Veröffentlicht von:

Phishing: Kontoplünderung, was nun?

01.12.2022
5 Minuten Lesezeit

In letzter Zeit werden wir in immer mehr Fällen von Kontoplünderungen durch das sogenannten Phishing um Hilfe gebeten. Hier geben wir eine Übersicht, wie sie sich am Besten verhalten und ob und in welchen Fällen die Bank Ihren Schaden erstatten muss.

kostenfreie Erstberatung Phishing: Konto geplündert, was nun?

Was ist Phishing?

Unter dem Begriff Phishing (von fishing, engl. für ‚Angeln‘) versteht man Versuche, sich über gefälschte Webseiten, E-Mails oder Kurznachrichten als vertrauenswürdiger Kommunikationspartner auszugeben. Ziel des Betrugs ist es z. B. an persönliche Daten eines Internet-Benutzers zu gelangen oder ihn z. B. zur Ausführung einer schädlichen Aktion zu bewegen. In der Folge werden dann beispielsweise Kontoplünderung oder Identitätsdiebstahl begangen oder eine Schadsoftware installiert. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird (Quelle Wikipedia).

Hohe und weiter stark steigenden Phishing Fälle:

Cyberkriminalität hat 2021 Höchststand erreicht: 146.363 Cyber-
crimedelikte wurden in Deutschland registriert, 12 % mehr als im Vorjahr. 2021 war der Finanzsektor weltweit am stärksten von Phishing betroffen, auch in Folge der Corona-Pandemie.

Häufige Phishing Maschen:

Bankmitarbeiter ruft an wegen Wartungsarbeiten

Zunächst fischen die Täter die Zugangsdaten für das Onlinebanking des
Kunden sowie weitere persönliche Daten (Geburtsdatum, Nummer der Girocard) über eine
Phishing-Mail ab. Dann erhält das Opfer einen Anruf. Hier gibt sich der Täter als Bankmitarbeiter aus und gibt vor, dass das Online-Banking des Kunden wegen Wartungsarbeiten gesperrt sei und für die Freischaltung TANs oder
„Start-Codes“ benötigt werden. Der Kunde soll dann mit seinem TAN-Generator TANs erstellen und am Telefon durchgeben. Nun können die Täter Überweisungen ausführen.

PushTAN App vom Handy

Kunde gibt wie oben durch eine Phishing-Mail die Zugangsdaten zu seinem Onlinebanking ab. Dann wird er von Täter kontaktiert, der sich meist als Bankmitarbeiter ausgibt. Auch stimmt oft die Telefonnummer der Bank. Da es beim Update des Onlinebankings des
Kunden Probleme gebe, wird ihm eine SMS mit einem Link geschickt, über den er die
Zurücksetzung seiner PushTAN-App beauftragt. Dann erhält der Kunde eine weitere SMS mit Link zur Neu-Installation der PushTAN-App. Diesen Link gibt er in einem
Fenster ein, welches die Betrüger auslesen können. Mit dem Aktivierungslink für die PushTAN-App kann die App auf neuen Endgeräten installiert und benutzt werden.

Die gespiegelte Bank oder Sparkassen-Webseite

Das Opfer erhält von der vermeintlichen Sparkasse, DKB oder anderen Bank eine SMS, in der behauptet wird, ihre PushTAN-Registrierung sei abgelaufen. Es wird dazu aufgefordert, den in der SMS enthaltenen Link anzuklicken. Über diesen Link gelangt der Kunde auf eine “gefälschte” Webseite, die dem Original täuschend ähnlich sieht. Durch die Anmeldung erhält der Täter die Anmeldedaten. Danach erscheint ein Fenster zur TAN-Eingabe und der Kunde generiert mit ihrer PushTAN-App eine TAN und gibt diese in das Fenster ein. Das Fenster stürzt scheinbar ab, ein neues Fenster erscheint und der Kunde generiert nochmals eine TAN. Der Täter kann so mehrere Überweisungen ausführen.

Es gibt natürlich noch viele weitere Fallbeispiele für das Phishing und die Betrugsmaschen werden ständig weiter entwickelt, so dass man sich als Bankkunde kaum davor schützen kann.

