Schadensfälle mit sehr hohen Verlusten im Online-Banking - Sparkassenkunden betroffen

Wir beobachten seit dem Jahr 2021 einen sehr starken Anstieg von Fällen mit hohen -teilweise sechsstelligen Schäden- im Zusammenhang mit der Plünderung von Kundenkonten im sog. Onlinebanking. Auffällig dabei ist der überproportionale große Anteil der Sparkassen und dabei wiederum deren s-pushTAN-App. Die Sparkassen bezeichnen ihr Onlinebanking als modern und sicher. Ist das zutreffend?       

Im letzten Jahresbericht  der Bundesanstalt für Finanzdienstleistungsaufsicht findet sich der dürre Satz:  „Immer mehr Kundinnen und Kunden der Sparkassen nutzen Online-Banking – ein Trend, der sich auch 2021 fortgesetzt hat. Dies zwang die Institute ihrerseits dazu, sich verstärkt mit Maßnahmen zu beschäftigen, um ihre Systeme gegen Cyberattacken abzusichern.“ Zu den Dimensionen der Angriffe und der Schäden finden sich keine Angaben. Ebenso vermisst man Angaben, wie erfolgreich die Absicherungsmaßnahmen waren bzw. sind und wie die Aufsicht ggf. unterstützt, begleitet oder gar Missstände sieht bzw. sanktioniert.    

Zumeist werden betrügerische SMS im Namen von Sparkassen, Volksbanken oder anderen Geschäftsbanken verbreitet. Ebenso verbreitet sind direkte Anrufe von Betrügern. Aktuell warnen die Sparkassen wie folgt:

Zumeist erhalten die Kunden solche SMS von der gleichen Rufnummer, die die Bank tatsächlich für Ihre Mitteilungen nutzt, so dass das eigene Smartphone die gefälschte SMS in dem Ordner mit vergangenen (regulären) SMS der Bank anzeigt. Hat man eine Telefonnummer im Smartphone bereits mit einem Kontaktnamen gespeichert, wird dieser angezeigt. Einige Smartphones zeigen die sog. „Caller ID“ als Klarnamen auch an, wenn die Nummer nicht in den Kontakten gespeichert ist. Die Betrüger sind also in der Lage die Absendernummer (Rufnummer-Spoofing) zu manipulieren, was Ihnen die Betrugsmasche stark erleichtert.

Sind die Täter erfolgreich, gelingt es Ihnen teilweise die Guthaben auf den Konten vollständig abzuräumen. Die Opfer selbst sind nach einem erfolgreichen Angriff vom Online-Banking abgeschnitten und erhalten so auch keine Mitteilungen von den Verfügungen. Es kommt teilweise zu hunderten Abverfügungen des immer gleichen Betrages mit dem gleichen Betreff. Die Täter haben dabei offenbar auch Kenntnis von summenmäßigen Schwellenbeträgen, die keinen Verdacht zu erwecken scheinen (z.B. Euro 998,00). Auch mehr als 100 solcher Überweisungen gehen innerhalb von Stunden ggf. ohne Beanstandung durch. Teilweise werden von den Tätern zunächst ggf. mit der Bank vereinbarte  Limits aufgehoben, um dann noch schneller zu verfügen. Insofern helfen die Empfehlungen der Banken, Tages- oder Einzellimits einzurichten nicht wirklich. Denn diese Beschränkungen können von den Betrügern wieder geändert oder gelöscht werden. Die Nachverfolgung im Schadensfall verläuft aufgrund des trickreichen Vorgehens unter Ausnutzungen von weiteren Schwächen (z.B. begrenzte IP-Speicherung bei Dritten oder Auslandsbezug) oft im Sande und Banken berufen sich danach häufig auf grobe Fahrlässigkeit der Kunden und verweigern den Ersatz des Schadens.

Nach Auffassung des Frankfurter Fachanwaltes für Bank- und Kapitalmarktrecht Matthias Schröder sind die derzeitigen Angriffe extrem professionell und es verwundert nicht, dass auch im Umgang mit modernen Kommunikationsmitteln durchaus erfahrene und gut ausgebildete Kunden, Opfer werden.   

Grundsätzlich lohnt eine rechtliche Prüfung im Schadensfall. Es existiert nach der Rechtsprechung kein Erfahrungssatz, wonach bei einem Missbrauch des Online-Bankings bereits eine korrekte Aufzeichnung der Nutzung eines Zahlungsauthentifizierungsinstruments und die beanstandungsfreie Prüfung der Authentifizierung für eine grob fahrlässige Pflichtverletzung des Zahlungsdienstnutzers sprechen, sodass sich der Zahlungsdienstleister für den ihm im Rahmen von § 675v Abs. 3 BGB obliegenden Nachweis auch nicht auf den Beweis des ersten Anscheins stützen kann (BGH, Urteil vom 26. Januar 2016 - XI ZR 91/14 -, BGHZ 208, 331-357, Rn. 68).

Sollte es in einem Fall zudem noch zu den oben beschriebenen Massenverfügungen kommen, lohnt sich ggf. ein Vorgehen gegen die Bank ganz besonders.

Einigen Instituten gelingt es nämlich offenbar durch den Einsatz von Algorithmen solche ungewöhnlichen Überweisungen zu erkennen und sehr schnell zu stoppen. Spiegelbildlich könnte es ein Indiz für ein Verschulden einer Bank sein, wenn solche Anpassungen und Schutzmaßnahmen im Onlinebanking unterlassen werden.     

Neben nochmals gesteigerter Vorsicht, könnte auch der Abschluss geeigneter Versicherungspolicen (Cybercrime-Schutz etc.) für Verbraucher ratsam sein. Günstigere unter diesen Versicherungen haben Maximaldeckungen in Höhe der üblichen Tageslimits (z.B. EUR 15.000,00). Wie oben beschrieben reichen diese Deckungen ggf. nicht aus.

Interessant ist, dass die Geschäftsbank ING aktuell Ihren Kunden ein sogenanntes „Sicherheitsversprechen“ bei Datenmissbrauch gibt, dass eine Entschädigung vorsieht. Auch Deutsche Bank und Commerzbank sowie mit Einschränkungen die Targobank geben Versprechen mit unterschiedlichen Reichweiten (Girokonto-Vergleich, Stiftung Warentest v. 27.07.2022).