Online-Banking Betrug bei Sparkassen: Brandneue Masche mit Phishing SMS (Update: 08.08.2023)

Sparkassenkunden sind aktuell einem erhöhten Betrugsrisiko ausgesetzt. Trotz der Möglichkeit, Konten nur mit Zwei-Faktor-Authentifizierung zu schützen, ermöglichen viele Sparkassen weiterhin den externen Zugriff ohne diese Sicherheitsmaßnahme. Im Falle von Betrugsschäden werden die Kunden oft allein verantwortlich gemacht.

Ein aktuelles Beispiel: Lisa M. wurde Opfer von Phishing-Betrügern, die ohne Zwei-Faktor-Authentifizierung Zugriff auf ihr Konto erlangten und knapp 4.000 Euro erbeuteten. Die Sparkasse weigert sich, den Schaden zu erstatten und behauptet, Lisa habe grob fahrlässig gehandelt. Dabei fiel die Kundin einem betrügerischen Anrufer zum Opfer, der sich als Sparkassenmitarbeiter ausgab und sie dazu brachte, eine SMS mit einem Bestätigungslink weiterzuleiten. Zu diesem Zeitpunkt hatten die Täter bereits Zugriff auf ihr Online-Banking.

Sparkassenkunden wie Lisa M. fühlen sich im Stich gelassen und fordern mehr Schutz vor Betrug. Es ist höchste Zeit, dass die Sparkassen ihre Sicherheitsmaßnahmen verbessern und den Schutz ihrer Kunden ernst nehmen.

Das Gesetz erfordert eine "starke Authentifizierung", die bei jedem Zugriff auf das Konto angewendet werden soll. Jedoch nutzen viele Sparkassen eine gesetzliche Ausnahmeregelung, die Zugriffe ohne weitere TAN-Bestätigung erlaubt, solange keine sensiblen Zahlungsdaten angezeigt werden. 

Das Einschließen persönlicher Informationen wie Anschrift, Geburtsdatum und Telefonnummer, die Betrüger dazu nutzen können, das Vertrauen ihrer Opfer zu gewinnen, ist ein Teil dieser sensiblen Daten. Diese Daten stammen oft aus Identitätsdiebstahl. Doch genau diese Daten waren jahrelang beim Login ohne TAN-Bestätigung im sogenannten "Lesezugriff" bei vielen Sparkassen einsehbar.

Die Bafin äußert sich klar zu einer Sicherheitslücke beim Online-Banking: Eine WISO-Recherche im Jahr 2022 und unsere Nachfrage dazu haben die Behörde auf den Fehler aufmerksam gemacht. Wenn bei einzelnen Sparkassen der Lesezugriff noch möglich ist, sollte dies schnellstmöglich bereinigt werden, fordert die Bafin. Allerdings ist davon noch immer nicht die Rede.

Im Zuge einer Recherche im Darknet haben wir einen Informanten gefunden, der jahrelange Erfahrung im Betrug beim Sparkassen-Online-Banking hat. Er demonstriert uns unmissverständlich: Fremde können immer noch auf unser zu Testzwecken eingerichtetes Sparkassenkonto zugreifen. Sein Urteil ist drastisch: "Die Programmierung scheint darauf ausgerichtet zu sein, dass Kunden abgezogen werden sollen."

Leider lässt sich nicht genau sagen, wie groß der Schaden durch diese Sicherheitslücke ist. Die Sparkassen wollen uns nicht verraten, wie viele Kunden betroffen sind, und die Landeskriminalämter können uns nicht sagen, wie viele Schadensfälle es gibt. Allerdings gibt es einen deutlichen Trend: In vielen Bundesländern hat sich die Zahl der Betrugsanzeigen in den letzten zwei Jahren mindestens verdoppelt. Die Schadenssummen liegen in vielen Fällen bei mehreren Millionen Euro pro Jahr.

Die Sparkassen weigern sich, für Schäden aufzukommen, die durch unautorisierte Zahlungsanweisungen entstanden sind. Stattdessen müssen oft die Kunden die Kosten tragen, wie im aktuellen Fall vor dem Landgericht in Nürnberg. Eine 24-jährige Studentin fordert von ihrer Sparkasse die Erstattung von 20.000 Euro, die ihr von Kriminellen gestohlen wurden. Der Anwalt der Geschädigten betont, dass die Bank zunächst grobe Fahrlässigkeit unterstellt hat.

Allerdings sieht das Gesetz vor, dass die Bank für den Schaden haftet, wenn eine nicht-autorisierte Zahlungsanweisung vorliegt. Nur in Ausnahmefällen, wenn das Verhalten des Kunden als grob fahrlässig eingestuft werden kann, muss die Bank nicht haften. In diesem Fall müsste die Bank jedoch den Nachweis erbringen.