Die entscheidenden Fragen sind daher, Wie verhalte ich mich nach Kenntnis der Kontenplünderung? und Wer bleibt auf dem Schaden für die immer raffinierteren Betrugsmaschen hängen? Die Bank oder der Kunde.

Was tun nach der Kontenplünderung?

Anfertigung von Screenshots von der Phishing-Mail, gespiegelter Webseite, Link, SMS, etc.
Anruf bei der Sperrhotline der eigenen Bank und Dokumentation des Anrufs, Email, etc
Beauftragung des sogenannten Rückrufs/Recall der nicht autorisierten Zahlungsanweisung
Strafanzeige stellen und das polizeiliche Aktenzeichen notieren
Schadensmeldung an die Bank entweder selbst, besser aber durch einen Fachanwalt abgeben lassen.
Rechtsschutzversicherung und Haftpflichtversicherung informieren

Wer muss wann zahlen? Die Rechtslage beim Phishing

Grundsätzlich hat der Bankkunde einen Erstattungsanspruch gegen die Bank (Zahlungsdienstleister) aus § 675 BGB, wenn ein Zahlungsvorgang von seinem Konto ohne sein Wissen und Willen (Autorisierung) erfolgt ist.

Im Fall eines nicht autorisierten Zahlungsvorgangs entfällt der Aufwendungsersatzanspruch des Zahlungsdienstleisters (Bank) gegenüber dem Kunden (§ 675u S. 1 BGB). Die Bank oder Sparkasse hat dann unverzüglich dem Kunden den Zahlbetrag zu erstatten (§ 675u S. 2 BGB).
Ist die Autorisierung eines ausgeführten Zahlungsvorgangs streitig, hat die Bank nachzuweisen, dass eine Authentifizierung durch den Kunden erfolgt ist und der Zahlungsvorgang ordnungsgemäß aufgezeichnet, verbucht und nicht durch eine Störung beeinträchtigt wurde (§ 675w S. 1 BGB).
Die Bank trägt also die Darlegungs- und Beweislast für das Vorliegen eines
Aufwendungsersatzanspruches. Sie hat zu beweisen, dass die streitige Zahlung durch den Kunden autorisiert worden ist.

Dies führt zu allerlei Streitigkeiten, die dann die Fachanwälte für Bank- und Kapitalmarktrecht und Gerichte beschäftigen. Hierbei kommt es immer auf den Einzelfall an, bzw. auf das, was die Bank (Zahlungsdienstleister) zu dem konkreten Zahlungsvorgang darlegen und nachweisen kann.

Sie sehen daher, wie schwer die pauschale Vorhersage ist und wie wichtig es ist, dass Sie sich rechtzeitig und möglichst vor pauschalen Angaben bei Polizei und Bank oder Sparkasse beraten lassen.

Wir können aus unserer Paxis aber feststellen, dass in den überwiegenden Phishing Fällen, in denen die Bank oder Sparkasse die Erstattung (Gutschrift) zunächst abgelehnt hat, diese im Ergebnis falsch lag.

Urteile zum Phishing:

Landgericht Kiel im Urteil vom 22. Juni 2018 (Aktenzeichen: 12 O 562/17) und Oberlandesgericht (OLG) Schleswig vom 29. Oktober 2018 (Aktenzeichen: 5 U 290/18) : Bank zur Rückzahlung nicht autorisierter Online-Überweisungen verurteilt. Gegenstand war das SMSTan-Verfahren, bei dem dem Kunden ein Code zur Überweisung auf sein Handy geschickt wird. Der Kläger erhielt von der Bank eine Erstattung von 28.170 Euro.

LG Köln (Urteil vom 16.10.2015, Az.: 30 O 330/14 ) und OLG Köln (Beschluss vom 21.03.2016, Az.: 13 U 223/15):
Kunde hat der Zahlung zugestimmt oder zumindest den Rechtsschein der Autorisierung gesetzt, wenn er selbst die TAN generiert hat und daraufhin ein mit einer korrekten TAN versehener Überweisungsauftrag ausgeführt worden ist. Dies trifft nicht zu, wenn Täter z.B.
PushTAN-App gekapert haben oder ein Authentifizierungsverfahren verwendet worden ist,
bei dem gar keine TANs generiert werden.

