparkasse angezeigt, so dass der Kunde keinen Verdacht schöpfte, als der Anrufer ihm mitteilte, dass sein Konto und seine Karte aufgrund aktueller Betrugsfälle vorsorglich gesperrt worden seien. Aber mit Unterstützung des Mitarbeiters könne er die Karte wieder entsperren.
Dafür müsse er nur eine pushTAN freigeben, die er über seine Sparkassen-App erhalten würde. Offensichtlich hatten die Betrüger bereits einen Zugriff auf das Konto, wahrscheinlich über eine vorausgegangene Phishing-Attacke, sodass sie Bankvorgänge auslösen konnten, die der Kunde dann jedoch mit seiner pushTAN-App noch freigeben musste. Tatsächlich verlangte die App kurz darauf die Freigabe eines Auftrags mit dem Text Registrierung Karte.
Der Kunde nahm an, dass er damit seine vermeintlich gesperrte Karte wieder entsperren würde. In Wirklichkeit wurde mit der Freigabe des Auftrags jedoch eine digitale Version seiner Debitkarte auf einem mobilen Endgerät der Täter erstellt. Diese haben dann über ApplePay die neue digitale Debitkarte für Einkäufe im stationären Handel genutzt. Innerhalb von zwei Tagen haben die Betrüger für mehr als 14.000 Euro eingekauft. Die Bank wollte zunächst nur 4.000 Euro erstatten. Das wollte der Bankkunde nicht akzeptieren und reichte Klage ein.
Phishing kommt vor dem Betrug
Online-Banking ist in der Breite der Gesellschaft angekommen. Laut einer Umfrage des Bundesverbands der deutschen Banken nutzen 84 Prozent der Menschen in Deutschland Online- bzw. Mobile Banking, um wesentliche Bankgeschäfte auf diesem Weg zu erledigen. Kriminelle haben sich darauf eingestellt und werden in ihren Methoden immer perfider, um die Konten von Bankkunden zu plündern. So rufen die Betrüger unter einer falschen Nummer an. Im Display erscheint dann die echte Nummer einer Bank, einer Behörde oder Polizei. Die Technik dahinter nennt sich Call-ID-Spoofing und dient dazu, die Identität des Anrufers zu verschleiern.
Meist verfügen die Anrufer schon über persönliche Informationen und Bankzugangsdaten, die aus Phishing-Attacken stammen können oder die mit Hilfe von Schadsoftware erbeutet wurden. Beim Phishing durch Spam-Mails etwa werden Kunden auf falsche Bank-Seiten gelockt, auf denen sie nichtsahnend ihre Logindaten eingeben. Auch Fake-Shops dienen manchmal nur dem Zweck, im Rahmen eines vermeintlichen Kauf- und Bezahlvorgangs Bankinformationen abzugreifen. Im Internet werden solche Daten dann anderen Kriminellen zum Kauf angeboten. Manche Banken verzichten immer noch auf die Zwei-Faktor-Autorisierung, etwa über eine Handy-App. Nutzername und Passwort reichen dann häufig aus, um sich einzuloggen. Wie in dem Kölner Fall brauchen die Betrüger dann nur noch eine einmalige Auftragsfreigabe, um die volle Kontrolle über das Konto zu erlangen.
Text der Bank-App nicht eindeutig
Im Falle eines Betruges sind zunächst einmal die Banken in der Haftung und müssen nicht autorisierte Zahlungsvorgänge erstatten. Doch der Bankkunde muss nachweisen, dass er den Betrug nicht erst durch grobe Fahrlässigkeit ermöglicht hat. Das kann zum Beispiel der Fall sein, wenn der Computer, der für das Online-Banking genutzt wird, nicht ausreichend durch einen Virenscanner, eine Firewall oder die neuesten Updates geschützt ist.
Laut Verbraucherschützern unterstellen dann viele Banken ihren Kunden grobe Fahrlässigkeit. Im Kölner Fall bekam der Bankkunde vor Gericht jedoch vollumfänglich Recht. Die Richter begründeten ihre Entscheidung auf mehreren Ebenen. Zunächst wurde dem Bankkunden die bekannte Nummer seiner Sparkasse im Telefondisplay angezeigt, sodass der Anrufer glaubhaft versichern konnte, ein Bankmitarbeiter zu sein. Von einem Durchschnittskunden könne man nicht erwarten, so das Gericht, dass er die Möglichkeit kennt, eine fremde Rufnummer mittels Call-ID-Spoofing vorzuspiegeln.
Grobe Fahrlässigkeit erkannten die Richter auch nicht bei der Freigabe des Auftrags für die Registrierung der neuen Online-Debit-Karte, die die Betrüger später für ihre Einkaufstour nutzten. Denn der angezeigte Text Registrierung Karte kann vom Kunden auch so verstanden werden, dass er seine bestehende Karte entsperrt und nicht, dass es um die Einrichtung eines neues Zahlungssystems auf einem mobilen Endgerät des Herstellers Apple geht. Die Zahlungsvorgänge über 14.000 Euro, die mit dieser Online-Debit-Karte dann von den Kriminellen getätigt wurden, hat der Bankkunde nicht autorisiert. Sie müssen deshalb von der Bank erstattet werden.
Wie kann ich mich schützen?
Es gilt, einige Vorsichtsmaßnahmen beim Online-Banking zu beachten:
- Vorsicht bei betrügerischen Anrufen. Banken, die Polizei oder seriöse Firmen werden Sie nie nach Ihren persönlichen Kontodaten fragen. Nennen Sie keine Kontoinformationen wie PIN, TAN oder sonstige Zugangsdaten.
- Bleiben Sie misstrauisch. Vor allem, wenn der Anrufer von Ihnen ein sofortiges Handeln verlangt, also wenn beispielsweise eine falsche Überweisung sehr schnell rückgängig gemacht oder ein neues Sicherheitssystem sofort bestätigt werden muss.
- Vorsicht vor Phishing-Mails oder -SMS: Um einen Fuß in die Tür zu bekommen, versuchen Kriminelle über Phishing-Attacken an erste Kontoinformationen wie etwa Benutzernamen oder Passwörter zu kommen. Vermeiden Sie es, auf Links in Mails zu klicken, die Sie auf eine gefälschte Seite der Bank führen können. Öffnen Sie auch keine Anhänge, denn diese könnten Schadsoftware enthalten. Installieren Sie keine Apps, die Sie per SMS angeboten bekommen.
- Sollten Sie doch einmal eine Konteninformationen an Anrufer oder über eine gefälschte Webseite weitergegeben haben, informieren Sie umgehend Ihre Bank. Sperren Sie ihr Konto über die Telefonnummer 116 116 oder indem Sie dreimal eine falsche PIN beim Zugang zu Ihrem Online-Banking eingeben. Das Konto wird dann ebenfalls gesperrt.