Phishing & Co.

Wer haftet für den Schaden?

Tätigkeitsspektrum von SH Rechtsanwälte in Fällen von Phishing & Co.
 

  • Beratung und Prüfung durch unsere Fachanwälte im Bankrecht bei unautorisierten Zahlungsverfügungen (z.B. Überweisung mit falschem Verwendungszweck, Phishing, Keylogging, Skimming, Pharming, DNS-Spoofing, EC-Kartenbetrug, Kreditkartenbetrug)
  • Falls vorhanden: Prüfung Ihrer Rechtsschutzversicherung  auf Deckung. Achtung: Im Regelfall übernimmt die Rechtsschutzversicherung alle anfallenden Kosten!
     

Die Technik des Zahlungsverkehrs sowie der entsprechende Rechtsrahmen entwickelt sich ständig fort. Der Erfindungsreichtum von Betrügern, um an vertrauliche Daten von Bankkunden heranzukommen, ist nahezu unerschöpflich.

Mithilfe von immer raffinierteren Tricks gelingt es Betrügern, nicht autorisierte Abbuchungen vorzunehmen, sodass ganze Konten leer geräumt werden und jedes Jahr ein Schaden im hohen Millionenbereich von Internetkriminellen verursacht wird. Der durchschnittliche Schaden pro Fall beträgt 4.000 – 6.000 Euro. In Einzelfällen können Schäden – gerade bei Unternehmerkonten – auch Hunderttausende Euro betragen. Dabei finden sich folgende Angriffsformen:

  • Beim Phishing wird an den Nutzer eine E-Mail versandt, deren Absender seine Hausbank zu sein scheint, in der er darum gebeten wird, PIN und TAN – meist aus „Sicherheitsgründen“ – anzugeben. Nachdem diese E-Mails anfänglich eher dilettantisch wirkten und als Fälschungen erkennbar waren, sind sie mittlerweile so gut gemacht, dass auch der kritische Betrachter kaum noch feststellen kann, ob es sich um eine Fälschung handelt. Mittels der vom Nutzer dem Täter zur Verfügung gestellten Daten können dann zu Lasten seines Kontos unberechtigte Zahlungen ausgeführt werden.
  • Beim Man-in-the-middle-Angriff macht sich der Angreifer eine Schwachstelle in einer weit verbreiteten DNS-Server-Software zu Nutze, in dem DNS-Datensätze mit falschen Zuordnungen zwischen Domain-Namen und IP-Adresse eingespielt werden. Nach dem Angriff wird vom DNS-Server eine falsche IP-Adresse als Antwort auf die DNS-Anfrage übersandt. Dadurch wird der Online-Banking-Nutzer auf den Server des Angreifers weitergeleitet, auf dem das Portal der Bank nachgebildet wird. Setzt der Nutzer PIN und (eine) TAN ein, werden diese an den Angreifer übermittelt, der sie zu unberechtigten Transaktionen nutzen kann. Da der Zugang zum Bankportal üblicherweise mit der Übermittlung des Kontostands verbunden ist, wird mittels des Servers des Angreifers Zugang zum Bankportal gesucht, um diese Informationen bereitstellen zu können, damit der reguläre Nutzer nicht merkt, dass ein Unberechtigter sich Zugang zu seinen Daten verschafft hat. Ein solcher Angriff lässt sich verhindern, indem die Banken ihren Kunden eine feste IP-Adresse für das Online-Banking-Portal und nicht die URL mitteilen.
  • Beim Pharming gelingt es dem Angreifer, einen Trojaner auf dem Computer des Nutzers zu installieren. In der Regel geschieht dies durch Übermittlung einer Mail, die einen Anhang enthält, bei dessen Öffnung der Trojaner installiert wird. Dieser ergänzt die Hosts auf dem Rechner um den veränderten Eintrag für das Online-Banking-Portal. Wird das Bank-Portal aufgerufen, erfolgt eine Weiterleitung auf den Server des Angreifers, der danach wie ein Man-in-the-Middle agieren kann.
  • Das Quishing beschreibt die Versendung von gefälschetn QR-Codes an die Bankkunden, die diese auf ebenfalls gefälschte Websites locken sollen, um dort die Bankdaten abzugreifen. 
     

Der Bankkunde ist nicht schutzlos. Auch wenn Banken oft zunächst versuchen, das Problem auf den Kunden abzuwälzen.


Die Frage, wer den Schaden aus dem Betrug zu tragen hat, ist rechtlich geregelt.

  • Nach den allgemeinen Darlegungs- und Beweislastregeln muss die Bank beweisen, dass der Kunde tatsächlich die Verfügung vorgenommen hat!
  • Grundsätzlich erwirbt die Bank im Falle der Ausführung eines vom Kunden autorisierten Zahlungsauftrages (=Überweisung) einen Aufwendungsersatzanspruch i.H.d. Überweisungsbetrages.
  • Der Aufwendungsersatzanspruch der Bank besteht nicht, wenn der Kunde die Zahlung nicht autorisiert hat, etwa bei Missbrauch durch einen Dritten.
  • Sonderfall: Zahlungsauftrag unter Verwendung der korrekten PIN und TAN-Nummer. Im Normalfall hat der Bankkunde den Zahlungsauftrag mit den korrekten Daten selbst veranlasst. Was aber, wenn ein unbefugter Dritter die Daten abgegriffen und zu seinen Gunsten missbraucht hat? Der Anschein spricht zunächst gegen den Kunden. Hat dann die Bank einen Aufwendungsersatzanspruch gegen den Kunden oder der Kunde umgekehrt einen Wiedergutschriftsanspruch gegen die Bank? Das entscheidet sich nach Beweislastgrundsätzen. Die Bank trägt die Beweislast für die Autorisierung der Überweisung durch den Kunden. Allein die Verwendung der richtigen PIN und TAN schneidet dem Bankkunden rechtlich nicht die Möglichkeit ab, einen Missbrauch/Betrug geltend zu machen – der Bankkunde muss dann aber auch ausreichend Umstände vortragen, die die ernsthafte Möglichkeit einer solchen Tat nahelegen. 
  • Achtung: Die neuere Rechtssprechung des KG Berlin (Az.: 4 U 79/23) erhöht die Sorgfaltspflichten der Banken! Diese müssen die Transaktionen automatisch auf Unregelmäßigkeiten prüfen und ggf. stoppen!

 

Gerne stehen Ihnen unsere Anwälte bei rechtlichen Fragen rund um das Online-Banking zur Verfügung. SH Rechtsanwälte ist eine auf das Bank- und Kapitalanlagerecht spezialisierte Kanzlei. Unser Team besteht aus Rechtsanwälten und Fachanwälten für Bank- und Kapitalmarktrecht und vertritt betroffene Bankkunden bundesweit.