BGH, Urteil vom 26.01.2016,Az.:XI ZR 91/14:

Der Bundesgerichtshof stellt hier die vier Kriterien auf, die die Bank darlegen und beweisen muss um die Autorisierung der Überweisung durch den Kunden nachzuweisen.

kostenfreie Erstberatung

Kostenfreie Erstberatung

Es lohnt sich, den Sachverhalt mit Hilfe von Experten zu analysieren, bevor man der Bank vorschnell Zugeständnisse macht oder den Rechtsstreit in ein eventuell teures und ggf. aussichtsloses Klageverfahren führt.

Lassen Sie sich durch einen Fachanwalt für Bank- und Kapitalmarktrecht beraten. Unsere Ersteinschätzung in den Fällen des Phishing, Pharming, Skomming, des Kreditkartenbetuges und zur Internetkriminalität ist grundsätzlich kostenfrei und unverbindlich. Soweit wir weitere Recherchen oder Vertrags- und Unterlagenprüfung durchführen müssen, teilen wir Ihnen die hierdurch entstehenden Kosten vorab schriftlich mit.

Foto(s): Knud Steffan

Rechtstipp aus dem Rechtsgebiet

Bankrecht & Kapitalmarktrecht

Bewerten Sie diesen Rechtstipp:

Artikel teilen:

Sie haben Fragen? Jetzt Kontakt aufnehmen!

Rechtsanwalt Knud J. Steffan

Veröffentlicht von:

Rechtsanwalt Knud J. Steffan

Bankrecht & Kapitalmarktrecht

Arbeitsrecht • Verkehrsrecht • Insolvenzrecht & Sanierungsrecht • Maklerrecht • Versicherungsrecht • Grundstücksrecht & Immobilienrecht

… weitere weniger

Zum Profil

Hier bekommen Sie Recht –
aktuell und schnell

Wir halten Sie rund ums Recht mit unserem wöchentlichen Newsletter auf dem Laufenden!

Hier mehr erfahren

Weitere Rechtstipps von Rechtsanwalt Knud J. Steffan

LeaseTrend Insolvenzverwalter Dr. Liebig fordert weiteres Geld der Anleger

Am 01.10.2021 wurde über das Vermögen der LeaseTrend AG das Insolvenzverfahren eröffnet (Az. 1542 IN 2085/21). Der Insolvenzverwalter der LeaseTrend AG, Herr Dr. MAX LIEBIG , fordert nun die ... Weiterlesen
Klageerfolg gegen die DKB: Phishing Opfer erhält binnen 2 Monaten sein Geld zurück

Unsere Kanzlei hat vor dem Landgericht Berlin eine Zahlungsklage nach einem Phishing Fall gegen die DKB (Deutsche Kreditbank) gewonnen. Unserem Mandanten sind von den Tätern über 8000,- € von ... Weiterlesen
Sparkassen und Phishing: Geld zurück durch Klagen auf Schadenersatz

Viele Kunden der Sparkassen sind Opfer von Phishing Attacken beim Onlinebanking und von ihren Konten werden von den Tätern Beträge von mehreren Tausend Euro abgebucht. Wir vertreten bundesweit ... Weiterlesen

Alle Rechtstipps von Rechtsanwalt Knud J. Steffan

Weitere

Beiträge zum Thema

Phishing - was Sie wissen und beachten müssen!

15.02.2022

Die wichtigsten Fakten Betrüger versuchen durch Phishing an persönliche Daten einer dritten Person zu gelangen. ... Weiterlesen
Phishing – was tun? ⚠️

04.11.2016

Phishing ist ein Phantasiewort, welches aus den englischen Worten „Password“ und „fishing“ zusammengesetzt ist und ... Weiterlesen
Phishing bei der Commerzbank ⚠️

14.11.2016

Besucht man die Website der Verbraucherzentrale und befragt das dort eingerichtete Phishing-Radar, wird klar, dass ... Weiterlesen