Eine essentielle Entscheidung steht bevor: Gerichte müssen eine Grundsatzfrage klären. Der Anwalt der betroffenen Kundin, die durch eine täuschend echt manipulierte SMS der Sparkasse in die Falle gelockt wurde, sieht das Verschulden eindeutig auf Seiten des Kreditinstituts. Gesetzlich sei vorgeschrieben, dass der Vorwurf grober Fahrlässigkeit nur greife, wenn die Kunden-Authentifizierung stark genug sei - was hier nicht der Fall war. Doch es gibt bislang nur wenig einschlägige Rechtsprechung zu diesem Thema. Es handelt sich hier um eine Grundsatzfrage, die geklärt werden muss. Auch Lisa M. aus München wird wohl vor Gericht ziehen müssen, um ihre Forderung von 4.000 Euro erstattet zu bekommen. Die Sparkasse lehnt jegliche Haftung weiterhin ab.

Musterschreiben: Rückerstattung einer unautorisierten Zahlung

Ihr eigener Name                                                                                         

Straße Hausnummer

PLZ Ort

Land

Name Ihrer Bank

Straße Hausnummer

PLZ Ort

Land

Datum:___________

Meine Kontonummer: ______

Betreff: Erstattung von unautorisierten Zahlungen

Sehr geehrte Damen und Herren,

ich bin Kunde Ihrer Bank und habe einen Schaden durch Abbuchungen von meinem Konto erlitten, die ich nicht autorisiert habe. In der Anlage 1 zu diesem Schreiben habe ich Ihnen die Kontoauszüge beigelegt und darauf die unautorisierten Abbuchungen mit einem X markiert.

Der Gesamtschaden in der Anlage genannten unautorisierten Abbuchungen beträgt  _______,___ Euro.

Ich habe für diese Abbuchung keine Einzugsermächtigung erteilt. Diese Abbuchungen habe ich außerdem nicht autorisiert und die Empfänger sind mir unbekannt. In der Anlage 2 ist die Bestätigung meiner Strafanzeige bei der Polizei.

Hiermit fordere ich Sie auf, mein Konto unter Annullierung der in der Anlage 1 genannten Abbuchungen zu berichtigen bzw. die unautorisierten Abbuchungen unverzüglich, spätestens bis zum

[Datum einsetzen: Heute in drei Wochen, z.B. 30.09.2023]

auf mein oben genanntes Bankkonto zurückzuerstatten (§ 675u Abs. 1 S. 2 BGB).

Mit freundlichen Grüßen

[Unterschrift]

[Ihr Name]

[Wichtig! Dieses Schreiben überarbeiten und vollständig ausfüllen. Anlagen beilegen und als Einwurf-Einschreiben verschicken. Heben Sie eine Kopie des versendeten Schreibens auf. Alle Postbelege aufheben! Bitte Sendungsverfolgung über das Internet machen und Nachweis ausdrucken. Dieses Schreiben ersetzt keine Rechtsberatung!]

So schützen Sie sich vor Online-Betrug, Phishing und Angriffen auf Ihr Online-Banking-Konto

So schützen Sie sich effektiv vor Online-Betrug beim Banking Grundsätzlich sollte man bei jeglichen Anrufen, SMS oder E-Mails, die in Zusammenhang mit dem Bankkonto stehen, stets vorsichtig agieren. 

Es empfiehlt sich, im Zweifelsfall das kontoführende Finanzinstitut zu kontaktieren und den Sachverhalt direkt bei ihnen zu erfragen. Zeitdruck sollte dabei keine Rolle spielen, denn eine sorgfältige Überprüfung von verdächtigen Mails, Anhängen oder Links ist unerlässlich. 

Sollte es zu unerwarteten Telefonanrufen kommen, die zu sofortigen Aktivitäten rund um das Konto auffordern, ist es ratsam, eine Rückrufnummer zu erbitten und einen Rückruf zu vereinbaren. Um sicherzugehen, sollte man zudem die Telefonnummer des Bankinstituts auf ihre Richtigkeit überprüfen und bei Unsicherheit die persönlich bekannte Beraterin kontaktieren. Auf diese Weise kann man Betrüger effektiv ausschließen und das eigene Konto vor unerwünschten Zugriffen schützen.

Sind Sie auch Opfer einer unautorisierten Abbuchung oder Online-Banking Hack geworden? Nehmen Sie jederzeit gern Kontakt über Anwalt.de zu uns auf. 

Update (08.08.2023):

Laden Sie jetzt ein kostenloses Muster-Schreiben herunter (Word / PDF), um Ihre Bank oder Ihren Kreditkartenaussteller zur Rückzahlung von unautorisierten Überweisungen aufzufordern. Die Verwendung des Musters ersetzt keine anwaltliche Beratung. 

Schreiben Sie uns bei Anwalt.de, wenn Sie mehr wissen möchten :)